• vigilanza
• sistema informativo
• Rischio informatico
• circolare n 263/2006
• Information and Communication Technology

Negli ultimi anni gli attacchi e le minacce informatiche sono aumentati sensibilmente, anche a causa dello sviluppo tecnologico che ha interessato il nostro Paese. Di conseguenza un approccio strategico alla sicurezza dei sistemi informativi è prioritario in tutti gli istituti bancari. La tesi si propone, alla luce del recente aggiornamento riguardante le Nuove disposizioni di vigilanza prudenziale per le banche, di analizzare il processo di gestione del rischio informatico, gli aspetti organizzativi della sicurezza informatica, i profili di sicurezza nella gestione delle risorse umane, informative e tecnologiche. La nuova normativa è in linea di continuità con le previgenti disposizioni ed è volta a spingere le banche a rafforzare ulteriormente la propria capacità di gestire i rischi aziendali, richiedendo che queste si dotino di un sistema di controlli interni completo, adeguato, funzionale e affidabile. La crisi finanziaria ha, infatti, messo fortemente alla prova la capacità delle banche di gestire efficacemente le diverse tipologie di rischi e di reagire prontamente a situazioni di criticità; in tale contesto, è emerso con chiarezza che assetti di governo efficienti e funzioni di controllo autorevoli, attive e indipendenti, consentono di evitare o limitare le perdite conseguenti a situazioni di crisi intense e diffuse. Particolare importanza riveste poi il coinvolgimento attivo dei vertici aziendali nella gestione della banca e nella comprensione dei rischi insiti nell’operatività aziendale. La difficile congiuntura economica, che vede la redditività del settore bancario ancora in flessione e la pressione normativa nel rispetto delle indicazioni di vigilanza, pongono le banche italiane davanti ad un importante punto di svolta nelle strategie di Information and Communication Technology. Tale riflessione induce le banche a considerare e riconfigurare i propri modelli organizzativi, le scelte in ambito tecnologico, i razionali di spesa e le strategie di investimento con l’obiettivo di “efficientare” le macchine operative. Tuttavia, il recente riconoscimento del ruolo strategico dell’ICT all’interno dell’organizzazione aziendale delle banche, che si può leggere nella revisione della normativa della Banca d’Italia n. 263 del 2006 sui controlli interni, e l’attenzione che il regolatore ha posto sulle tematiche relative ai sistemi informativi, richiama la necessità di interventi di rinnovamento che richiedono investimenti consistenti spesso non più rinviabili. In questo contesto i sistemi informativi sono diventati un aspetto rilevante nell’organizzazione e nell’assetto funzionale di ogni impresa bancaria perché viviamo in una società caratterizzata da altissimi gradi di automazione del business aziendale e da un’evoluzione sempre più rapida dell’Information Technology. Questo continuo processo evolutivo, è accompagnato inoltre da un cambiamento nel modo di intendere il rischio informatico all’interno degli istituti bancari.
In particolare, il primo capitolo si sofferma sul ruolo che la tecnologia riveste all’interno delle banche, evidenziandone al contempo sia la natura pervasiva a tutti i livelli dell’organizzazione sia il ruolo di leva strategica che evolve con il business stesso della banca. Oggi, ogni istituzione bancaria ridefinisce i propri modelli di governance considerando la tecnologia una variabile imprescindibile per il conseguimento delle proprie strategie. Di conseguenza l’IT Governance non rappresenta più una materia da accostare alla governance d’impresa, quanto semmai un elemento da includere all’interno della stessa. In questo capitolo viene poi rivolta l’attenzione all’evoluzione che ha caratterizzato i sistemi informativi bancari che, da realtà fondate su semplici procedure manuali, sono aumentati di complessità e dimensioni, determinando una graduale trasformazione dell’azienda bancaria da organizzazione burocratica a modello, a impresa a rete. Nell’ultimo paragrafo, infine, l’attenzione è rivolta agli investimenti in tecnologia e al loro progressivo aumento fino al 2008, anno in cui, a causa della crisi finanziaria, la spesa ICT da parte delle banche ha subito un’inversione di rotta, soprattutto nelle banche di grandi dimensioni, contraddistinte da una tendenza alla rinegoziazione con i propri fornitori. Le banche medie e piccole hanno tenuto invece un livello di spesa pressoché invariato, seppur prediligendo una destinazione della spesa ICT differente rispetto alle banche di maggiori dimensioni e in contrapposizione al passato. Al di là di questa iniziale discriminazione all’interno del settore bancario, ad accomunare gli istituti in questo momento di difficoltà è la particolare avvedutezza al contenimento dei costi, giustificata in parte anche dall’incidenza che la spesa ICT ha sui bilanci delle banche.
