Digital Operational Resilience Act – DORA

Mai come prima d’ora, il mondo sta vivendo un momento di piena transizione digitale, guidata anche dai governi che hanno inserito la tematica nei primi posti delle loro agende e nei piani di ripresa dalla pandemia di COVID-19. Proprio l’emergenza sanitaria ha dimostrato ulteriormente la necessità di un’evoluzione dei modelli di business in questa direzione. In conseguenza di ciò, le aziende che si troveranno ad essere impegnate in tale sfida dovranno di certo affrontare gli innumerevoli rischi legati alla trasformazione digitale.

In tale contesto, l’Unione Europea ha colto l’opportunità per definire delle regole che assicurino standard di sicurezza delle infrastrutture ed il monitoraggio dei fornitori ICT operanti nel settore finanziario, attraverso la proposta di regolamento in materia di “resilienza operativa digitale per il settore finanziario” pubblicata il 24 settembre 2020 da parte della Commissione Europea (Digital Operational Resilience Act – DORA) e facente parte di un pacchetto di misure finalizzate ad accrescere e supportare il potenziale della finanza digitale in termini di innovazione e concorrenza, con un approccio orientato alla gestione dei rischi ICT.

I principali obiettivi che il Regolamento DORA si propone di conseguire sono i seguenti:

  • migliorare, snellire e armonizzare la gestione del rischio ICT;
  • aumentare la consapevolezza delle autorità di vigilanza sui rischi informatici e sulla gestione degli incidenti;
  • garantire alle autorità di vigilanza il potere di sorvegliare i rischi derivanti dalla dipendenza delle entità finanziarie da fornitori di servizi ICT.

Per quanto riguarda i requisiti previsti dal Regolamento, gli stessi possono essere raggruppati secondo le seguenti tematiche:

  • Governance

    favorire un migliore allineamento delle strategie commerciali delle entità finanziarie e della gestione dei rischi relativi alle tecnologie ICT attraverso la definizione di ruoli e responsabilità definiti. L’organo di gestione sarà tenuto a mantenere un ruolo attivo e cruciale nel dirigere il quadro di gestione dei rischi ICT e dovrà garantire il rispetto di una scrupolosa igiene informatica.

  • Gestione dei rischi ICT

    per tenere il passo con il rapido sviluppo del contesto delle minacce informatiche, le entità finanziarie devono:

    • istituire e mantenere strumenti e sistemi ICT resilienti, tali da ridurre al minimo l’impatto dei rischi ICT;
    • identificare costantemente tutte le fonti di rischio ICT;
    • introdurre misure di protezione e prevenzione;
    • individuare tempestivamente le attività anomale;
    • mettere in atto strategie di continuità operativa e piani di ripristino in caso di disastro come parte integrante della strategia di continuità operativa.
  • Gestione degli incidenti ICT

    requisiti per l’armonizzazione e la razionalizzazione delle segnalazioni di incidenti ICT.

  • Test di resilienza operativa digitale:

    le capabilities e le funzioni incluse nella gestione dei rischi ICT devono essere sottoposte a test periodici per accertarne il livello di  “Readiness”, identificarne punti di miglioramento o carenze e verificare la capacità di attuare tempestivamente misure correttive.

  • Gestione dei rischi ICT di terze parti

    garantire un solido monitoraggio dei rischi ICT derivanti da terzi.

  • Condivisione delle informazioni

    sensibilizzare in merito ai rischi ICT, ridurne al minimo la propagazione, sostenere le capacità di difesa e le tecniche di identificazione delle minacce delle entità finanziarie.

Per quanto riguarda le tempistiche, la pubblicazione del Regolamento in versione definitiva non è prevista prima del 2022. Nell’attesa, sorgono già i primi interrogativi: poiché l’attuale comparto normativo dei singoli paesi europei risulta già piuttosto evoluto in merito alla vigilanza ed al controllo dei processi e presidi ICT posti in essere dai soggetti coinvolti dal Regolamento DORA, quali sovrapposizioni normative potremo riscontrare in Italia e in Europa sulle tematiche nel perimetro di analisi? Le autorità di vigilanza dei singoli paesi (ad esempio Banca d’Italia e ISVAP per il nostro paese) hanno già sensibilizzato a sufficienza i soggetti vigilati attraverso le circolari sinora emanate e le attività di ispezione eseguite negli anni? Di che entità risulterà l’attuale “Gap” procedurale e di controllo interno ICT dei soggetti nel perimetro DORA rispetto ai requisiti richiesti e, di conseguenza, quanto sarà gravoso per tali soggetti il “costo della Compliance” di tale novità normativa?

