DORA: una nuova concezione di resilienza operativa digitale delle istituzioni finanziarie

Autori: Andrea Sudano, Alessandro Fratini

 

Con la crisi finanziaria globale del 2008, nel contesto delle istituzioni europee e dei relativi Governi nazionali si è fatta preminente l’esigenza di un rafforzamento, in termini di integrità e resilienza, dei sistemi bancari e finanziari (e.g. banche, compagnie assicurative ed imprese di investimento).

In tale contesto si inserisce il c.d. Digital Operational Resilience Act [1] (di seguito Regolamento DORA o DORA), quale misura che si propone di soddisfare la necessità di implementare un corpus normativo standardizzato, a livello europeo, in tema di finanza digitale.

Va sottolineato che, prima di tale intervento normativo, il legislatore europeo aveva dimostrato un interesse poco rilevante per la sicurezza operativa digitale delle istituzioni finanziarie, limitato ad interventi di regolamentazione marginali – spesso fondati su principi poco chiari e di dubbia interpretazione – con una conseguente stratificazione della normazione nazionale secondo approcci spesso diversificati e disomogenei.

Il cambio di passo si è avuto nel settembre 2020 con la proposta del Regolamento DORA, inserito all’interno di un più ampio programma normativo, il c.d. “pacchetto di finanza digitale” che include ulteriori interventi normativi in tema di mercato delle criptovalute (c.d. proposta MiCA[2]) e di contabilità distribuita e blockchain (proposta DLT[3]). Obiettivo ultimo di tale pacchetto normativo è di contemperare l’inesorabile sviluppo tecnologico con la necessità di garantire stabilità e sicurezza del sistema bancario e finanziario nel suo complesso a tutela dei consumatori.

Nello specifico, il Regolamento DORA predispone un quadro normativo relativo alla c.d. “resilienza operativa digitale, concetto con il quale si intende la capacità di un’Organizzazione di creare, assicurare e riesaminare la propria integrità operativa sotto il profilo tecnologico, garantendo – direttamente o indirettamente, (qualora si faccia ricorso a fornitori terzi di servizi di TIC) – uno scudo di protezione per far fronte alle minacce e agli eventi di sicurezza che coinvolgano gli strumenti ICT (Information and Communication Technology, in italiano c.d. TIC).

Un’ulteriore conferma circa la bontà di tale mutato approccio nei confronti della c.d. “digital resilience” delle istituzioni finanziarie è emersa con l’esplosione della pandemia di COVID-19 e il conflitto tra Russia ed Ucraina. Si tratta di due eventi storici recenti che, unitamente alla crescita esponenziale delle minacce cyber, vengono richiamati dal report 2022 dell’European Systemic Risk Board[4] come testimonianza dell’esigenza di un cambio di passo nel modo di concepire ed affrontare i temi legati alla sicurezza del settore finanziario.

 

Obiettivi della proposta di Regolamento

Avendo come destinatari gli Stati membri dell’Unione Europea, DORA si applicherà a tutte le entità in ambito financial services europee, coinvolgendo pertanto un volume ingente di società. Ad ulteriore riprova dell’impatto soggettivo, il Regolamento si applicherà non solo alle società finanziarie di stampo tradizionale (e.g. istituti di credito, Borse, istituti di investimento) ma anche ai più recenti soggetti finanziari (e.g. fornitori di servizi di criptovalute, emittenti di cripto-asset), oltre ai già citati fornitori terzi di servizi TIC.

Trattasi, come è evidente, di un campo soggettivo di applicazione particolarmente ampio, il quale risulta tuttavia funzionale ad una omogena applicazione delle strategie di gestione del rischio all’intero panorama ICT, garantendo altresì parità di condizioni tra financial services.

Di seguito, la descrizione dei punti essenziali della proposta di Regolamento.

Governance (art. 4)

Con riferimento alla definizione dei ruoli e delle responsabilità del top management connesse alla corretta implementazione dei requisiti normativi dettati dalla proposta di Regolamento, emerge il ruolo attivo affidato all’Organo di Gestione, il quale è chiamato a fungere da guida nell’adeguamento del quadro di gestione dei rischi ICT dell’Organizzazione, nonché di vigilanza circa una corretta postura dell’azienda in ottica cybersecurity, contribuendo nei fatti alla definizione di una strategia globale.

