Il provvedimento della Banca D'Italia: Sintesi dei punti chiave Romano Stasi

Transcript

1 Il provvedimento della Banca D'Italia: Sintesi dei punti chiave Romano Stasi Segretario generale

2 Agenda Nuove Disposizioni di Vigilanza Prudenziale di Banca d Italia Principali elementi di attenzione per i capitoli 8 e 9 Attività ABI Lab a supporto dell adeguamento e della GAP Analysis ABI Lab Centro di Ricerca e Innovazione per la Banca 1

3 Disposizioni di Vigilanza Prudenziale di Banca d Italia Aggiornamento Titolo V: struttura del documento Capitolo 7: Il sistema dei controlli interni Sezione I: Disposizioni preliminari e principi generali Sezione II: Il ruolo degli organi aziendali Sezione III: Funzioni aziendali di controllo Sezione IV: Esternalizzazione di funzioni aziendali (Outsourcing) al di fuori del gruppo bancario Sezione V: Il RAF, il sistema dei controlli interni e l esternalizzazione nei gruppi bancari Sezione VI: Imprese di riferimento Sezione VII: Succursali di banche comunitarie e di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci o in quelli inclusi in un elenco pubblicato dalla Banca d Italia Sezione VIII: Informativa alla Banca d Italia Capitolo 8: Sistema informativo Sezione I: Disposizioni di carattere generale Sezione II: Governo e organizzazione del sistema informativo Sezione III: L analisi del rischio informatico Sezione IV: La gestione della sicurezza informatica Sezione V: Il sistema di gestione dei dati Sezione VI: L esternalizzazione del sistema informativo Capitolo 9: Disposizioni in materia di continuità operativa Allegato A Sezione I: Disposizioni di carattere generale Allegato A Sezione II: Requisiti per tutti gli operatori Allegato A Sezione III: Requisiti particolari per i processi a rilevanza sistemica ABI Lab Centro di Ricerca e Innovazione per la Banca 2

4 Disposizioni di Vigilanza Prudenziale di Banca d Italia Aggiornamento Titolo V: principali evidenze Fonte: Fonte: Comunicato Stampa Banca d Italia Principi di fondo della normativa: coinvolgimento vertici aziendali visione integrata dei rischi efficienza ed efficacia dei controlli applicazione delle norme in funzione della dimensione e della complessità operativa Principali elementi di novità focus capitoli 8 e 9 Definizione dei compiti e delle responsabilità degli organiaziendali con funzione di supervisione strategica, gestione e controllo. Introduzione di una disciplina in materia di esternalizzazionedelle funzioni aziendali e del sistema informativo Con riferimento al capitolo 8 sui sistemi informativi, la disciplina è stata integralmente rivista, disciplinando: governance e organizzazione del sistema informativo gestione del rischio informatico requisiti per assicurare la sicurezza informaticae il sistema di gestione dei dati. presidi di sicurezza per l accessoa sistemi e servizi critici tramite il canale internet, recependo le raccomandazioni della BCE in materia di sicurezza dei pagamenti in internet Con riferimento al capitolo 9 sulla continuità operativa, la normativa riorganizza le disposizioni attualmente contenute in diverse fonti in un unico titolo del documento, introducendo le seguenti novità: ridefinisce le modalità di gestione delle crisi all interno del sistema finanziario, definendo il processo di escalation formalizza il ruolo del CODISE, quale struttura di coordinamento presieduta da Banca d'italia ABI Lab Centro di Ricerca e Innovazione per la Banca 3

5 Disposizioni di Vigilanza Prudenziale di Banca d Italia Versione definitiva TEMPISTICHE DI ADEGUAMENTO Fonte: Fonte: Comunicato Stampa Banca d Italia Le disposizioni sono entrate in vigore il giorno di pubblicazione sul sito Internet della Banca d Italia (3 luglio 2013) Secondo quanto riportato nella Circolare n.263 di Banca d Italia, le banche: si conformano alle disposizioni inserite nel capitolo 8 entro il 1 febbraio 2015, in linea con quella fissata dalla BCEper le raccomandazioni in tema di pagamenti internet. si conformano alle disposizioni contenute nel capitolo 9 entro il 1 luglio adeguano i contratti di esternalizzazione del sistema informativo (Sezione VI) in essere alla data di entrata in vigore delle presenti disposizioni alla prima scadenza contrattuale e comunque entro tre anni dall entrata in vigore (1 luglio 2016). Entro il 31 gennaio 2014 i destinatari della disciplina: hanno inviatoalla Banca d Italia una relazione recante un autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis). La relazione indica le misure da adottare e la relativa scansione temporaleper assicurare il pieno rispetto delle presenti disposizioni. hanno comunicatoalla Banca d'italia i contratti di esternalizzazione in essere alla data di entrata in vigore delle presenti disposizioni e la relativa durata. ABI Lab Centro di Ricerca e Innovazione per la Banca 4

