Il Comitato di Basilea ha pubblicato un rapporto che descrive una serie di buone pratiche osservate in materia di gestione del rischio legato alle tecnologie dell’informazione e della comunicazione (ICT) in 16 diverse giurisdizioni (tra cui il SSM in UE), volte ad affrontare gli incidenti ICT non dolosi.
Le ICT costituiscono una componente fondamentale della gestione del rischio operativo e svolgono un ruolo essenziale nel sostenere l’obiettivo più ampio di raggiungere la resilienza operativa: la resilienza operativa delle banche agli incidenti ICT è diventata sempre più importante in un panorama tecnologico in evoluzione e digitalizzato.
La raccolta di prassi sulla gestione del rischio ICT pubblicata integra la relazione del Comitato di Basilea sulla resilienza informatica, concentrandosi specificamente sugli incidenti ICT non dolosi nelle banche che incidono sull’erogazione di operazioni e servizi critici: le prassi documentate possono fungere da punti di riferimento per le banche e le Autorità di vigilanza, al fine di adattare e sviluppare prassi di gestione dei rischi informatici più adeguate alle loro specifiche circostanze.
In sintesi, dall’indagine è emerso che:
- alcune giurisdizioni hanno registrato un aumento degli incidenti ICT non dolosi tra il 2022 e il 2024, mentre altre hanno visto un calo, in particolare tra il 2023 e il 2024: il Comitato sottolinea tuttavia che i requisiti normativi per la segnalazione degli incidenti variano tra le giurisdizioni in termini di definizioni, criteri e soglie, il che si riflette sia nella tipologia, che nel numero di incidenti segnalati in questa indagine
- le cause principali degli incidenti ICT più frequentemente segnalate nelle giurisdizioni oggetto dell’indagine includono:
- lacune nei controlli delle modifiche
- lacune nella progettazione, nello sviluppo e nel collaudo dei sistemi
- problemi di capacità e prestazioni del sistema
- guasti operativi dovuti a dipendenze esterne.
- le cinque pratiche di gestione del rischio ICT più frequentemente segnalate nelle giurisdizioni esaminate includono:
- gestione delle modifiche ICT: per gestire i rischi derivanti dalle modifiche ai sistemi e alle infrastrutture ICT
- gestione del rischio di terze parti: per gestire i rischi ICT derivanti dall’utilizzo e dalla dipendenza da servizi di terze parti
- test di continuità ICT: per mantenere la continuità operativa ICT delle banche e testare l’efficacia e la robustezza delle loro misure di continuità operativa e di ripristino d’emergenza
- gestione degli incidenti e dei problemi ICT: per garantire una risposta efficace agli incidenti, il contenimento, l’identificazione delle cause principali e la risoluzione
- gestione dei progetti ICT e sviluppo di sistemi: per implementare sistemi ICT che soddisfino i requisiti aziendali e per raggiungere la necessaria qualità, affidabilità e garanzia di sicurezza.
- in tutte le giurisdizioni esaminate, le Autorità bancarie hanno indicato di disporre di normative e/o linee guida in materia di gestione del rischio ICT:
- in molte giurisdizioni esaminate, le banche sono inoltre soggette a ulteriori normative e/o linee guida a livello nazionale in materia di gestione del rischio ICT emanate da altri enti governativi; tuttavia, le autorità bancarie mantengono l’autorità primaria per sviluppare e emanare regolamenti e/o linee guida sulla gestione del rischio ICT e per esercitare la vigilanza sulle banche
- le autorità bancarie hanno adottato un approccio basato sul rischio e personalizzato per la supervisione della gestione del rischio ICT delle banche attraverso una combinazione di ispezioni in loco, revisioni tematiche e/o valutazioni a distanza
- le autorità bancarie si impegnano in una vasta gamma di altre attività a supporto dei loro principali sforzi di regolamentazione e vigilanza.
- le giurisdizioni esaminate segnalano diverse sfide affrontate dalle banche nell’implementazione delle pratiche di gestione del rischio ICT:
- mantenere la tracciabilità, dai servizi aziendali alle risorse ICT
- garantire la completezza della mappatura delle dipendenze di sistema e dell’inventario delle risorse ICT, anche per i servizi di terze parti
- la carenza di talenti nelle banche, in particolare nei settori della sicurezza informatica, del cloud, dell’intelligenza artificiale/apprendimento automatico (AI/ML) e dei sistemi legacy, aggravata dalla concorrenza con il settore tecnologico
- la mancanza di trasparenza sui controlli di gestione del rischio presso i propri fornitori di servizi tecnologici
- i rischi di concentrazione di terze parti e di interdipendenza della catena di fornitura
- durante l’evento di sensibilizzazione dedicato al settore, alcuni relatori hanno evidenziato progressi significativi nella riduzione dei tassi di guasto attraverso i controlli tecnici e/o di processo delle banche; per supportare un’efficace gestione del rischio ICT, si è sottolineata l’importanza di:
- adottare un approccio modulare e stratificato nell’implementazione di nuovi componenti di sistema per sostituire i sistemi legacy e ridurre la complessità
- implementare l’automazione, anche attraverso nuove tecnologie e IA/ML, mantenendo al contempo un adeguato livello di supervisione e controllo umano
- gestire le dipendenze da terze parti e mantenere la visibilità lungo tutta la catena di fornitura ICT
- affrontare la carenza di talenti collaborando con le università e creando percorsi di carriera tecnica interni.
Il Comitato ricorda agli operatori che continuerà a monitorare gli sviluppi e a condividere le proprie riflessioni in materia di vigilanza relative alla digitalizzazione della finanza e alla tecnologia finanziaria da una prospettiva prudenziale, compresi gli sviluppi nei modelli di intelligenza artificiale e le implicazioni per la sicurezza informatica delle banche.