Alle società italiane coinvolte non resta quindi che attendere i prossimi sviluppi e preparare nel contempo la strategia per poter rispondere in modo proattivo alle evoluzioni che ne deriveranno.

L’innovazione come metodo – lo Standard ISO 56002

La trasformazione digitale troppo spesso viene erroneamente intesa soltanto come un cambiamento dell’ecosistema applicativo in termini tecnologici. È invece una grande opportunità per apportare innovazione in ambito culturale, organizzativo, sociale e più in generale nell’evoluzione delle capacità manageriali all’interno delle imprese ed organizzazioni.

È pertanto fondamentale ridisegnare le basi stesse della struttura organizzativa, adattandola ai canoni dell’era digitale e concependo un’organizzazione totalmente nuova a partire dall’organigramma, dalla cultura aziendale, dal modello di business nonché dalla leadership; questo consentirebbe alle imprese di cogliere realmente le opportunità che il mercato presente e soprattutto futuro sta mettendo e metterà a disposizione.

Innovare è il nuovo verbo, il mantra del momento. Innovare quindi e a tutti i costi, ma come?

Per innovare le aziende servono senz’altro creatività e capacità inventiva, ma da sole non sono sufficienti.

L’elemento fondamentale per una buona riuscita del processo di innovazione è l’execution. Si tratta di un percorso continuativo, fatto di miglioramenti progressivi e duraturi nel tempo, che richiede una chiara visione olistica e strategica per raggiungere risultati di successo. Creatività e metodo dunque, che sembrano due concetti apparentemente in contrasto, possono costituire i reali fattori critici di successo.

A conferma di questa affermazione, ci viene a supporto l’ISO (International Organization for Standardization) che nel 2019 ha pubblicato la nuovissima ISO 56000 con l’obiettivo di normare il SISTEMA DI GESTIONE DELL’INNOVAZIONE, rafforzando quindi il concetto che non può esserci vera innovazione senza una gestione organizzata e costante nel tempo tipica di un sistema, quest’ultimo inteso come l’Insieme di elementi correlati e interagenti di una organizzazione necessari per stabilire politiche, obiettivi e processi per raggiungere tali obiettivi.

La definizione di INNOVAZIONE così come viene indicata dall’OCSE (l’Organizzazione per la Cooperazione e lo Sviluppo Economico) e dalla Commissione Europea nel MANUALE DI OSLO 2018 (le linee guida per la raccolta e l’interpretazione dei dati sull’innovazione) è: Un’innovazione è l’implementazione di un prodotto (sia esso un bene o servizio) o di un processo, nuovo o considerevolmente migliorato, di un nuovo metodo di marketing, o di un nuovo metodo organizzativo con riferimento alle pratiche commerciali, al luogo di lavoro o alle relazioni esterne.

La definizione della recente ISO 56000 è invece molto più semplice e generalizzata: Entità nuova o modificata che realizza o redistribuisce valore, dove per valore si intende genericamente guadagni derivati dalla soddisfazione di bisogni e aspettative, in relazione alle risorse utilizzate.

Dalla lettura della norma quindi, possiamo rafforzare la convinzione già espressa che l’innovazione non può limitarsi soltanto ad avere idee brillanti ma essa dovrebbe contribuire nelle organizzazioni a creare:

  • valore e aiutarle ad adattarsi ed evolversi continuamente;
  • successo in modo progressivo, aumentandone la capacità di adattamento in un mondo che cambia;
  • migliori modalità di lavoro, nonché nuove soluzioni per generare guadagni e migliorare la sostenibilità.

L’innovazione inoltre è strettamente legata alla resilienza di un’organizzazione, in quanto aiuta a comprendere e rispondere a contesti sfidanti, a cogliere le opportunità che potrebbero apportare e sfruttare la creatività sia dei propri lavoratori che dei partner.

In definitiva, grandi idee e nuove invenzioni sono spesso il risultato di una lunga serie di piccoli pensieri e cambiamenti, tutti catturati e indirizzati nel modo più efficace.

Uno dei modi più efficienti per farlo è appunto attraverso l’implementazione di un sistema di gestione dell’innovazione.

