La normativa DORA, pienamente applicabile dalla metà del gennaio 2025, si occupa nel dettaglio del rapporto tra istituzioni finanziarie e fornitori tecnologici, soprattutto per i servizi critici.
Abbiamo approfondito l’impatto di questo Regolamento con Enrico Ambrosi, VP, Financial Services Sector Leader di Kyndryl Italia, in un episodio del nostro podcast #define banking, di cui questo articolo è un adattamento testuale.
AG. Enrico, anche a te propongo un esercizio di sintesi: puoi darmi tre parole chiave, o tre espressioni, che riassumono l’impatto del DORA?
EA. La prima keyword è “resilienza operativa”, al centro del DORA, che enfatizza l’importanza che le istituzioni finanziarie mantengano la continuità operativa anche di fronte a interruzioni tecnologiche o ad attacchi informatici. Questo, per le banche, si traduce nel potenziamento delle infrastrutture per resistere a shock imprevisti.
La seconda è “sicurezza cibernetica”. Le notizie di ogni giorno ci dicono quanto stiano crescendo le minacce di attacchi informatici. Le banche sono, ovviamente, un obiettivo goloso per la criminalità informatica e devono dotarsi di difese tecnologiche ma anche umane, grazie alla formazione del personale.
Per la terza parola chiave, fino a qualche tempo fa avrei detto “conformità”, ma ho notato che le banche stanno mettendo grande attenzione nella gestione del rischio di terze parti, quindi rispondo “fornitori”. Il DORA responsabilizza le banche anche nel monitoraggio dei rischi associati ai loro partner e questo è un cambiamento importante.
AG. Hai seguito da vicino diversi progetti di sicurezza informatica proprio presso le banche, visto che ti occupi del settore finanziario all’interno di Kyndryl. Nella tua esperienza, come sta cambiando il modo in cui le banche valutano, gestiscono e percepiscono il rischio informatico?
EA. L’approccio è cambiato molto, da reattivo si è fatto proattivo e dinamico. In passato, le banche reagivano agli attacchi, che potevano anche avere provocato dei danni. Oggi l’evoluzione della cyber security, e normative come il DORA, hanno portato le banche a dotarsi di strumenti per anticipare le minacce e valutare il rischio in tempo reale.
L’ho visto, ad esempio, nell’integrazione del rischio cyber nella governance aziendale. Prima era confinato soprattutto nei dipartimenti IT. Oggi, invece, è diventato una questione di strategia complessiva dell’azienda. CdA e dirigenti sono sempre più consapevoli della sua importanza e questo è un cambiamento culturale.
In tutti i progetti degli ultimi anni, la prima valutazione è l’impatto sulla sicurezza complessiva dei sistemi.
Il passaggio a un monitoraggio continuo è stato favorito dall’intelligenza artificiale e da sistemi di apprendimento automatico, che individuano tempestivamente eventuali anomalie.
AG. La terza parola chiave che hai indicato è “fornitori”. Il DORA mette molta attenzione sul loro rapporto con gli enti finanziari. Tu lavori presso un fornitore ICT: come state vivendo questo cambiamento? E come va gestito il tema dei sub-fornitori, su cui la banca deve avere piena visibilità?
EA. Kyndryl è un’azienda che fornisce servizi di infrastruttura IT e stiamo quindi vivendo questo cambiamento in modo diretto. Dal punto di vista contrattuale, ci stiamo adeguando alla normativa, ad esempio abbiamo ormai quasi finito di rivedere tutti i contratti per la conformità alla normativa DORA.
Questo significa garantire alle banche di essere adeguati, di avere adottato misure di sicurezza specifiche, altamente affidabili, di segnalazione tempestiva degli incidenti e di essere preparati.
Quando parliamo di clausole, parliamo di responsabilità ma anche di exit strategy. Oggi credo sia molto importante, per una banca, sviluppare una strategia per la transizione agevole da un fornitore all’altro, oppure per il ritorno in house dei servizi tecnologici critici.
Ci sono poi aspetti centrali, come la sicurezza dei dati, specie quelli sensibili, e delle proprietà intellettuali, che in caso di fine del rapporto di fornitura devono essere adeguatamente protetti e restituiti.
Per quanto riguarda i subfornitori, diventa cruciale la visibilità della banca sulla catena complessiva di fornitura. Oggi gli attacchi cyber puntano a compromettere fornitori di fornitori, specie quando un’azienda ha dei rapporti con più istituti finanziari. Con un attacco andato a segno, colpisci più bersagli finali.
AG. C’è un altro aspetto che riguarda il rapporto con i fornitori ed è quello della dipendenza di una singola banca, o del settore bancario nel suo complesso, da uno o pochi fornitori. Il pensiero va inevitabilmente alle BigTech americane nel cloud. Tu lavori per un’azienda internazionale, ma con sede principale a New York. Come si gestisce questo rischio di dipendenza?
EA. C’è un esempio recente che, secondo me, spiega molto bene come gestire questo rischio. Io ho avuto il privilegio di viverlo in prima persona, perché ho seguito da vicino l’introduzione del cloud nelle banche e nelle compagnie assicurative. E ho visto come è stato gestito il “rischio di concentrazione”.