6 Disposizioni di Vigilanza Prudenziale di Banca d Italia Capitolo 8 Sezione I Disposizioni di carattere generale Tra i principali elementi di novità rispetto alla consultazione, si segnalano: ilrecepimento dellerecommendations for the security of internet payments emanate dalla BCE il 31 gennaio 2013 l introduzione delle definizioni di INCIDENTE DI SICUREZZA INFORMATICA: qualsiasi evento che implica la violazione (anche potenziale) delle norme e delle prassi aziendali in materia di sicurezza informatica (es. frodi, malfunzionamenti, disservizi). GRAVEINCIDENTE DI SICUREZZA INFORMATICA: qualsiasi incidentedi sicurezza informatica che comporti: perdite economiche elevate o prolungati disservizi per l intermediario, oppure disservizi rilevanti sulla clientela e altri soggetti, in relazione al numero di clienti e controparti potenzialmente coinvolti e l ammontare del rischio, oppure il rischio che la banca non possa più adempiere agli obblighi di leggeo previsti dalla disciplina di vigilanza. la modifica della definizione di utente responsabile la figura aziendale identificata per ciascun sistema o applicazione e che ne assume formalmente la responsabilità, in rappresentanza degli utenti e nei rapporti con le funzioni preposte allo sviluppo e alla gestione tecnica. ABI Lab Centro di Ricerca e Innovazione per la Banca 5

7 Disposizioni di Vigilanza Prudenziale di Banca d Italia Capitolo 8 Sezione II Governo e organizzazione del sistema informativo PRINCIPALI EVIDENZE Visibilità agli organi con funzioni di supervisione strategica e con funzione di gestionedei processi di gestione dell ICT e della gestione dei sistemi informativi: è richiesta un articolazione organizzativa della funzione ICT che abbia linee di riporto dirette con gli organi al livello dell organo con funzione di gestione, per garantire l unitarietà della visione generale e del rischio informatico Organizzazione del SI: la norma si pone l obiettivo di chiarire i ruoli e le attività dei diversi organi aziendali e la loro relazione con un eventuale outsourcer cui sia affidata la gestione del sistema informativo, lasciando al contempo flessibilità organizzativa Indipendenza di giudizio della funzione di sicurezza informatica: sul fronte delle soluzioni tecniche, è importante che la funzione di sicurezza informatica mantenga indipendenza di giudizio rispetto alle funzioni operative nell espletamento dei compiti assegnati. A tal fine, il dialogo interfunzionale dovrebbe essere improntato a favorire la sinergia delle rispettive competenze pur rispettando l indipendenza nelle valutazioni POSSIBILI LINEE DI AZIONE Assegnazione ruoli e responsabilità (OFSS, OFG, Sicurezza Informatica, Compliance ICT, ICT Audit) Definizione flussi informativi e coinvolgimento organi e strutture competenti per approvazione attività e controlli Definizione struttura organizzativa funzione ICT ABI Lab Centro di Ricerca e Innovazione per la Banca 6

