Dal prossimo 17 gennaio una nuova direttiva europea introduce nuovi obblighi in materia di cybersicurezza e resilienza operativa per banche e assicurazioni
Gli obblighi di compliance imposti dalla regolamentazione europea sono sempre più onerosi, tanto che è stata coniata l’espressione «compliance inflation» per indicare l’aumento esponenziale dei requisiti normativi imposti ai player del mercato europeo. Tra i settori più colpiti vi è sicuramente il settore finanziario che vede aggiungersi ai tradizionali interventi normativi per garantire il rispetto della legalità e della correttezza negli affari, i recenti interventi in materia di cybersicurezza e resilienza operativa, resi necessari dalla totale dipendenza del settore finanziario dai software e processi digitali e dall’aumento esponenziale della cyber-insicurezza a livello globale.
Danni miliardi in casi di attacchi hacker.
Se infatti il Global Risks Report 2023 del World Economic Forum ha inserito la diffusione del cybercrime e della cyber-insicurezza nella top 10 dei più gravi rischi del prossimo decennio, le cronache recenti ci ricordano come un attacco informatico possa paralizzare servizi e mercati con danni anche a lungo termine. L’esempio dell’attacco informatico di novembre 2023 alla filiale americana della cinese Icbc Financial Services, ramo di una delle più grandi banche al mondo, è emblematico: il gruppo hacker Lockbit ha lanciato un attacco ransomware bloccando per giorni i sistemi del service della banca e impedendo la finalizzazione di migliaia di operazioni di acquisto di titoli e bond americani, con un impatto negativo a cascata sulla liquidità del mercato dei titoli di Stato Usa e sui rendimenti dei T-Bond emessi i giorni successivi. Anche senza scomodare gli attacchi hacker, tutti ricordano l’impatto catastrofico seguito all’errore nell’aggiornamento del software di sicurezza Crowdstrike, che ha causato problemi a milioni di utenti di Windows in tutto il mondo, mandando in blackout per ore numerose aziende e operatori in ogni settore, con un danno stimato, nella sola prima settimana e per le sole “Fortune 500”, di 5,4 miliardi di dollari. Se questi eventi qualcosa hanno insegnato è che la resilienza operativa non può prescindere dal controllo della supply chain, soprattutto in ambito tecnologico.
Il nuovo regolamento Dora.
Il regolamento Dora (Digital Operational Resilience Act – UE/2022/2554), che sarà pienamente vincolante dal 17 gennaio prossimo, nasce proprio dalla consapevolezza della gravità dell’impatto che un incidente sui sistemi Ict può avere sull’intero mercato finanziario e interesserà quindi tutti gli operatori del settore finance, dagli operatori finanziari tradizionali agli operatori fintech, compresi i virtual asset provider. L’obiettivo dichiarato è quello di creare un mercato resiliente che protegga i sistemi, le reti, le infrastrutture, i dati e la catena di fornitura, integrando la “gestione del rischio Ict di terze parti” come componente fondamentale del risk management.
Per ottenere la resilienza operativa, Dora richiede inoltre interventi che vanno dalla sicurezza fisica di sistemi It e hardware, all’integrazione di policy e sistemi di governance, nonché all’implementazione di piani di emergenza, Disaster Recovery e Business Continuity adeguati al grado di rischio che un attacco all’operatore può generare per l’intero mercato. Un notevole sforzo organizzativo e finanziario, quindi, che peraltro non sarà limitato alla sola fase di implementazione e adeguamento, dato che la continua evoluzione degli attacchi cyber comporterà la necessità di integrare meccanismi di monitoraggio, costante formazione e aggiornamento dei sistemi. Ma per quanto onerosa, la compliance a Dora non spaventerà il mercato finanziario quanto i rischi legati alla cyber-insicurezza.
L’articolo integrale è stato pubblicato sul numero di novembre del magazine Wall Street Italia. Clicca qui per abbonarti.