Così come avviene per molte altre norme della famiglia ISO, anche per la 56000 il sistema di gestione dell’innovazione fornisce un approccio sistemico per integrare l’innovazione in tutti gli strati delle organizzazioni al fine di cogliere e creare opportunità per lo sviluppo di nuove soluzioni, sistemi, prodotti e servizi.

Secondo Alice de Casanove, Presidente del comitato tecnico che ha sviluppato lo standard, la ISO 56002 aiuterà le organizzazioni di qualsiasi dimensione e settore produttivo ad aumentare le opportunità di business e le loro prestazioni in diversi modi: Ogni organizzazione che vuole dominare il proprio futuro deve incorporare alcuni aspetti della gestione dell’innovazione. Cioè, [le organizzazioni] devono evolversi e adattarsi per stare al passo con le tendenze del mercato e della società. La sfida è identificare ciò che darà loro il vantaggio competitivo e creare valore per il futuro, e quindi quali azioni strategiche intraprendere.

Fornendo una guida su come cogliere al meglio le proprie idee, testarle in modo efficace e gestire i rischi e le opportunità associate, la ISO 56002 può aiutare le organizzazioni a creare nuove proposte di valore e massimizzare il loro potenziale in modo strutturato.

La norma può anche aiutare a instillare una cultura dell’innovazione in una organizzazione, sfruttando così la creatività e la motivazione di ogni membro della stessa e, in definitiva, migliorando la collaborazione, la comunicazione e le prestazioni dell’azienda.

La capacità di innovare di un’organizzazione è quindi riconosciuta come un fattore chiave per la crescita duratura, la redditività economica, l’aumento del benessere e lo sviluppo della società. Essa include inoltre, la capacità di comprendere e rispondere alle mutevoli condizioni del suo contesto, di perseguire nuove opportunità e di sfruttare la conoscenza e la creatività delle persone all’interno dell’organizzazione e in collaborazione con le parti interessate esterne. Un’organizzazione può innovare in modo più efficace ed efficiente se tutte le attività necessarie e gli altri elementi interconnessi o interagenti, sono gestiti come un sistema di gestione dell’innovazione, in grado di fornire una struttura e un vocabolario comuni per sviluppare e implementare capacità di innovazione, valutare le prestazioni e ottenere i risultati previsti.

Per raggiungere l’effettiva implementazione del sistema di gestione dell’innovazione è fondamentale il commitment del top management ed il forte impegno dei leader nel promuovere una cultura a sostegno delle attività di innovazione.

Infine, una corretta implementazione di un sistema di gestione dell’innovazione in conformità con la ISO 56002 può portare molti benefici, tra cui annoveriamo:

  • maggiore capacità di gestire l’incertezza;
  • aumento della crescita, ricavi, redditività e competitività;
  • riduzione dei costi e degli sprechi e aumento della produttività e dell’efficienza delle risorse;
  • miglioramento della sostenibilità e della resilienza;
  • aumento della soddisfazione di utenti, clienti, cittadini e altri stakeholder;
  • rinnovo sostenuto del portafoglio di offerte;
  • persone impegnate e autorizzate nell’organizzazione;
  • maggiore capacità di attrarre partner, collaboratori e finanziamenti;
  • maggiore reputazione e valutazione dell’organizzazione;
  • facilitazione del rispetto delle normative e di altri requisiti pertinenti.

di Giovanni Lamberti Research & Innovation @ Dedalo GRC advisory

Covid-19 e Privacy

Negli ultimi mesi, tutti i governi del mondo hanno dovuto affrontare un’emergenza sanitaria globale, che ha richiesto sacrifici e mobilitazioni senza precedenti in tempo di pace. Come in altri Paesi, ai cittadini in Italia è stato richiesto di rinunciare ad alcuni diritti e libertà da sempre dati per certi, ma che hanno assunto un nuovo significato in questi tempi di crisi.

Un ambito in particolare ha attirato l’attenzione di cittadini e aziende: la protezione dei personali durante una pandemia. Secondo molti, questo sarà il vero banco di prova della nuova normativa privacy Europea, il General Data Protection Regulation o GDPR, e in molti attendono di capire come l’emergenza ne determinerà gli sviluppi futuri.