8 Disposizioni di Vigilanza Prudenziale di Banca d Italia Capitolo 8 Sezione III L analisi del rischio informatico PRINCIPALI EVIDENZE Coordinamento dei diversi attori coinvolti Risk Management, Sicurezza Informatica, IT, Utente e, dove previsto, Audit È importante prevedere una stretta collaborazione tra le funzioni preposte al governo della variabile informatica e la funzione di risk management/orm La valutazione del rischio potenziale riguarda i nuovi progetti e le modifiche rilevanti al SI, mentre è prevista una valutazione integrativa per le procedure già in esercizio per le quali non è stata svolta l analisi del rischio in fase di sviluppo Indipendenza e flessibilitàdell adeguamento rispetto alla struttura organizzativa definita dalla banca: i diversi attori potranno cooperare in modo funzionale agli obiettivi della normativa indipendentemente dall assetto organizzativo definito Il ruolo dell utente responsabile: è importante che nella valutazione del rischio e delle soluzioni di mitigazione sia garantito il giusto equilibrio tra il business e le figure con competenze tecniche POSSIBILI LINEE DI AZIONE Definizione obiettivi e metodologie di analisi del rischio informatico e correlazione con l analisi e la gestione del rischio operativo Identificazione della figura dell utente responsabile Valutazione rischio potenziale/effettivo/residuo ABI Lab Centro di Ricerca e Innovazione per la Banca 7

9 Focus Sezione III L analisi del rischio informatico Interazioni tra rischio informatico e rischi operativi PRINCIPALI COMMENTI PROPOSTI IN FASE DI CONSULTAZIONE Promuovere una stretta collaborazione tra l owner del rischio informatico e la funzione di risk management/operational riskmanagement (ORM) Definiremodalità strutturate per interagire con la funzione di riskmanagement, al fine di integrare le valutazioni di carattere tecnologico nel più ampio processo di gestione e analisi del rischio operativo, così come metodologicamente definito da Basilea II e dalle prassi gestionali in campo ORM. INDICAZIONI BANCA D ITALIA Evidenziata l importanza di una stretta collaborazione tra utente responsabile e la funzione RM Utente responsabile: collabora all analisi del rischio di uno specifico sistema di competenza, con l obiettivo principale dell individuazione dei presidi di sicurezza da applicare per ottenere un livello di rischio accettabile rispetto alle esigenze del business Funzione di riskmanagement : gestisce il rischio informatico con un ottica di secondo livello. Condivisa l opportunità di integrare le metodologie dei framework adottati e di sfruttare le sinergie a livello operativo tra la funzione di risk management e il personale specialistico che collabora alle attività di analisi del rischio informatico. Non sono state fornite indicazioni di dettaglio sui modelli di valutazione del rischio e di reporting da adottare. ABI Lab Centro di Ricerca e Innovazione per la Banca 8

10 Correlazione Rischio Informatico Rischio Operativo RELAZIONE TRA RAF e RISCHIO ICT Fonte: Intervento Banca d Italia -seminario ABI Formazione del 24 settembre 2013 ABI Lab Centro di Ricerca e Innovazione per la Banca 9

11 Disposizioni di Vigilanza Prudenziale di Banca d Italia Capitolo 8 Sezione IV La gestione della sicurezza informatica PRINCIPALI EVIDENZE Sono esplicitate le attivitàin carico alla Sicurezza Informatica, checoncorre, tra l altro, al processo di analisi del Rischio Informatico È stata svolta l opera di armonizzazione richiesta delle Disposizioni con altre normative già emanate in materia, quali: le raccomandazioni BCE in materia di sicurezza dei pagamenti internet il Provvedimento dell Autorità Garante per la Protezione dei Dati Personali in materia di circolazione delle informazioni e tracciamento delle operazioni le riflessioni in atto in materia di data e information governance al fine di ridurre la complessità in fase di adeguamento e non creare disallineamenti operativi Analogamente a quanto indicato nel Capitolo 9 per quanto attiene la continuità operativa, viene prevista una procedura di escalation attraverso la quale valutare la gravità degli incidenti di sicurezza informatica e individuare di conseguenza le funzioni a cui comunicare l incidente POSSIBILI LINEE DI AZIONE Processo di redazione e approvazione policy sicurezza informatica Gestione delle operazioni critiche Prevenzione/gestione degli incidenti di sicurezza informatica Interventi tecnologici per il presidio della sicurezza ABI Lab Centro di Ricerca e Innovazione per la Banca 10