All’inizio della corsa al cloud, tutti gli enti finanziari erano alla ricerca del “miglior provider cloud”, che volevano utilizzare come piattaforma unica per la loro evoluzione.
Ecco, questo approccio si è rapidamente indebolito, proprio per il rischio di concentrazione. Una dipendenza tecnologica, una scarsa flessibilità o, comunque un lock-in tecnologico, sono tutti elementi che non consentono di sfruttare innovazioni tecnologiche portate da altri provider, anche in termini di cyber security.
Vedo anche un rischio di “vulnerabilità sistemica”, perché una interruzione di un grande cloud provider, per motivi tecnici o per un attacco, si tradurrebbe in un impatto a catena su tutte le banche e le compagnie assicurative che lo utilizzano e che dipendono da esso.
In prima persona ho visto le banche spostarsi verso un approccio multi-cloud, diversificando i fornitori. E il mercato dell’offerta adattarsi di conseguenza: le architetture cloud agnostiche, di cui sono appassionato, hanno rappresentato una svolta.
Per dare risposta alla percezione del rischio di concentrazione e di lock-in, sono state realizzate architetture fantastiche e multi-cloud. Ad esempio con sviluppo a container, come nel caso di Docker, o utilizzando un orchestratore, come Kubernetes.
Di fronte alla percezione di questo rischio e alla necessità di rispondere ai requisiti normativi, è stato il mercato a individuare la risposta.
AG. Uno degli obiettivi del DORA è portare il rischio informatico all’attenzione del top management e di tutte le funzioni aziendali, facendolo uscire dal perimetro dell’ICT. Chi è il vostro interlocutore negli enti finanziari quando parlate di questo tema? Hai visto un effettivo maggiore coinvolgimento di altre funzioni?
EA. La normativa riconosce l’importanza della resilienza operativa e della sicurezza informatica, in un settore finanziario sempre più digitalizzato. Serve un approccio olistico e il nostro interlocutore è multidisciplinare.
Nell’organizzazione di un piano di test, ad esempio, sono coinvolti l’information technology, la compliance, la comunicazione, il CISO e il risk management.
Ma anche le risorse umane hanno un ruolo determinante: non basta la tecnologia, serve formare le persone. Le linee operative, di business, vengono coinvolte perché sono interessate dagli impatti della sicurezza informatica sulle loro attività.
E non dimentichiamoci la comunicazione, chiamata a gestire diversi aspetti cruciali in caso di evento significativo.
AG. Il DORA non riguarda solo le banche, ma anche le Fintech, che si trovano ad adeguare i loro sistemi per avere una tolleranza al rischio informatico commisurata al loro business. Vi state confrontando anche con le Fintech sull’evoluzione delle loro misure di sicurezza?
EA. Non c’è dubbio sul fatto che la tolleranza del rischio informatico deve essere commisurata all’entità del business svolto. Le Fintech sono un target della criminalità informatica, soprattutto quando si occupano di crypto asset oppure di trading ad alta frequenza.
Si tratta di soggetti che possono tollerare un rischio molto basso: i loro sistemi funzionano 24/7 e non prevedono mai finestre di manutenzione. Devono essere sempre operativi e resilienti, perché un blocco operativo di pochi minuti si traduce in perdite finanziarie immediate.
Le Fintech stanno investendo cifre importanti in sistemi di sicurezza informatica avanzata, stress test, formazione del personale, creazione di team interni altamente specializzati, proprio per individuare eventuali vulnerabilità nascoste.
Per loro c’è anche un risvolto legale, perché gli utenti del trading possono avviare cause se non hanno modo di accedere ai propri fondi e di operare sui mercati, soprattutto nei momenti di alta volatilità.
AG. La segnalazione alle autorità scatta al verificarsi di un attacco o di un evento significativo. Si sente spesso dire che tutte le aziende vengono attaccate, presto o tardi, ma non è semplice accorgersi rapidamente che un attacco è andato a buon fine. È effettivamente così? E come devono migliorare i sistemi di monitoraggio?
EA. Dal punto di vista tecnologico, gli attacchi informatici sono sempre più sofisticati. Ci sono casi di codice malevolo introdotto attraverso patch di software o sistemi operativi e che rimangono latenti per mesi all’interno dei sistemi delle banche.
Gli enti finanziari devono quindi dotarsi di sistemi di monitoraggio sempre più complessi e avanzati, per intercettare queste casistiche e tenere il passo con la sofisticazione degli attacchi.
Soprattutto perché il Regolatore impone 4 ore di tempo per inviare una prima notifica alle autorità competenti, 72 ore per dare una segnalazione dettagliata e un mese per il report finale. Queste tempistiche sono sfidanti per fare un’analisi di questi attacchi così sofisticati. Le grandi banche possono avere dei team dedicati, mentre gli enti finanziari più piccoli hanno meno risorse e devono dedicarle alle priorità, ovvero identificare l’incidente e ripristinare il servizio.
Il punto cruciale è la collaborazione tra le aziende del settore finanziario e, in particolare modo, con le Autorità. Fare una segnalazione è visto come un obbligo ma può essere una grande opportunità: fare sinergia nel processo di reazione agli incidenti e di valutazione dell’impatto, è un vantaggio per tutti.