In Italia, il Garante per la Protezione dei Dati Personali ha assunto un ruolo centrale nella gestione dell’emergenza. Questa Autorità ha infatti partecipato attivamente alla revisione delle disposizioni di emergenza emanate dal Governo ed ha fornito chiarimenti essenziali utili all’implementazione di alcune misure adottate in emergenza, come la didattica a distanza o la ricetta medica elettronica. Il Garante ha inoltre fornito linee guida necessarie a tutti i cittadini circa la protezione dei dati personali nel corso dell’emergenza sanitaria, creando una sezione dedicata di “Frequently Asked Questions” (FAQ) sul proprio sito web.

Il dibattito nazionale nel corso dell’emergenza ha mostrato come il GDPR abbia sensibilizzato l’opinione pubblica circa la protezione dei dati personali. Sui giornali e i social media, ad esempio, si è ampiamente discusso sulle potenziali minacce legate alla diffusione delle App per il tracciamento dei contatti.

Immuni, lanciata dal Governo stesso, ha naturalmente catturato gran parte dell’attenzione, ma una semplice ricerca su Google mostra quanto queste App siano numerose e variegate. Lo scetticismo emerso intorno a questi nuovi strumenti è stato in qualche modo alimentato anche dalla carenza di evidenze concrete circa i benefici ottenuti dal loro utilizzo nel corso dell’emergenza. Secondo un’analisi della rivista Bloomberg infatti, il tracciamento dei contatti tramite App non ha finora portato benefici tangibili nella prevenzione e gestione dell’emergenza sanitaria in nessun paese, con l’unica eccezione della Cina, dove però sono state introdotte misure che sarebbero considerate inaccettabili altrove.

Oltre agli aspetti etici, ci sono infine aspetti tecnologici che pongono seri dubbi circa l’affidabilità dei dati raccolti tramite smartphone e tecnologia Bluetooth, probabilmente questo il punto debole del sistema di tracciamento, vista la poca accuratezza nel calcolo delle distanze tra dispositivi.

Paradossalmente, invece, per le aziende operanti in Italia, le grandi sfide privacy sono arrivate proprio in questi giorni, con la progressiva riapertura e la ripresa delle attività economiche. Molti dei nostri clienti si sono infatti dovuti confrontare con esigenze contrastanti: assicurare la sicurezza fisica sul luogo di lavoro, seppur garantendo misure adeguate alla protezione dei dati personali dei propri dipendenti, clienti o partner. Nella nostra esperienza, è stato ad esempio difficile fornire un parere sul ventaglio di nuovi prodotti e soluzioni software sulla sicurezza: dagli strumenti per il controllo degli accessi in ufficio tramite riconoscimento facciale e misurazione della temperatura (“contactless”), alle App che permettono al datore di lavoro di tracciare i movimenti all’interno degli spazi lavorativi e che talvolta prevedono test di autovalutazione giornalieri sulle condizioni di salute dei dipendenti.

Come scriveva Albert Einstein, senza crisi non ci sono sfide. Questa emergenza sanitaria rappresenta senza dubbio una sfida importante per le autorità di controllo e i governi in tutta Europa, che nei prossimi mesi avranno l’arduo compito di gestire una crisi senza precedenti e allo stesso tempo garantire i diritti e le libertà dei propri cittadini. Nel nostro piccolo, siamo in prima fila per offrire ai nostri clienti aggiornamenti costanti e competenze specifiche per districarci in questa nuova realtà.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

Pandemia da Covid-19: la nuova frontiera dello Smart Working

Il Decreto del Presidente del Consiglio dei Ministri emanato il 1° marzo 2020 ha introdotto una serie di misure per il contenimento della diffusione della malattia respiratoria “Covid-19” causata dal nuovo  Coronavirus, imponendo forti restrizioni alla circolazione dei cittadini e alle attività lavorative. Il Decreto ha altresì esteso le modalità di lavoro agile a tutto il territorio nazionale, anche in assenza di accordi individuali precedentemente concordati.

Come confermato anche nel successivo Decreto dell’11 marzo 2020, le modalità di lavoro agile sono state estese ad interi settori della nostra economia, compresa la pubblica amministrazione.

Il lavoro agile (o “smart working”), già disciplinato nel diritto italiano nel 2017 (Legge 22 maggio 2017, n. 81), e il “telelavoro” sono dunque diventati realtà per milioni di Italiani.

