Tesi etd-06232019-161322 |
Link copiato negli appunti
Tipo di tesi
Tesi di laurea vecchio ordinamento
Autore
COZZOLINO, ANGELA
URN
etd-06232019-161322
Titolo
Cyber risk nelle banche: recenti orientamenti di vigilanza prudenziale
Dipartimento
ECONOMIA E MANAGEMENT
Corso di studi
ECONOMIA E COMMERCIO
Relatori
relatore Prof.ssa Iacoviello, Giuseppina
Parole chiave
- vigilanza prudenziale
- rischio cibernetico
- Cyber risk cyber security
- cyber resilience
- business continuity
Data inizio appello
08/07/2019
Consultabilità
Non consultabile
Data di rilascio
08/07/2089
Riassunto
La minaccia costituita dal susseguirsi di attacchi informatici sempre più sofisticati, dalla potenziale portata globale, ha portato il tema delle vulnerabilità in ambito cyber all'attenzione mondiale, ed ha reso il cyber risk una tematica di grandissima attualità, che si presta a molteplici chiavi di lettura.
Si è qui scelto di esaminarlo in relazione alla sua incidenza sulle gestioni bancarie, e nell'ottica di vigilanza, andando cioè ad evidenziare gli sviluppi più innovativi emersi nelle strategie prudenziali internazionali per il suo fronteggiamento. Si è proceduto ad una rassegna ragionata dei principali interventi delle massime authority regolamentari di settore, da tempo impegnate in una paziente attività di censimento ed analisi dei provvedimenti regolamentari e delle best practice di ambito bancario adottati nei diversi sistemi nazionali e regionali. Ne emerge da un lato un panorama estremamente frammentario, generato da un diffuso dinamismo regolamentare che negli ultimi tre anni si è sviluppato in modo disorganizzato, dall'altro il tentativo di convergenza attualmente in atto verso l'elaborazione di standard uniformi, dinamici, frutto di un indispensabile sforzo di armonizzazione e cooperazione internazionale, indispensabile per il fronteggiamento di un'alea dalla natura composita, evolutiva, transnazionale.
L'analisi si sviluppa su tre capitoli. Il primo è dedicato all'inquadramento del rischio cyber e alla evidenziazione delle caratteristiche che rendono il suo presidio all'interno della gestione dei rischi bancari un'attività complessa ed irta di difficoltà operative. Si parte da una nuova definizione di cyber risk, appena introdotta con la pubblicazione del Cyber Lexicon del Financial Stability Board. Si tratta di una grande novità, perché sgombra il campo dalla confusione terminologica che ha caratterizzato sia gli interventi delle numerose authority, sia i contributi dottrinali in materia. La proposta di un riferimento condiviso per la perimetrazione di quest'alea, e per l'individuazione univoca dei caratteri fondamentali da riconoscere alle nozioni connesse di cyber security e cyber resilience, costituisce un passo importante per la cooperazione internazionale, che necessita di parametri comunicativi convenzionali, e in definitiva per l'esercizio di una azione di vigilanza prudenziale coerente. Il cyber risk amplia i suoi confini, a ricomprendere eventi dannosi anche non intenzionali, purché esplichino il proprio impatto in relazione alla dimensione di interconnessione online dell'intermediario. La categoria del cyber risk viene raffrontata con quella di rischio ICT, di rischio fintech e, per il contesto italiano, con quella di rischio informatico di Banca d'Italia.
Dopo una panoramica del fenomeno fintech, e dei suoi risvolti in tema di vigilanza bancaria, la trattazione prosegue mettendo in luce le caratteristiche di sistematicità ed intertemporalità dell'alea cyber, ed i problemi aggregativi che rendono particolarmente ardua la quantificazione del rischio cyber all'interno del framework di risk management bancario. Risulta così evidente che la gestione del rischio cyber non possa essere efficacemente condotta con gli strumenti a disposizione del singolo intermediario,e si impone la necessità di un intervento pubblico, che apre uno spazio per l'azione concordata ed armonizzata delle Authority, a salvaguardia della stabilità del singolo istituto e dell'intero settore bancario.
