Cybersecurity: il caso irlandese

Le linee guida della Banca Centrale d’Irlanda (BCI) e gli impatti sui Player di mercato

La consapevolezza che i rischi legati alla Cybersecurity possano costituire una seria minaccia al funzionamento dei sistemi finanziari globali, ha portato i principali regolatori europei ad una progressiva formalizzazione di principi e linee guida di condotta che i Soggetti regolati devono rispettare per operare sui mercati di riferimento.

In questo senso, la BCI, fra i primi Organi di Vigilanza europei, ha emanato fin dal 2016 le prime linee guida cross industry sull’approccio alla gestione dei rischi di Cybersecurity come una componente di condotta da considerare a livello di governo dell’azienda complessiva.

L’elemento innovativo che emerge dal lavoro della BCI non riguarda il condizionamento della gestione dell’IT in ambito di Cybersecurity (argomento complesso ed in continua evoluzione, per il quale si fa rimando alla legislazione specifica), quanto alla necessità di sensibilizzare il top management di considerare i rischi di Cybersecurity come parte integrante della Corporate Governance.

Il punto di vista della BCI parte da un lavoro di supervisione che sintetizza l’effetto avuto dai problemi provocati dalla sicurezza informatica alle organizzazioni che sono sotto la propria regolamentazione. Non avendo un quadro fattuale, poiché la Cybersecurity vive di fenomeni contingenti in continua evoluzione, la BCI evidenzia quali possono essere le best practice che devono adottare le organizzazioni all’interno del governo dell’organizzazione, negli ambiti di Corporate Governance e di Risk Management.

La supervisione della BCI porta a concludere che l’innovazione tecnologica, nel conseguire la riduzione di costi e l’aumento dell’efficienza, ha però notevolmente amplificato i rischi su perdita, sottrazione impropria o accesso non autorizzato dei dati, con conseguenze che non possono essere sottostimate, sia in ambito legale che reputazionale, sia nel considerare danni diretti sulla clientela, anche per incapacità di erogare servizio a seguito di un attacco informatico (Cyber Attack). Per la gravità dei possibili danni, la BCI suggerisce di considerare la gestione del rischio in modo robusto e comprensivo di tutti gli elementi, non solo legati alla Cybersecurity ma anche alla Business Continuity e Disaster Recovery, all’allineamento con le strategie di business, al Change Management e alla gestione degli outsourcer.

Il lavoro d’ispezione condotto dalla BCI nel corso degli ultimi anni ha evidenziato diverse aree tra IT e Risk Management che risultano carenti in standard e best practice:

• Allineamento debole tra la strategia IT e la strategia di business complessiva dell’azienda. Le risorse dell’azienda non sono dimensionate secondo le ambizioni di business
• Mancanza di una visione olistica da parte dell’azienda dei rischi IT sul business, con conseguente carenza nell’identificazione, monitoraggio e mitigazione dei rischi IT
• Scarsa pratica dell’IT risk assessment che si traduce in un registro dei rischi non aggiornato ed una identificazione dei rischi ex-post il verificarsi di un incidente, e non ex-ante come atteso dal regolatore
• Persistenza di tecnologia obsoleta che abilita le principali operation dell’azienda con un conseguente elevato impegno di risorse, sia umane che finanziarie, nel gestire i rischi associati
• Assenza o inadeguatezza di una policy sulla classificazione dei dati aziendali
• Non adeguato processo di verifica su accessi esterni indesiderati all’interno dei sistemi aziendali (Intrusion Detection Policy)
• Scarsa governance degli outsourcer e service provider IT anche attraverso accordi, e due diligence non adeguati che producono scarso monitoraggio
• Disaster recovery e Business Continuity plan non adeguati

L’importanza di tali temi, e la conseguente consapevolezza degli stessi, è stata sottolineata dalla BCI anche in sede del Financial Summit tenutosi a Dublino dal 2 al 4 ottobre, sede in cui il vice direttore della BCI, E. Sibley, ha individuato i seguenti punti quali priorità di agenda della supervisione regolamentare bancaria:

• Contollo delle minacce cyber, considerata la loro crescente frequenza ed il loro crescente volume
• Inadeguata governance degli accordi di outsourcing, in particolare laddove le terze parti hanno accesso ai dati, ed in che modo il rischio di cyber attack possa compromettere tutte le parti coinvolte
• Controlli circa la protezione dati, in particolare tra le grandi imprese che dispongono di un patchwork di sistemi, rendendo più difficile una giusta protezione dei dati dei clienti e dipendenti

Dalle carenze a livello organizzativo e di governo rilevate nell’attività d’ispezione, la BCI individua nei vertici dell’azienda, Board dei Directors e nel Senior Management, il luogo più efficace in cui indirizzare priorità, consapevolezza e comprensione dei rischi legati alla Cybersecurity.

Se dunque l’approccio deduttivo della BCI individua un primo framework di attori e responsabilità su cui attivare l’azienda per definire e gestire rischi legati alle problematiche di Cybersecurity, le scelte operative di contrasto e di monitoraggio degli incidenti rimangono ancora a carico dell’azienda, che si trova ad operare in un contesto normativo privo di standard e di riferimenti verticali alla tipologia di frodi o atteggiamenti delittuosi abilitati dalle nuove tecnologie. Se in ambiti più maturi come le frodi fiscali, l’antiriciclaggio o la compliance IT, il regolatore pone delle direttive chiare e verificate dalla giurisprudenza, l’ambito della Cybersecurity, per complessità e virtualizzazione geografica, impone una sfida di velocità e complessità attualmente non colta dagli strumenti messi a disposizione dagli Organi di Vigilanza (BCI e organi regolatori europei).