Il 10 novembre 2022 la sessione plenaria del Parlamento europeo ha raggiunto l’accordo finale sul Digital Operational Resilience Act (Dora). Si tratta della più importante iniziativa regolamentare a livello Ue in materia di resilienza operativa e sicurezza informatica nel settore dei servizi finanziari. Saranno coinvolti: banche, compagnie assicurative, fornitori di servizi informatici e gli operatori di nuova generazione, come le fintech, inclusi gestori di criptoasset efornitori di servizi finanziari in crowdfunding, indipendentemente dalle loro dimensioni. Gli operatori hanno a disposizione un periodo di 24 mesi per adeguarsi al nuovo regolamento. Oltre che di adempimenti, il Dora è anche fonte di numerose opportunità e dovrebbe dare il via a un cambiamento epocale nel settore finanziario.
Le opportunità del Dora
Secondo gli esperti di Deloitte Andrea Rigoni e Gianfranco Tessitore, il Dora costituisce un notevole passo avanti verso il consolidamento e l’evoluzione dei requisiti normativi per gli operatori di mercato in ambito ICT, oltre che il primo framework normativo al mondo che consente alle autorità di vigilanza delle società finanziarie di supervisionare i fornitori di servizi ICT critici (CTPPs), compresi i fornitori di servizi cloud (CSPs).
Il Dora non è un vincolo regolamentare, bensì un acceleratore del processo evolutivo dei sistemi di gestione dei rischi digitali, oltre che un’opportunità per gli operatori di rafforzare il livello di comprensione e valutazione dell’impatto delle interruzioni operative sul business e sui clienti.
Secondo Deloitte, il regolamento europeo spingerà gli operatori di servizi finanziari a comprendere appieno come le loro attuali prassi di gestione in ambito ICT Risk, cyber e gestione del rischio terze parti hanno un impatto sul livello di resilienza delle loro funzioni più critiche, portandoli verso lo sviluppo di capacità di resilienza operativa completamente nuove, come metodologie avanzate di test degli scenari di rischio, oltre che ad assumere specialisti del rischio digitale.
In generale, come spiegano Rigoni e Tessitore di Deloitte, per implementare il Dora occorrerà un cambio di approccio a tutti i livelli, a partire dal top management. Un cambio di approccio già in atto nel settore dei servizi finanziari, soprattutto nelle banche. La spia di questo cambiamento è una tecnologia in particolare: il cloud.
Il cloud nel settore bancario
Per Michael Tang, managing partner del team tecnologia, media, intrattenimento e telecomunicazioni di Deloitte in Canada e Cile, “il cloud è più di una tecnologia: è una destinazione per le banche e le altre società di servizi finanziari per archiviare dati e applicazioni e accedere ad applicazioni software avanzate via Internet”. Inoltre, contribuisce ad abbattere i silos operativi e di dati tra i settori del rischio, della finanza, della regolamentazione, dell’assistenza ai clienti e altri ancora. “Una volta che gli enormi set di dati sono riuniti in un unico luogo, l’impresa può condurre analisi avanzate per ottenere approfondimenti integrati”, scrive Tang.
Per quanto riguarda le banche, dopo aver sfruttato il cloud come alternativa più economica, veloce e flessibile all’archiviazione dei dati su server situati in sede, ora stanno valutando come sfruttare il cloud in tre aree “above the line” per creare nuove frontiere di business (integrare meglio le business unit; favorire l’innovazione; sviluppare nuovi modi di lavorare) e in tre aree “below the line” per ottimizzare l’organizzazione (costruire operation resilienti; sfruttare le economie di scala per abbattere i costi dell’ICT; incrementare la sicurezza a livello IT).
La buona notizia è che non è necessario per le banche passare di punto in bianco dai data center in sede a soluzioni cloud. La loro trasformazione in senso digitale può avvenire gradualmente, mescolando soluzioni ibride e multi-cloud in base alle esigenze, alla maturità e preparazione dell’azienda. La maggior parte delle organizzazioni sceglie un approccio multi-cloud. A prescindere dal modello di implementazione, i dati che risiedono nel cloud possono essere altrettanto (o più) sicuri rispetto ai modelli di storage on-premise. Inoltre, molte soluzioni trasformative (ad esempio, gestione delle relazioni con i clienti, finanza, gestione delle risorse aziendali) sono già basate sul cloud, solo che non sono comunicate principalmente come tali.
Le società finanziarie sono sovente preoccupate dai costi e dagli sforzi per migrare i carichi di lavoro nel cloud. A tal proposito, Deloitte ricorda che i fornitori esterni di cloud offrono queste e altre funzionalità che possono ridurre i tempi di sviluppo rispetto alla creazione di funzionalità interne. Paolo Gianturco, Business Operations & FinTech Leader di Deloitte, ha concluso:
“I livelli di spesa tecnologica e le proiezioni di crescita confermano che il cloud computing è la forza più importante che sta plasmando il mercato dei servizi tecnologici. In tutto il settore dei servizi finanziari globali, le società finanziarie stanno sfruttando soluzioni cloud private, pubbliche e ibride per creare prodotti e servizi innovativi e alimentare la trasformazione aziendale”.