Secondo uno studio del Politecnico di Milano, in Italia, le grandi e medie aziende che nel 2019 avevano già introdotto forme di lavoro agile erano circa il 60%, ma questo numero appariva significativamente ridotto nelle piccole e medie realtà. Il Coronavirus, insomma, ha colto la gran parte delle aziende italiane impreparate. Se da molti punti di vista, tale cambiamento repentino ha portato risvolti positivi per la nostra economia, permettendo ad esempio a moltissime persone di continuare a lavorare nonostante l’emergenza, secondo gli esperti, i veri benefici ci attendono nel medio e lungo periodo sottoforma di incrementi di produttività, risparmio dei costi e riduzione delle emissioni di CO2 nelle grandi città.

Altri studi inoltre, fanno luce su cambiamenti anche più profondi che tale modalità di lavoro porterà nel nostro Paese, come ad esempio il passaggio ad una gestione del lavoro basata su obiettivi, la promozioni di maggiore autonomia da parte del dipendente e l’instaurazione di relazioni lavorative basate sulla fiducia.

Su un aspetto tutti gli esperti concordano: nonostante l’enorme “esperimento” nazionale di smart working e telelavoro non sia iniziato con i migliori presupposti, questo ha modificato permanentemente la nostra cultura del lavoro e tali novità rimarranno nella nostra quotidianità anche nel post-emergenza.

Dal punto di vista della sicurezza informatica, l’introduzione repentina e massiccia di varie forme di lavoro a distanza ha portato ad una vera e propria “rivoluzione”. In poche settimane le aziende e le pubbliche amministrazioni del nostro Paese hanno dovuto affrontare cambiamenti tecnologici ed organizzativi, che nella normalità avrebbero richiesto anni di progettazione e sviluppo.

In questo articolo abbiamo provato a raccogliere le principali sfide affrontate dai nostri clienti e partner per assicurare la continuità dei propri servizi nonché dei relativi processi critici. L’obiettivo è quello di far luce sulle sfide di oggi, per aiutare aziende e privati a navigare in questo nuovo mare.

I principali ostacoli rilevati dalla nostra ricognizione sono relativi alla connettività dei sistemi, che ora più che mai è sottoposta a carichi di una portata senza precedenti. Centinaia di migliaia di dipendenti e collaboratori si collegano infatti a reti private aziendali (Virtual Private Network), accedendo da dispositivi anche personali e spesso non dotati di adeguate misure di protezione. Pertanto ci si è focalizzati sul fenomeno “BYOD”, dall’inglese Bring Your Own Device, che elimina in modo irrimediabile la distinzione tra “sistemi aziendali” e quelli privati. Questi servizi, ampiamente esaminati negli anni passati, permettono di affrontare nuove sfide importanti non solo nell’ambito della sicurezza delle informazioni, ma anche nell’erogazione dei servizi IT stessi. Alcuni clienti sprovvisti di strumenti per l’assistenza ed il supporto da remoto, ad esempio, hanno coinvolto Dedalo nella selezione delle soluzioni ritenute più affidabili, attività che spesso richiede un minuzioso bilanciamento tra sicurezza, facilità nell’utilizzo e costi di implementazione.

È naturale come in un momento di emergenza, nella definizione delle pratiche di smart working e telelavoro, molte aziende abbiano dovuto trovare un compromesso tra sicurezza delle informazioni e necessità operative di business. Con la riapertura della cosiddetta “Fase 2”, tuttavia, riteniamo essenziale riportare la sicurezza IT in primo piano. Secondo molti esperti del settore, la priorità per le aziende dovrà essere quella di rafforzare le misure di sicurezza utilizzate per mitigare i rischi connessi alla connettività, irrobustendo il processo di patch management e disegnando misure di sicurezza più restrittive per le VPN aziendali. Altre fonti autorevoli, come ad esempio il National Institute of Standards and Technology statunitense, sottolinea invece l’importanza del processo di gestione degli accessi logici, per il quale si ritiene necessario implementare modalità di autenticazione più robuste e garantire un adeguata gestione dei privilegi di accesso secondo i profili di rischio associati.