12 Focus sulle Raccomandazioni BCE in materia di sicurezza dei pagamenti Internet 1/2 OBIETTIVO GENERALE Definire i requisiti minimi indirizzati a PSP*, Autorità di governo di schemi e sistemi di pagamento ed e- merchant, da applicare nell erogazione di pagamenti tramite cards, credit transfers, e-mandate ed e-money STRUTTURA del DOCUMENTO Le 14 Recommendations sono organizzate in 3 categorie: Controlli generali (Racc. 1-5); Controlli specifici e misure di sicurezza per i pagamenti internet (Racc. 6-11); Comunicazione con la clientela e customer awareness(racc ); composte da Key Considerations e Best Practices. * Banche, istituti di pagamento, istituti di moneta elettronica, Poste e tramite apposite clausole contrattuali anche agli outsorcer coinvolti TEMPI DI IMPLEMENTAZIONE A livello nazionale, le raccomandazioni sono recepite da Banca d Italia e inserite nelle Nuove Disposizioni di Vigilanza Prudenziale. La scadenza per il recepimento è prevista per il 1 febbraio 2015 IMPATTI PER LE BANCHE Secondo quanto previsto dai principi guida fondanti le raccomandazioni, sono previste le seguenti attività: Realizzazione di un assessment specifico dei rischiconnessi all offerta dei servizi di pagamento online (fornite indicazioni di carattere organizzativo e operativo); Introduzione di strumenti di strong authentication in fase di accesso ai servizi on line; Implementazione di procedure efficaci in merito all autorizzazione e monitoraggio delle transazioni per identificare comportamenti anomali e prevenire le frodi; Promozione di iniziative di sensibilizzazione della clientela. ABI Lab Centro di Ricerca e Innovazione per la Banca 11

13 Focus sulle Raccomandazioni BCE in materia di sicurezza dei pagamenti Internet 2/2 FOCUS LA DEFINIZIONE di STRONG AUTHENTICATION Second, as a general principle, the initiation of internet payments as well as access to sensitive payment data should be protected by strong customer authentication. For the purpose of this report, sensitive payment data are defined as data which could be used to carry out fraud. [ ] Strong customer authentication is a procedure based on the use of two or more of the following elements categorisedas knowledge, ownership and inherence: i) something only the user knows, e.g. static password, code, personal identification number; ii) something only the user possesses, e.g. token, smart card, mobile phone; iii) something the user is, e.g. biometric characteristic, such as a fingerprint. In addition, the elements selected must be mutually independent, i.e. the breach of one does not compromise the other(s). At least one of the elements should be non-reusable and non-replicable (except for inherence), and not capable of being surreptitiously stolen via the internet. The strong authentication procedure should be designed in such a way as to protect the confidentiality of the authentication data Uno degli elementi su cui è necessario puntare l attenzione riguarda la definizione adottata di strong authentication che include anche i requisiti di non-reusabilitàe non replicabilità di almeno uno dei mezzi utilizzati. Nella KC 7.1, sono stati al contempo elencati esplicitamentei casi in cui i PSPpossono adottare misure alternative di autenticazione della clientela: pagamenti verso beneficiari sicuri, precedentemente inseriti in apposite white list; transazioni tra due account dello stesso cliente presso lo stesso PSP; trasferimenti all interno dello stesso PSP giustificati dalla risk analysis; pagamenti di importi ridotti, come previsto nella PSD. ABI Lab Centro di Ricerca e Innovazione per la Banca 12

14 Disposizioni di Vigilanza Prudenziale di Banca d Italia Capitolo 8 Sezione V Il sistema di gestione dei dati PRINCIPALI EVIDENZE A livello aziendale viene prevista la definizione di uno standard di data governance, individuando ruoli e responsabilità delle funzioni coinvolte nel trattamento e la gestione dei dati Il processo di gestione dei rischi, la cui definizione è a cura dell organo con funzione di gestione, comprende le fasi di identificazione, misurazione, valutazione, monitoraggio, prevenzione o attenuazione dei rischi connessi con la qualità dei dati È necessario documentare e presidiare le procedure inerenti la gestione e l aggregazione dei dati, i processi di acquisizione di dati da information provider e le procedure di estrazione dei dati, di trasformazione, controllo e caricamento negli archivi centrali POSSIBILI LINEE DI AZIONE Definizione e approvazione standard di data governance Correlazione gestione dati con gestione rischi ABI Lab Centro di Ricerca e Innovazione per la Banca 13