Il secondo capitolo si pone l’obiettivo di ripercorrere lo sviluppo della normativa nel corso degli anni per capire dapprima se sussista un nesso causale fra gli eventi della crisi e le normative intervenute, e in seconda istanza in che misura l’importanza del patrimonio informativo si sia visibilmente riflessa nel susseguirsi dei vari aggiornamenti alla disciplina di vigilanza prudenziale. La recente crisi finanziaria ha messo in luce alcuni limiti della cornice regolamentare di Basilea II, determinando la necessità di avviare un processo di revisione regolamentare che ha condotto alla nascita di Basilea III. Con l’introduzione di quest’ultimo accordo di Basilea e dei nuovi parametri di vigilanza si è scritto un nuovo capitolo in tema di governance IT all’interno delle novellate Nuove disposizioni di vigilanza prudenziale, con l’obiettivo di razionalizzare la materia in una sorta di testo unico del sistema informativo. Viene poi fornita alla fine di questo secondo capitolo una descrizione della struttura e dei destinatari del provvedimento
Con il terzo capitolo si entra nel vivo della normativa con una descrizione dei ruoli degli organi aziendali sui quali grava il primario onere di definire un sistema informativo efficace ed efficiente. Vengono inoltre specificati i compiti e le responsabilità attribuiti a ciascuno. Coerentemente con la connotazione IT intensive dell’attività bancaria, si afferma non solo l’esigenza di un’opportuna presa di posizione da parte degli organi apicali sugli aspetti principali di assetto dei sistemi informativi, ma altresì la necessità di dover individuare funzioni ad hoc a cui attribuire la titolarità di quelle attività operative e gestionali nelle quali il rischio informatico dapprima si manifesta.
Infine, il quarto capitolo si apre con una definizione dettagliata del rischio informatico, sulla base della nuova disciplina di vigilanza, e con la sua collocazione nell’ambito dei rischi operativi. Sotto questo profilo, risulterà quindi essenziale esaminare il rischio IT in un’ottica unitaria, ricomprendendo sia le conseguenze di immediata derivazione, sia quelle indirette, nell’ambito del più generale rischio aziendale. Merita, inoltre, di essere sottolineato come questo nuovo aggiornamento alla disciplina prudenziale, per la prima volta a chiare lettere, rileva il ruolo della sicurezza informatica in una duplice accezione: sicurezza delle risorse ICT e sicurezza delle informazioni, dove la prima si considera requisito necessario per il conseguimento della seconda. Il capitolo si chiude con una descrizione dei principali modelli di governo dell’ICT. Banca d’Italia, attraverso l’ultimo aggiornamento della normativa 263/06, propone un livello di sofisticazione del modello di governance che può essere ipotizzato solo se viene definito un percorso di crescita: un’occasione, dunque, da cogliere per l’evoluzione dei modelli organizzativi.
La tesi si propone dunque di descrivere l’impatto che le Nuove disposizioni di vigilanza prudenziale hanno avuto sulla gestione del sistema informativo bancario e in particolare sul rischio informatico, sottolineando l’importanza sempre maggiore che questa tipologia di rischio riveste all’interno di tutti gli istituti bancari.