La nostra esperienza in queste settimane ha inoltre confermato ancora una volta come la formazione degli utenti sia essenziale per la sicurezza delle informazioni. È noto, ad esempio, come i tentativi di phishing siano nettamente aumentati nel corso dell’emergenza sanitaria, che ha permesso ai cyber criminali di utilizzare il tema del COVID-19 per convincere milioni di utenti a fornire informazioni e/o credenziali (Google ha recentemente dichiarato di bloccare circa 18 milioni di email di questo genere al giorno). Ogni utente del sistema informativo aziendale ha un ruolo fondamentale nel processo di tutela delle informazioni, un suo comportamento inappropriato può invalidare la solidità di qualsiasi barriera IT al Cyber Crime, per questo sensibilizzare la consapevolezza dei dipendenti è un fattore strategico per salvaguardare il business e il patrimonio informativo aziendale. Per questo scopo, e in linea con le indicazioni del governo sul distanziamento sociale, abbiamo guidano i nostri clienti nella selezione e valutazione delle soluzioni di e-learning più adeguate, sviluppando con loro il piano e i contenuti della necessaria formazione.

Così come per l’emergenza sanitaria attualmente in corso, anche la gestione sicura dei nuovi strumenti, infrastrutture e processi per lo smart working e il telelavoro richiederà un approccio coeso e coordinato tra tutti gli attori coinvolti. La sicurezza, si sa, è una catena.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

SWIFT – Customer Security Controls Framework v2020

Ci siamo, la scadenza è alle porte!

Il programma di sicurezza per i partecipanti alla rete SWIFT (Customer Security Programme, CSP), lanciato da SWIFT nel 2016, stabilisce un insieme comune di controlli di sicurezza progettati per aiutare gli utenti a proteggersi contro i crimini informatici, rilevarli e reagire dopo essere stati colpiti.

A seguito di una serie di attacchi cibernetici e violazioni informatiche nel corso del 2016 SWIFT ha pubblicato, a marzo 2017, il Customer Security Controls Framework (CSCF V1) nell’ambito del CSP. Si tratta di un insieme di controlli che permettono di definire una baseline comune di sicurezza per tutti gli utenti SWIFT. L’implementazione dei controlli opzionali è fortemente consigliata per rafforzare ulteriormente la robustezza dell’infrastruttura locale degli utenti.

Il Customer Security Controls Framework, nella versione 2020, si rinnova; promuove 2 controlli da advisory a mandatory e ne introduce 2 nuovi come consigliati, per un totale di 31 controlli.
La versione 2019 del framework ne includeva 19 obbligatori e 10 consigliati.

La vera novità?
Dal luglio di questo anno, il self-assessment effettuato dai clienti entro il 31 dicembre di ogni anno rispetto ai suddetti controlli, non sarà più sufficiente.

Sarà infatti necessario un assessment indipendente, interno o esterno, a sostegno dell’autocertificazione annuale, che dimostri l’effettiva implementazione del controllo richiesto con evidenze a supporto.

Come Dedalo può essere di supporto?
Assessment and Gap Analysis
Mappatura e valutazione dei processi e dei controlli di sicurezza implementati dall’organizzazione rispetto alle linee guida del Customer Security Programme.
Security Testing
Vunerability Assessment e Penetration Test delle principali componenti dell’infrastruttura SWIFT in perimetro al Customer Security Controls Framework.
Remediation Plan
Supporto nel disegno e nell’implementazione dei presidi tecnico/organizzativi necessari a colmare i gap individuati in termini di tecnologie e/o di processo.
Attestation and Assurance
Attestazione della conformità ai controlli CSP anche tramite standard di assurance riconosciuti a livello internazionale come L’ISAE 3000.

RegTech: la nuova frontiera della Compliance

Con il termine “RegTech” (o “Regulatory Technology”) si fa riferimento alle soluzioni tecnologiche sviluppate per supportare i processi di gestione e monitoraggio della conformità normativa (Compliance). Con questo termine si fa anche riferimento all’insieme di aziende che sviluppano queste soluzioni, spesso start-up caratterizzate da modelli operativi snelli e l’adozione di tecnologie innovative (es. cloud computing, big data, machine learning, etc.). Il RegTech è nato nell’ambito del più ampio “FinTech” (Financial Technology), ma si è gradualmente guadagnato uno spazio autonomo nel mercato.

Il RegTech, in realtà, è emerso molti anni fa. L’Autorità di Controllo inglese (Financial Conduct Authority), ad esempio, ha iniziato a studiare questo settore già del 2015, e proprio in quell’anno ha avviato i primi programmi operativi sull’argomento (work programmes). Anche nel nostro Paese, le grandi aziende di consulenza offrono servizi nel settore già da diversi anni. Quello che stupisce, tuttavia, è la velocità con cui il mercato è cresciuto nell’ultimo anno. Anche in Italia, molti nel settore riconoscono il suo grande potenziale e sono pronti a scommettere sul RegTech.

