Sicurezza e Governance nel Settore Bancario: Guida all’Allegato A del 40° Aggiornamento Circolare n. 285

Introduzione e delineamento dell’Allegato A del 40° aggiornamento della Circolare n. 285 Banca d’Italia

L’aggiornamento del 2 novembre 2022 è stato il quarantesimo per la Circolare n. 285/2013 di Banca d’Italia, sulle disposizioni di vigilanza per le Banche. 

L’aggiornamento ha un focus specifico sulla sicurezza informatica, apportando importanti innovazioni nella gestione dei rischi legati alle tecnologie dell’informazione e comunicazione (ICT) per le istituzioni bancarie. L’obiettivo è potenziare i meccanismi di controllo interno, migliorare la governance, affinare la gestione dei rischi ICT, incrementare la sicurezza dei dati, assicurare la continuità operativa e normare più precisamente l’outsourcing di risorse e servizi ICT.

Una delle novità di spicco è l’introduzione dell’obbligo per le banche di implementare una specifica funzione di controllo rivolta esclusivamente alla gestione e alla sorveglianza dei rischi ICT e di sicurezza. Questa nuova funzione può essere incorporata nelle strutture di controllo già esistenti, quali il Risk Management e la Compliance, purché si mantengano inalterate le necessarie competenze tecniche e l’efficienza dei controlli riguardanti questi rischi. La circolare enfatizza l’importanza di definire chiaramente una strategia ICT, attraverso l’elaborazione e il monitoraggio costante di piani d’azione, per posizionare la sicurezza informatica al centro delle priorità bancarie.

Si pone inoltre l’accento sulla necessità di una revisione annuale dell’intero quadro di gestione dei rischi ICT e sicurezza, compresa la creazione di un inventario preciso e dettagliato degli asset ICT, la loro classificazione secondo il grado di criticità, e l’adozione di misure temporanee per la mitigazione dei rischi identificati. È stata inoltre aggiunta una sezione che tratta la gestione di progetti e modifiche nel settore ICT, sottolineando l’esigenza di una valutazione approfondita dei rischi per ogni variazione significativa apportata al sistema informativo.

Le modifiche apportate vedono coinvolto il Titolo IV nei capitoli n. 3, 4 e 5 e l’Allegato A. 

Quest’ultimo, inserito all’interno del capitolo n. 4 della Circolare, contiene una elencazione riguardante i “documenti aziendali per la gestione e il controllo del sistema informativo”. Ogni documento è associato a specifiche informazioni, tra cui l’organo responsabile dell’approvazione e la frequenza degli aggiornamenti. Questi dettagli contribuiscono a garantire una corretta gestione e un controllo del sistema informativo. 

La documentazione è divisa in tre macro – categorie, contenenti ciascuna un set documentale basato sulla normativa, la gestione e lo sviluppo dei sistemi ICT e le valutazioni aziendali. La suddivisione si presenta come segue:

Documenti di Policy e Standard Aziendali, tra le quali si individuano: 

• Documento di indirizzo strategico: in ambito bancario traccia le linee guida per politiche e approcci strategici, dall’operatività alle normative di conformità, dalla gestione dei rischi agli altri aspetti vitali del settore;
• Metodologia di gestione del rischio ICT e di sicurezza: in questo documento si definiscono le metodologie che le banche devono adottare nella gestione dei rischi relativi all’uso delle tecnologie dell’informazione e della comunicazione ICT e misure di sicurezza. Le banche possono delegare i compiti a una funzione specifica che rispetta le normative europee e nazionali per le funzioni di controllo aziendale di secondo livello, garantendo un adeguato coordinamento con le altre funzioni di controllo, oppure possono assegnare tali compiti alle funzioni aziendali di controllo dei rischi e di compliance;
• Policy di sicurezza dell’informazione: fornisce gli indirizzi necessari per preservare la sicurezza delle informazioni in qualunque forma rappresentate (supporto cartaceo o elettronico), garantendo a ciascuna risorsa, incluse quelle informatiche, per l’intero ciclo di vita delle informazioni, un’adeguata protezione in termini di riservatezza, integrità, disponibilità, verificabilità, accountability, autenticità. 

Altri Documenti Essenziali per la Gestione e lo Sviluppo dei Sistemi ICT, che includono: 

• Piani d’azione per l’attuazione della strategia ICT: viene condotta l’attività di redazione del piano strategico e vengono individuate e descritte le possibili aree di applicazioni per ridurre e contenere i rischi IT;
• Piano operativo ICT: all’interno del piano operativo l’azienda inserisce le proprie priorità operative e le risorse allocate per l’anno successivo. Dettaglia passo dopo passo come attuare le strategie, definendo azioni specifiche, tempistiche, responsabilità e risorse necessarie. È la planimetria per l’innovazione tecnologica, la gestione dei rischi, la conformità e il miglioramento operativo;
• Piano di formazione e sensibilizzazione sulla sicurezza dell’informazione: il servizio di formazione viene svolto con l’interazione tra il personale delle risorse umane e quello ICT, vengono messi a diposizioni corsi di formazione per il personale ed eventuali fornitori di servizi.

Valutazioni Aziendali, tra le quali si hanno:

• Rapporto sintetico su adeguatezza e costi dell’ICT: l’obiettivo del documento è quello di formalizzare in una sintesi i risultati generati della attività di monitoraggio delle prestazioni ICT erogati e i costi sostenuti durante il periodo di riferimento.
• Rapporto sintetico sulla situazione del rischio ICT e di sicurezza; si identificano e vengono valutati i rischi ICT e di sicurezza, e si analizzano la fase di rischio sui processi di business che vengono gestiti localmente.

Fabrizio Bulgarelli
Partner Risk Advisory Services di PKF GODOLI RAS.
Visita il Profilo Linkedin