Il secondo capitolo è dedicato alle strategie di cyber security e di cyber resilience, che sono divenute il fulcro della vigilanza prudenziale bancaria in tema di contrasto del cyber risk. All'elemento tradizionale di salvaguardia del patrimonio informativo, articolato nelle accezioni di confidenzialità, integrità, disponibilità, e poi autenticità, responsabilizzazione, sicura attribuibilità, affidabilità, si accompagna la nuova centralità dell'esigenza di business continuity, con particolare accento sulle funzioni critiche, il tutto nell'intento di preservare la fiducia del pubblico, che costituisce il principale asset sia per gli intermediari, sia per il settore bancario e finanziario. Negli orientamenti di vigilanza prudenziale internazionale spiccano i contributi offerti dal Cyber Expert Group (che dopo essersi impegnato nella redazione degli Elementi fondamentali di Cyber Security si sta dedicando ad approfondimenti su tematiche di grande interesse condiviso, quali l'outsourcing e l'attività di testing), l'opera di fondamentale raccordo svolta dal Financial Stability Board (che oltre al Cyber Lexicon ha prodotto un repertorio estremamente dettagliato degli interventi e delle pratiche di cybersecurity internazionale) e dal Comitato di Basilea (che ha appena pubblicato un'altra importante raccolta dedicata alle pratiche internazionali di cyber resilience). Ne risulta che i trend emergenti tra i vari interventi dei regulator internazionali, nonostante il contesto ancora eterogeneo e privo di riferimenti certi per gli intermediari in termini di requisiti di vigilanza prudenziale, si sviluppano lungo direttrici comuni, concordando su alcune priorità condivise: una accresciuta attenzione per i profili di macrostabilità; la necessità di delineare standard uniformi e dinamici, che presidino l'alea cyber senza pregiudicare le opportunità presentate per gli intermediari dagli importanti sviluppi fintech; la volontà di rafforzamento della cyber resilience, nella consapevolezza che gli strumenti tecnologici non siano in grado di prevenire completamente il verificarsi di incidenti.
In tal senso, si registrano importanti convergenze in tema di: necessità di incorporazione del cyber risk all'interno del framework di gestione del rischio delle banche; esigenza di una strategia integrata di cyber security, che investa tutti i processi aziendali e li caratterizzi fin dalla progettazione; adozione di misure a rafforzamento della resilienza di intermediario e di settore (tra cui assumono particolare rilievo attività costanti di monitoraggio e testing, ed approntamento di piani di contingenza); l'attenzione per le interconnessioni che espongono la banca a vulnerabilità cyber (in primis, il ruolo di snodi fondamentali della rete come le infrastrutture di mercato finanziario ed i rapporti in esternalizzazione con terze parti, spesso non soggette a scrutinio prudenziale); la assoluta centralità di attuare protocolli di collaborazione e cooperazione internazionali e intersettoriali, per fronteggiare la natura essenzialmente cross-border del cyber risk; l'uso crescente di strumenti di testing; la necessità di diffondere consapevolezza sul tema della cyber security, che si concreta sia sul piano fondamentale della comunicazione in occasione di incidenti informatici, sia sulla necessità di un riordino della governance bancaria, che crei una responsabilizzazione diffusa nell'organizzazione bancaria, a partire dal livello apicale fino a coinvolgere tutti i soggetti a vario titolo operanti all'interno della banca.
La tesi si conclude con l'esame dei principali interventi in tema di contrasto del cyber risk nel quadro regolamentare europeo, nell'ambito delle strategie di cybersecurity portate avanti dall'Unione Europea, dall'Autorità Bancaria europea e dalla Banca Centrale Europea all'interno del Meccanismo di vigilanza unico, che presentano riflessi importanti sulle gestioni bancarie: tra essi, il Fintech Plan ed il Cybersecurity Act della Commissione Europea, le direttive NIS, PSD2 e il regolamento GDPR, gli Orientamenti dell'EBA, il framework di hacking etico TIBER-Eu appena varato dalla BCE.
Si è qui scelto di esaminarlo in relazione alla sua incidenza sulle gestioni bancarie, e nell'ottica di vigilanza, andando cioè ad evidenziare gli sviluppi più innovativi emersi nelle strategie prudenziali internazionali per il suo fronteggiamento. Si è proceduto ad una rassegna ragionata dei principali interventi delle massime authority regolamentari di settore, da tempo impegnate in una paziente attività di censimento ed analisi dei provvedimenti regolamentari e delle best practice di ambito bancario adottati nei diversi sistemi nazionali e regionali. Ne emerge da un lato un panorama estremamente frammentario, generato da un diffuso dinamismo regolamentare che negli ultimi tre anni si è sviluppato in modo disorganizzato, dall'altro il tentativo di convergenza attualmente in atto verso l'elaborazione di standard uniformi, dinamici, frutto di un indispensabile sforzo di armonizzazione e cooperazione internazionale, indispensabile per il fronteggiamento di un'alea dalla natura composita, evolutiva, transnazionale.
L'analisi si sviluppa su tre capitoli. Il primo è dedicato all'inquadramento del rischio cyber e alla evidenziazione delle caratteristiche che rendono il suo presidio all'interno della gestione dei rischi bancari un'attività complessa ed irta di difficoltà operative. Si parte da una nuova definizione di cyber risk, appena introdotta con la pubblicazione del Cyber Lexicon del Financial Stability Board. Si tratta di una grande novità, perché sgombra il campo dalla confusione terminologica che ha caratterizzato sia gli interventi delle numerose authority, sia i contributi dottrinali in materia. La proposta di un riferimento condiviso per la perimetrazione di quest'alea, e per l'individuazione univoca dei caratteri fondamentali da riconoscere alle nozioni connesse di cyber security e cyber resilience, costituisce un passo importante per la cooperazione internazionale, che necessita di parametri comunicativi convenzionali, e in definitiva per l'esercizio di una azione di vigilanza prudenziale coerente. Il cyber risk amplia i suoi confini, a ricomprendere eventi dannosi anche non intenzionali, purché esplichino il proprio impatto in relazione alla dimensione di interconnessione online dell'intermediario. La categoria del cyber risk viene raffrontata con quella di rischio ICT, di rischio fintech e, per il contesto italiano, con quella di rischio informatico di Banca d'Italia.