Il settore maggiormente coinvolto nella crescita del RegTech in Italia è quello bancario. Proprio nel 2019, l’Associazione Bancaria Italiana (ABI) ha avviato il primo cantiere dedicato a questa tematica, al fine di analizzare le soluzioni tecnologiche disponibili e i relativi trend. Fino a questo momento però, il “fenomeno” ha interessato per lo più i grandi istituti finanziari o i gruppi bancari.

Dalle nostre analisi, ecco i quattro principali fattori che motivano l’adozione (e i costi) di queste nuove soluzioni tecnologiche anche per istituti piccoli o c.d. minori, che si stima gestiscano il 26% degli sportelli bancari nel nostro Paese.

1 – La crescente complessità della normativa

Dalla crisi del 2008, i requisiti normativi definiti per disciplinare e controllare il settore finanziario sono aumentati drasticamente – sia in termini di volume (fino a 1,503 norme in un solo anno), che di complessità. La normativa MiFID II, ad esempio, è articolata in 1400 norme, distribuite su 7000 pagine. Questa normativa, inoltre, ha introdotto requisiti stringenti in merito al contenuto e alla frequenza della reportistica obbligatoria. L’adozione di nuove tecnologie e nuovi trend in un mercato in piena trasformazione hanno contribuito a questa espansione (si pensi alla normativa sull’esternalizzazione dei servizi cloud). Sebbene i piccoli istituti siano impattati in maniera proporzionale dai nuovi requisiti normativi, gli effetti di questa crescente complessità normativa hanno comunque significative conseguenze sull’operatività di questi attori.

2 – I costi legati alla compliance

I costi legati alla compliance possono essere suddivisi in due categorie. Da una parte, ci sono i costi legati all’attività di monitoraggio ed adeguamento della Compliance, che si stima sia intorno al 10 al 15% della spesa operativa delle Banche. Tali costi sembrano destinati a crescere: nel 2018, l’89% dei Compliance Officer nel settore Servizi Finanziari prevedeva un loro aumento. 

Dall’altra, invece, ci sono i crescenti costi dovuti alle sanzioni, cresciute contestualmente al volume e alla complessità della normativa stessa. I nuovi regimi sanzionatori introdotti per il settore bancario, ad esempio, ampliano i destinatari delle sanzioni amministrative, diversificano la tipologia di sanzioni applicabili e inaspriscono quelle pecuniarie. Tale fenomeno è evidente anche in altri ambiti normativi, come ad esempio quello della privacy (si pensi al regime sanzionatorio introdotto con il GDPR).

3 – La Compliance come veicolo di abilitazione al Business

L’adozione e l’aggiornamento continuo di Modelli di organizzazione e controllo in conformità alle principali normative societarie (quali il D.lgs. 231 del 2001, D.lgs. 262 del 2005, il Regolamento Europeo sulla Protezione dei Dati, l’adozione di un Rating di Legalità, etc.) non risulta più essere solo un costo per le società che investono in tale ambito, bensì rappresenta un efficace veicolo di abilitazione al Business consentendo alle aziende l’accesso a gare pubbliche, a operazioni di quotazione in borsa, a concessione di finanziamenti pubblici da parte delle pubbliche amministrazioni, ad accesso facilitato al credito bancario (come da nota di Banca d’Italia) nonché a un miglioramento della propria immagine nei confronti di tutti gli Stakeholders. In tale contesto, le tecnologie adottate per l’implementazione dei modelli giocano un ruolo determinante.

4 – La diffusione di nuove tecnologie

La recente diffusione di nuove tecnologie ha permesso lo sviluppo di soluzioni RegTech più economiche, ma soprattutto più efficaci: tecnologie quali l’Intelligenza Artificiale, il Machine Learning, la Robotic Process Automation e la Blockchain, vengono implementate in modo sinergico e coordinato. Oggi queste soluzioni permettono di automatizzare attività che tradizionalmente richiedevano un significativo impiego di risorse e tempo, come ad esempio il monitoraggio della normativa (analizzare migliaia di fonti normative), l’analisi dei rischi, fino alla produzione di reportistica dedicata.

Grandi volumi di dati provenienti da fonti diverse possono essere armonizzati ed utilizzati in modo più efficace ed efficiente. Le analisi rese possibili da tali armonizzazioni offrono basi più solide per il decision-making aziendale.