15 Disposizioni di Vigilanza Prudenziale di Banca d Italia Capitolo 8 Sezione VI L esternalizzazione del sistema informativo PRINCIPALI EVIDENZE Outsourcing extragruppo: l esternalizzazione completa o parziale del sistema informativo al di fuori del gruppo deriva da una scelta aziendale basata sull analisi del rischio. Previsione di exit strategies: potrebbe apparire complessa nelle realtà di più piccole dimensioni, per cui andrebbe vista come capacità della banca di poter definire adeguatamente con l outsourcer flussi informativi livelli di servizio policy di sicurezza clausole di recesso Outsourcing infragruppo: alla luce delle operazioni di razionalizzazione delle attività all interno dei gruppi bancari che ha portato alla creazione di società strumentali, le previsioni in materia di esternalizzazione si applicano solo al caso di affidamento di attività all esterno del gruppo POSSIBILI LINEE DI AZIONE Analisi criteri di esternalizzazione Analisi requisiti contratto di fornitura di Sistemi e Servizi ICT ABI Lab Centro di Ricerca e Innovazione per la Banca 14

16 Disposizioni di Vigilanza Prudenziale di Banca d Italia Capitolo 9 Integrazione del tema della continuità operativa PRINCIPALI EVIDENZE Il documento integra diverse normative già esistenti in un unico quadro, un capitolo all interno del quale sono inserite, in un allegato, le nuove disposizioni. Più in dettaglio: STRUTTURA DEL CAPITOLO Capitolo 9: Disposizioni in materia di continuità operativa Allegato A Sezione I: Disposizioni di carattere generale Allegato A Sezione II: Requisiti per tutti gli operatori Allegato A Sezione III: Requisiti particolari per i processi a rilevanza sistemica destinatari della nuova disciplina nuove definizioni e terminologie precedentemente disciplinata nel 2007 precedentemente disciplinata nel 2004 ABI Lab Centro di Ricerca e Innovazione per la Banca 15

17 Disposizioni di Vigilanza Prudenziale di Banca d Italia Capitolo 9 Integrazione fra Incident e Crisis Management PRINCIPALI EVIDENZE La principale novità delle nuove Disposizioni è l introduzione del tema dell IncidentManagementnella normativa, che raccoglie un esigenza nata già in alcune banche per ottimizzare l efficacia del Business Continuity Plan e oggetto di molte progettualità. Viene infatti previsto, a differenza del testo precedente, che in caso di incidente si comunichi quanto accaduto e le relative conseguenze che hanno impattato la banca alle strutture preposte alla dichiarazione dello stato di emergenza. Per molte realtà, tuttavia, sarà necessario del tempo per recepire questa novità. ABI Lab Centro di Ricerca e Innovazione per la Banca 16

18 Disposizioni di Vigilanza Prudenziale di Banca d Italia Capitolo 9 Processi a rilevanza sistemica PRINCIPALI EVIDENZE Le previsioni relative ai processi a rilevanza sistemica si applicano solo ad alcuni soggetti, caratterizzati da particolare rilevanza per il mercato. A seguito dell emanazione delle nuove Disposizioni, ci si attende un nuovo flusso di comunicazioni nominative che confermi i soggetti tenuti all osservanza di tali requisiti. Soggetti Servizi N N X X X X X X X X Per maggiore chiarezza, Banca d Italia indicherà a ciascun operatore i processi a rilevanza sistemica di pertinenza. ABI Lab Centro di Ricerca e Innovazione per la Banca 17

19 Disposizioni di Vigilanza Prudenziale di Banca d Italia Capitolo 9 Tempi di ripristino PRINCIPALI EVIDENZE È stata introdotta una novitànella modalità di valutazione dei tempi di ripartenza: in particolare il rispetto dei tempi prefissati decorre dalla dichiarazione dello stato di crisi. Questo rappresenta una discontinuità forte con impatti procedurali, che richiederà alle banche di lavorare sui processi decisionali per potersi adeguare. Tale previsione riguarda normativamente i soli processi a rilevanza sistemica. Per una maggiore chiarezza espositiva, sono state inserite nella normativa delle definizioni dei diversi tempi contemplati dalle Disposizioni. È stato disciplinato il caso di bloccodei processi a rilevanza sistemica degli altri operatori che determinano a cascata il blocco dei processi a rilevanza sistemica della banca. Il tempo di ripartenza per questi ultimi è di due ore. ABI Lab Centro di Ricerca e Innovazione per la Banca 18