Sull’Organo di Amministrazione ricade la piena responsabilità circa la gestione del rischio. Esso sarà chiamato, tra l’altro, ad individuare ruoli e responsabilità in seno alle funzioni legate ai servizi di TIC, controllare e monitorare l’andamento dei rischi connessi, mappare e gestire tutti i processi di approvazione e controllo nonché assicurare l’allocazione delle risorse per gli investimenti, anche in ambito di formazione, relativi all’ICT.

Gestione del rischio (artt. 5-14)

Con riferimento alla gestione del rischio IT, la resilienza operativa digitale di cui alla proposta di Regolamento si fonda su taluni principi fondamentali, frutto dell’elaborazione legislativa nonché del contributo sostanziale delle Autorità europee di Vigilanza (c.d. ESA).

Ai fini di una corretta gestione del rischio connesso alle TIC, è anzitutto ritenuto essenziale l’assegnazione di ruoli e responsabilità alle funzioni aziendali chiamate alla gestione del rischio ICT (e.g. le figure preposte alla identificazione dei rischi; le figure chiamate alla predisposizione delle misure di sicurezza e protezione).

A questo punto, le entità finanziarie devono essere in grado di assicurare una gestione dei rischi relativa alle TIC che sia efficace, efficiente e adeguatamente documentata, giungendo ad un livello di resilienza operativa digitale adeguato in rapporto alle esigenze, alle dimensioni nonché alla complessità delle loro attività commerciali.

Quanto affermato si esplica, nei fatti, in numerose prescrizioni rivolte alle entità finanziarie, con riferimento alle quali non è prevista una standardizzazione specifica, bensì un semplice riferimento a standard di settore ed a best practices riconosciute a livello europeo ed internazionale. Si segnalano, a titolo esemplificativo e non esaustivo, processi di:

      • identificazione costante di tutte le fonti di rischio;
      • introduzione di misure di protezione e prevenzione;
      • individuazione tempestiva delle attività anomale;
      • implementazione di strategie di continuità operativa e di piani di ripristino in caso di disastro.

Il suddetto quadro di gestione per i rischi relativi alle TIC deve infine essere esaminato almeno una volta l’anno, ovvero in ipotesi di incidenti gravi connessi alle TIC o in seguito a disposizioni delle Autorità di Vigilanza in tal senso, in modo da garantire un monitoraggio continuo.

Da ultimo, va sottolineato che le strategie di gestione del rischio messe in campo dalle istituzioni finanziarie non dovranno limitarsi all’implementazione di strumenti idonei ad assicurare la resilienza dell’infrastruttura ICT: più in generale, occorrerà infatti considerare e coinvolgere tutti i processi aziendali che costituiscono il business dell’Organizzazione, oltre che promuovere una cultura di consapevolezza dei rischi informatici con riferimento al personale.

Infatti, l’aspirazione finale (vision) della proposta di Regolamento DORA sembra essere quella di concepire un nuovo approccio alla “digital resilience non limitato esclusivamente al contesto dell’ICT, ma che coinvolge l’intera organizzazione aziendale nel suo complesso. Come già accennato in premessa, i rischi di sicurezza che minano la stabilità delle financial entities derivano altresì da fonti esterne ai contesti ICT e cyber: l’attività di risk management deve, di conseguenza, compiere uno sforzo di maturazione ulteriore verso un approccio “globale” che consideri altresì fattori economici e geopolitici, da includere nella valutazione di tutte le possibili minacce e scenari di rischio. Solo in questo modo diventa possibile garantire, con maggiore efficienza, la sicurezza del business nelle istituzioni finanziarie.

Gestione incidenti (artt. 15-20)

In merito alla gestione degli incidenti di sicurezza, la proposta di Regolamento impone alle financial entities di porre in essere un processo di gestione degli stessi che consenta un efficace monitoraggio e registrazione degli incidenti connessi alle TIC, in ottica di armonizzazione e razionalizzazione delle procedure di rilevamento e segnalazione.

Si prevede, altresì, un obbligo di classificazione degli incidenti sulla base dei criteri dettati dalle Autorità di Vigilanza (c.d. soglie di rilevanza), nonché l’obbligo di segnalazione degli incidenti di sicurezza connessi alle TIC ritenuti particolarmente gravi alle Autorità competenti.

Inoltre, le istituzioni finanziarie sono tenute a tenere traccia documentale della gestione degli incidenti, tramite la redazione di relazioni iniziali, intermedie e finali. A ciò si aggiungono, da ultimo, obblighi di comunicazione nei confronti dei clienti impattati dall’incidente, degli organi preposti in seno alla BCE, nonché ai punti di contatto unici definiti dalla Direttiva NIS.