Dedalo e il Regtech

Ad oggi, nel nostro Paese, il Regtech rappresenta ancora una scommessa. Questa tecnologia, infatti, richiederebbe cambiamenti significativi all’approccio alla compliance, oltre che nuove sfide alle capacità tecnologiche. I veri benefici delle soluzioni Regtech, inoltre, potrebbero essere totalmente azzerati dagli alti costi di implementazione e gestione. Queste considerazioni sono particolarmente rilevanti per le piccole e medie imprese, che oggi rappresentano il 92% delle imprese attive in Italia.

Ecco perché in Dedalo abbiamo deciso di cogliere la sfida, ideando una soluzione RegTech flessibile, dinamica e modulabile a seconda delle esigenze dei nostri clienti. CR.AA.M. (Compliance Risk & Audit Activity Management) permette la gestione ed il monitoraggio delle verifiche di conformità applicabili per l’azienda, automatizzando il monitoraggio dell’andamento nel tempo dello stato di rischio. Il punto di forza di questo applicativo web based, tuttavia,è la reportistica: CR.AA.M permette di configurare e generare report di sintesi ed analitici di tipo grafico, tabellare e descrittivo unitamente a grafici di trend storico sullo stato di conformità. I report possono essere configurati secondo i requisiti specifici dell’organizzazione, e generati in pochi istanti.

Il RegTech non è mai stato così facile.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory

ESMA – chiarimenti in merito al Regolamento EMIR REFIT

L’Esma ha pubblicato sul proprio sito internet le risposte relative alla consultazione in merito all’allineamento del Regolamento MiFIR ai cambiamenti introdotti dal Regolamento (UE) 2019/834 del Parlamento europeo e del Consiglio del 20 maggio 2019 (“EMIR REFIT”, i.e. Regulatory Fitness and Performance Programme) che modifica il Regolamento (UE) 648/2012 del Parlamento europeo e del Consiglio del 4 luglio 2012 (“EMIR”).

E’ possibile consultare le risposte fornite da ESMA al seguente link:

Pubblicazione Decreto attuativo V Direttiva Antiriciclaggio

E’ stato pubblicato lo scorso 24 ottobre in Gazzetta Ufficiale il Decreto attuativo della V Direttiva Antiriciclaggio, che entrerà in vigore il prossimo 10 novembre.
Per gli ulteriori approfondimenti, si rimanda al link in calce

https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2019-10-26&atto.codiceRedazionale=19G00131&elenco30giorni=true

Direttiva PSD2: cosa cambia

Oggi parte la rivoluzione dei pagamenti digitali e tra le novità c’è il pensionamento delle chiavette token a favore di un sistema di codici che, via smartphone, garantisce un riscontro immediato tra la banca e il cliente in ogni operazione. A dettare le nuove linee l’ultima parte della direttiva europea dedicata ai servizi di pagamento digitali, la PSD2 (Payment Services Directive). Dal 14 settembre per entrare e operare nella banca online, autenticarsi e autorizzare operazioni si dovrà utilizzare lo smartphone. Le banche hanno iniziato mesi fa a richiamare i token fisici, che sono considerati rifiuti elettronici speciali e come tali vanno smaltiti. Ogni istituto, comunque, segue un proprio calendario. Per far fronte all’aumento incessante dei rischi e delle truffe per i consumatori, la nuova normativa introduce due nuovi sistemi di autenticazione semplici e sicuri: 3ds 2.0 e Sca (Strong Customer Authentication).

Da oggi tutti i pagamenti online dovranno essere autorizzati con almeno 2 elementi di autenticazione a scelta fra 3 diverse opzioni: un oggetto che possiede solo il cliente (come ad esempio lo smartphone), una caratteristica che possiede solo il cliente (come l’impronta digitale o un altro fattore biometrico) o un’informazione nota solo al cliente (come una password). Addio dunque alle transazioni a distanza inserendo solo il numero della carta di credito e codici del token. Ma non solo. Come spiega oggi Il Sole 24 Ore, la Psd2 non si ferma qui e si spinge ad “aprire” i conti correnti alla possibilità di nuovi servizi: a partire da oggi le banche dovranno mettere a disposizione tutte le informazioni a favore di soggetti terzi che lo chiedano. Ben inteso, sempre che il cliente sia d’accordo.