Dopo una panoramica del fenomeno fintech, e dei suoi risvolti in tema di vigilanza bancaria, la trattazione prosegue mettendo in luce le caratteristiche di sistematicità ed intertemporalità dell'alea cyber, ed i problemi aggregativi che rendono particolarmente ardua la quantificazione del rischio cyber all'interno del framework di risk management bancario. Risulta così evidente che la gestione del rischio cyber non possa essere efficacemente condotta con gli strumenti a disposizione del singolo intermediario,e si impone la necessità di un intervento pubblico, che apre uno spazio per l'azione concordata ed armonizzata delle Authority, a salvaguardia della stabilità del singolo istituto e dell'intero settore bancario.
Il secondo capitolo è dedicato alle strategie di cyber security e di cyber resilience, che sono divenute il fulcro della vigilanza prudenziale bancaria in tema di contrasto del cyber risk. All'elemento tradizionale di salvaguardia del patrimonio informativo, articolato nelle accezioni di confidenzialità, integrità, disponibilità, e poi autenticità, responsabilizzazione, sicura attribuibilità, affidabilità, si accompagna la nuova centralità dell'esigenza di business continuity, con particolare accento sulle funzioni critiche, il tutto nell'intento di preservare la fiducia del pubblico, che costituisce il principale asset sia per gli intermediari, sia per il settore bancario e finanziario. Negli orientamenti di vigilanza prudenziale internazionale spiccano i contributi offerti dal Cyber Expert Group (che dopo essersi impegnato nella redazione degli Elementi fondamentali di Cyber Security si sta dedicando ad approfondimenti su tematiche di grande interesse condiviso, quali l'outsourcing e l'attività di testing), l'opera di fondamentale raccordo svolta dal Financial Stability Board (che oltre al Cyber Lexicon ha prodotto un repertorio estremamente dettagliato degli interventi e delle pratiche di cybersecurity internazionale) e dal Comitato di Basilea (che ha appena pubblicato un'altra importante raccolta dedicata alle pratiche internazionali di cyber resilience). Ne risulta che i trend emergenti tra i vari interventi dei regulator internazionali, nonostante il contesto ancora eterogeneo e privo di riferimenti certi per gli intermediari in termini di requisiti di vigilanza prudenziale, si sviluppano lungo direttrici comuni, concordando su alcune priorità condivise: una accresciuta attenzione per i profili di macrostabilità; la necessità di delineare standard uniformi e dinamici, che presidino l'alea cyber senza pregiudicare le opportunità presentate per gli intermediari dagli importanti sviluppi fintech; la volontà di rafforzamento della cyber resilience, nella consapevolezza che gli strumenti tecnologici non siano in grado di prevenire completamente il verificarsi di incidenti.
In tal senso, si registrano importanti convergenze in tema di: necessità di incorporazione del cyber risk all'interno del framework di gestione del rischio delle banche; esigenza di una strategia integrata di cyber security, che investa tutti i processi aziendali e li caratterizzi fin dalla progettazione; adozione di misure a rafforzamento della resilienza di intermediario e di settore (tra cui assumono particolare rilievo attività costanti di monitoraggio e testing, ed approntamento di piani di contingenza); l'attenzione per le interconnessioni che espongono la banca a vulnerabilità cyber (in primis, il ruolo di snodi fondamentali della rete come le infrastrutture di mercato finanziario ed i rapporti in esternalizzazione con terze parti, spesso non soggette a scrutinio prudenziale); la assoluta centralità di attuare protocolli di collaborazione e cooperazione internazionali e intersettoriali, per fronteggiare la natura essenzialmente cross-border del cyber risk; l'uso crescente di strumenti di testing; la necessità di diffondere consapevolezza sul tema della cyber security, che si concreta sia sul piano fondamentale della comunicazione in occasione di incidenti informatici, sia sulla necessità di un riordino della governance bancaria, che crei una responsabilizzazione diffusa nell'organizzazione bancaria, a partire dal livello apicale fino a coinvolgere tutti i soggetti a vario titolo operanti all'interno della banca.
La tesi si conclude con l'esame dei principali interventi in tema di contrasto del cyber risk nel quadro regolamentare europeo, nell'ambito delle strategie di cybersecurity portate avanti dall'Unione Europea, dall'Autorità Bancaria europea e dalla Banca Centrale Europea all'interno del Meccanismo di vigilanza unico, che presentano riflessi importanti sulle gestioni bancarie: tra essi, il Fintech Plan ed il Cybersecurity Act della Commissione Europea, le direttive NIS, PSD2 e il regolamento GDPR, gli Orientamenti dell'EBA, il framework di hacking etico TIBER-Eu appena varato dalla BCE.
File
| Nome file | Dimensione |
|---|---|
La tesi non è consultabile. |
|