Test di resilienza (artt. 21-24)

Un ulteriore punto rilevante che emerge dalla proposta di Regolamento è relativo all’obbligo di effettuazione, con cadenza periodica, di opportuni test che misurino la resilienza dell’infrastruttura ICT dell’Organizzazione, in ottica proattiva circa la individuazione delle minacce e determinazione delle opportune misure correttive per la mitigazione del rischio.

Mentre in ottica di gestione del rischio ICT la nuova normativa sembra uniformare tutte le financial entities, con riferimento alle attività di cui agli artt. 21-24 il Legislatore europeo ripristina una differenziazione tra i soggetti rientranti nel perimetro di applicazione della norma. La proposta di Regolamento, infatti, circoscrive l’obbligo di porre in essere attività di penetration testing avanzata unicamente alle istituzioni finanziarie di grandi dimensioni. Tali attività di PT potranno essere effettuate solo da soggetti abilitati ed opportunamente certificati, con le conseguenti disposizioni circa le modalità di comunicazione dei relativi output.

Va da sé, comunque, che anche le aziende di piccole dimensioni sono tenute a verificare periodicamente l’integrità dei propri sistemi ICT, anche mediante attività di PT.

Al di là del perimetro di applicazione delle disposizioni relative alle attività di testing della resilienza, ciò che appare utile sottolineare è, ancora una volta, quel mutamento di paradigma che la proposta di Regolamento DORA non sembra limitare al tema del risk management (attraverso la già citata conoscenza “olistica” di minacce e rischi), ma che estende anche al campo delle contromisure.

Nello specifico, dall’analisi del testo normativo si ricava a più riprese un concetto di “dinamicità”, il quale influenza non solo l’approccio all’analisi del rischio (non più di tipo “statico” ma che sia in grado di individuare e valutare rischi e minacce “in maniera continuativa”) ma altresì l’attività di verifica delle contromisure messe in campo, attraverso un “effective testing” fondato su attività di threat intelligence (e.g. Red Teaming).

 

I fornitori terzi di servizi TIC

Va sottolineato, da ultimo, che il Regolamento DORA è stato concepito per garantire un solido monitoraggio, con cadenza periodica, del rischio derivante dai servizi TIC di terze parti. In generale, la normativa pone l’accento sull’importanza di stabilire dei processi efficaci di gestione delle terze parti, lungo l’intero ciclo di vita del rapporto con l’ente finanziario.

Oltre a ciò, si segnala che l’ESA è chiamato ad effettuare un’attività di vigilanza circa i fornitori ICT che compongono la supply chain dell’organizzazione, in quanto tali soggetti sono da considerare fornitori critici in ottica di resilienza operativa digitale.

Ancora, tutti gli accordi contrattuali che regolano le forniture ICT dovranno essere caratterizzati da una descrizione completa dei servizi offerti, in accordo agli SLA garantiti. In tale contesto, viene altresì favorito il ricorso a clausole contrattuali standard elaborate per servizi specifici.

Gli obblighi e le responsabilità degli enti finanziari e dei fornitori terzi di servizi TIC devono dunque essere chiaramente attribuite e definite per iscritto. Le financial entities devono, insomma, garantire che i servizi TIC erogati dal fornitore terzo siano coperti da una struttura contrattuale idonea a disciplinare la gestione dei rischi a cui l’ente finanziario può essere esposto (e.g. rischio cybersecurity, rischio cloud, rischio compliance e reputazionale).

Infine, dovranno essere assicurate le dovute facoltà di ispezione da parte dell’ente finanziario, funzionali alla verifica della solidità dell’infrastruttura tecnico organizzativa del fornitore.

 

Conclusioni

In conclusione, è ragionevole affermare che la proposta di Regolamento DORA rappresenta indubbiamente la “strada maestra” pensata dal Legislatore europeo per il raggiungimento della resilienza operativa digitale delle financial entities. DORA costituisce una vera e propria “rivoluzione digitale” per la finanza europea e contribuirà – anche a fronte della minaccia di sanzioni – ad un rafforzamento e consolidamento della postura cybersecurity di tutti i soggetti coinvolti nel perimetro di applicazione della normativa, a beneficio di un sano svolgimento della vita economica nei vari Paesi e a tutela, in ultima analisi, dei cittadini europei.

 

[1] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0595

[2] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0593

[3] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0594

[4] https://www.esrb.europa.eu/pub/pdf/ar/2022/esrb.ar2021~8c51ab2011.en.pdf?47a0f0bd3342116ff2443410a6dd3d8f

ICT Cyber Consulting
ictcc_WP@ictcyberconsulting.com