20 Disposizioni di Vigilanza Prudenziale di Banca d Italia Capitolo 9 Ulteriori spunti PRINCIPALI EVIDENZE Aggiornamento del piano di continuità operativa: in carico all Organo con funzione di gestione, è rilevante aggiornare il piano di CO alla luce delle innovazioni dal punto di vista organizzativo, tecnologico e infrastrutturale. Il responsabile del piano di CO è incaricato di verificare l adeguatezza del piano con cadenza almeno annuale. Revisione dell analisi di impatto: alla luce di quanto previsto dalle Nuove Disposizioni, risulta strategica un attenta e dettagliata attività di revisione della Business Impact Analysis. Fornitori critici: è in atto un notevole sforzo da parte delle banche per coinvolgere i fornitori critici in un processo di condivisione e scambio di informazioni. Questo ambito si conferma complesso da portare a termine. ABI Lab Centro di Ricerca e Innovazione per la Banca 19

21 Il questionario di Gap Analysis Capitolo 8 Il sistema informativo ABI Lab Centro di Ricerca e Innovazione per la Banca 20

22 Agenda Nuove Disposizioni di Vigilanza Prudenziale di Banca d Italia Principali elementi di attenzione per i capitoli 8 e 9 Attività ABI Lab a supporto dell adeguamento e della GAP Analysis 21

23 Le attività a supporto dell analisi delle disposizioni Commentario e foglio di lavoro Materiale disponibile sul portale ABI Lab 1. Redazione di un COMMENTARIO Realizzazione di un documento con osservazioni e commenti a supporto della lettura e della comprensione del testo delle disposizioni, al fine di evidenziare i principali punti da considerare in fase di adeguamento e i relativi impatti. Output 1: Foglio di lavoro Output 2: Documento di sintesi ABI Lab Centro di Ricerca e Innovazione per la Banca 22

24 Il commentario alle Disposizioni La versione finale A seguito degli ultimi incontri e discussioni sul tema, è stato revisionato il commentario, diffuso al gruppo di lavoro nel mese di novembre. È disponibile, sul portale ABI Lab, la versione definitiva. Nel documento sono inserite tutte le disposizioni presenti nella Circolare 263: alcuni degli aspetti di novità sono stati approfonditi e commentati da chi ha partecipato all attività di prima stesura del documento. Ringraziamo i partecipanti al tavolo di lavoro che hanno contribuito alla realizzazione del commentario attraverso l invio di commenti e feedback che sono stati raccolti e integrati da ABI Lab. ABI Lab Centro di Ricerca e Innovazione per la Banca 23

25 Le attività a supporto dell analisi delle disposizioni I filoni progettuali di riferimento Materiale disponibile sul portale ABI Lab 2. Individuazione MACRO FILONI PROGETTUALI A supporto della realizzazione dell attività di gap analysis, può essere utile individuarei principali filoni progettuali di adeguamento e le attività previste per ciascuno di essi. I MACRO PROGETTI INDIVIDUATI I Macro Progetti individuati verranno ripresi e analizzati nelle slide successive riguardanti il questionario di Gap Analysis(pubblicato sul sito di Banca d Italia) per considerazioni specifiche su singoli item. ABI Lab Centro di Ricerca e Innovazione per la Banca 24

26 Ambiti di aggregazione progettuale Capitolo 8 Materiale disponibile sul portale ABI Lab ABI Lab Centro di Ricerca e Innovazione per la Banca 25

27 Ambiti di aggregazione progettuale Capitolo 9 Materiale disponibile sul portale ABI Lab ABI Lab Centro di Ricerca e Innovazione per la Banca 26

28 Approfondimento su gestione del rischio di sicurezza Correlazione tra minacce rischio informatico rischio operativo CLASSIFICAZIONE DELLE MINACCE Asset Scenario* Fonte: Sicurezza integrata in banca, ABI Lab, 2007 Minaccia *5 scenari individuati: Cause organizzative Errori umani Guasti tecnici Atti intenzionali Eventi esterni disastrosi L2 correlati ABI Lab Centro di Ricerca e Innovazione per la Banca 27