Dalla crisi finanziaria del 2008, le autorità di regolamentazione hanno lavorato costantemente per identificare i rischi che possono potenzialmente causare eventi di instabilità finanziaria.
Il rischio di una concentrazione della nuvola
La crescita dell'adozione del cloud in tutto il settore dei servizi finanziari (FSI) e il conseguente aumento della dipendenza da fornitori di infrastrutture di terze parti, ha catturato l'attenzione delle autorità di regolamentazione a livello globale, regionale e nazionale.
Una delle principali preoccupazioni normative relative all'adozione del cloud è incentrata sulla resilienza operativa. In particolare, le autorità stanno valutando la complessità del "modello di responsabilità condivisa" che esiste tra un cliente cloud e il fornitore di servizi cloud (CSP) per garantire che vi siano sorveglianza e controlli sufficienti. Un sottoinsieme di questi problemi di resilienza operativa è il rischio di concentrazione del cloud.
Le preoccupazioni derivano dall'eccessiva dipendenza di un istituto da un unico fornitore per i principali servizi bancari. Questo non solo presenta rischi operativi per i singoli istituti, ma genera rischi di instabilità finanziaria per il sistema finanziario nel suo complesso. I rischi di concentrazione sorgono anche quando un numero significativo di istituti ha una capacità operativa o infrastrutturale (sistemi di pagamento, di regolamento e di compensazione) gestita da un unico CSP.
Mentre le stime dettagliate delle quote di mercato IaaS cloud per il settore dei servizi finanziari non sono disponibili al pubblico, la Banca d'Inghilterra ha recentemente pubblicato alcuni risultati di un sondaggio annuale condotto sulle 30 maggiori banche e le 27 principale società di assicurazione che supervisionano per capire come questi istituti utilizzano il cloud. Questo campione include una buona fette delle più grandi banche globali, dato che molte hanno operazioni significative a Londra.
Figura 1 - Fonte dei dati: Bank of England, 17 gennaio 2020. I dati si riferiscono a un campione britannico.
Come si evince dalla figura 1, i due principali CSP detengono una quota di mercato importante nel settore dei servizi finanziari.
Quali sono i fattori chiave che determinano il rischio di concentrazione del cloud?
Dal punto di vista di Cloudera vediamo due categorie distinte di rischio di concentrazione del cloud.
1. Rischi di concentrazione del cloud specifici dell'azienda
Evidenziamo quattro tipi di rischi operativi specifici delle imprese e dipendono dall'architettura di ogni azienda:
Mancanza di Unified Data Security & Governance - Ogni prodotto nativo del cloud ricrea il proprio silo di metadati, rendendo molto più complessa la gestione dei dati, la sicurezza e la governance. Senza un quadro unificato di queste ultime, le istituzioni saranno chiamate a identificare, monitorare e affrontare questioni cruciali nella gestione dei dati che sono fondamentali per una corretta misurazione delle esposizioni al rischio su diverse piattaforme. Ciò è particolarmente vero per gli ambienti ibridi o Multi-Cloud.
Resilienza agli attacchi informatici - Il consolidamento di più organizzazioni all'interno di un unico fornitore di servizi cloud (CSP) rappresenta un obiettivo più interessante per i criminali informatici rispetto a una singola organizzazione. Un'ulteriore complicazione è rappresentata dal fatto che la sicurezza in-the-cloud è una responsabilità condivisa tra il CSP e l'istituzione.
Vendor Lock-In - La concentrazione della quota di mercato di un piccolo gruppo di fornitori di servizi cloud può comportare notevoli effetti di lock-in, per cui un'istituzione non è in grado di cambiare facilmente il proprio fornitore a causa dei termini di un contratto, della mancanza di alternative praticabili, di caratteristiche tecniche proprietarie o di elevati costi di cambio.
Resilienza operativa - Molte delle preoccupazioni in materia di resilienza operativa da parte delle autorità di regolamentazione sono legate al modello di "responsabilità condivisa" inerente al rapporto tra un cliente cloud e il CSP che attualmente prevede che le istituzioni rimangono sempre pienamente responsabili di tutte le funzioni operative che esternalizzano a fornitori terzi.
Rischi sistemici di concentrazione del cloud
I rischi sistemici di concentrazione del cloud consistono in rischi che influenzano la stabilità del sistema finanziario e non sono direttamente sotto il controllo di una singola azienda. Identifichiamo due fattori specifici che incidono sulla stabilità finanziaria:
Mancanza di trasparenza: è improbabile che un fornitore di servizi cloud condivida informazioni dettagliate sui suoi processi, operazioni e controlli, limitando così non solo un singolo istituto, ma anche le autorità di regolamentazione dalla piena visibilità sulle applicazioni che risiedono con un CSP. Le linee guida dell'EBA sull'outsourcing prevedono che le banche istituiscano gradualmente un registro dell'outsourcing che dovrebbe essere completato entro il 31 dicembre 2021. Anche l'ESMA ha recentemente delineato requisiti di segnalazione analoghi.
Preoccupazioni relative al rischio sistemico - Le autorità di regolamentazione sono preoccupate per il rischio sistemico derivante dalla concentrazione di svariate applicazioni critiche di grandi società di servizi finanziari che risiedono sullo stesso CSP. Queste includono applicazioni quali i sistemi di pagamento, di regolamento e di compensazione.
Fortunatamente, le recenti innovazioni nello sviluppo di un'architettura ibrida e multi-cloud completa, genericamente denominata Enterprise Data Cloud, elimina direttamente molte delle preoccupazioni relative ai pericoli del vendor lock-in, nonché la mancanza di una capacità unificata di sicurezza e di governance dei dati multi-cloud, che a sua volta contribuisce a risolvere diversi problemi legati ai rischi di concentrazione del cloud specifici delle aziende.
