Da un decennio, il Cloud computing ha trasformato la gestione e l’organizzazione delle imprese, in particolare nel settore bancario. Questa tecnologia, che consente un accesso remoto a servizi informatici standardizzati (infrastrutture, piattaforme, software), ha rivoluzionato i modelli organizzativi e i modelli di business degli istituti di credito. Tuttavia, questa transizione verso il Cloud comporta sfide regolamentari e rischi, in particolare in termini di sicurezza, riservatezza e dipendenza dai fornitori.

In questo contesto, le autorità europee, sotto l’egida dell’Autorità Bancaria Europea (EBA), hanno elaborato quadri regolamentari per disciplinare l’esternalizzazione verso il Cloud, mentre il progetto di regolamento DORA (Digital Operational Resilience Regulation) ambisce a rafforzare la resilienza operativa delle istituzioni finanziarie. Questo articolo propone un’analisi approfondita dei requisiti attuali in materia di esternalizzazione verso il Cloud e delle evoluzioni attese con DORA.

Il Cloud computing: una rivoluzione per gli istituti di credito

Il Cloud computing si definisce come un modello di gestione informatica che consente l’accesso remoto a servizi come l’archiviazione di dati, le piattaforme di sviluppo o i software, attraverso infrastrutture virtualizzate e condivise. Si declina in tre grandi categorie:

  • Cloud privato: Un’infrastruttura dedicata a una singola impresa, che offre un controllo maggiore ma richiede investimenti significativi.
  • Cloud pubblico: Un’infrastruttura condivisa tra più clienti, più economica ma meno personalizzabile.
  • Cloud ibrido: Una combinazione dei due, che permette di sfruttare i vantaggi di ciascun modello.

Queste infrastrutture supportano tre tipi principali di servizi:

  • IaaS (Infrastructure as a Service): Fornitura di infrastrutture virtuali, come server o spazio di archiviazione, che il cliente configura a distanza.
  • PaaS (Platform as a Service): Messa a disposizione di una piattaforma per sviluppare ed eseguire applicazioni.
  • SaaS (Software as a Service): Accesso a software tramite un abbonamento, generalmente attraverso un browser web.

Per gli istituti di credito, il Cloud offre una flessibilità senza precedenti, riducendo i costi di investimento in hardware e accelerando l’innovazione. Tuttavia, questa crescente dipendenza da un numero limitato di fornitori, spesso non europei, espone le banche a rischi informatici e sistemici in caso di défaillance di questi ultimi.

L’evoluzione del quadro regolamentare europeo

Di fronte all’espansione del Cloud, l’EBA ha introdotto nel 2019 delle linee guida specifiche sull’esternalizzazione ai fornitori di servizi in nube (EBA/REC/2017/03). Queste raccomandazioni miravano a disciplinare la relazione contrattuale tra gli istituti di credito e i fornitori, ponendo l’accento su sicurezza, riservatezza, localizzazione dei dati e conformità. Tuttavia, tali linee guida sono state rapidamente integrate in un quadro più ampio, con l’adozione delle linee guida EBA/GL/2019/02, entrate in vigore il 30 settembre 2019. Questo nuovo quadro comprende tutte le esternalizzazioni, incluse quelle al Cloud, e si concentra su diversi aspetti chiave:

  • Valutazione delle funzioni critiche o importanti: Una funzione è considerata critica se la sua défaillance comprometterebbe la conformità dell’istituto, le sue performance finanziarie o la continuità dei suoi servizi.
  • Notifica e registro: Gli istituti devono informare le autorità competenti (come l’ACPR in Francia) delle esternalizzazioni critiche e mantenere un registro aggiornato di tali dispositivi.
  • Gestione dei rischi: I contratti devono disciplinare i rischi legati all’esternalizzazione in catena e prevedere audit regolari.
  • Continuità e reversibilità: Gli istituti devono elaborare piani di continuità e strategie di uscita per garantire la resilienza in caso di défaillance del fornitore.

A livello nazionale, la Francia ha integrato tali requisiti nell’ordinanza del 3 novembre 2014 sul controllo interno, rivista nel 2021. Questo testo impone agli istituti di rivedere i loro contratti di esternalizzazione al Cloud entro il 31 dicembre 2022, pena l’obbligo di informare l’ACPR delle misure correttive previste.

I requisiti chiave dell’esternalizzazione verso il Cloud

Le linee guida dell’EBA e l’ordinanza francese stabiliscono un quadro di governance rigoroso per l’esternalizzazione al Cloud. Ecco i principali requisiti:

  1. Analisi preliminare

Prima di concludere un contratto, gli istituti devono:

  • Valutare se la funzione esternalizzata è critica o importante.
  • Identificare il tipo di Cloud (privato, pubblico, ibrido) e il servizio (IaaS, PaaS, SaaS).
  • Analizzare i rischi operativi, giuridici e informatici, inclusi quelli legati alla localizzazione dei dati o alla stabilità politica del paese del fornitore.
  1. Registro delle esternalizzazioni

Un registro deve censire tutte le esternalizzazioni, distinguendo chiaramente le funzioni critiche dalle altre, e deve essere regolarmente aggiornato.

  1. Gestione dei rischi

Gli istituti devono monitorare i rischi legati al modello di Cloud scelto e alla possibile subappaltazione. Ciò include la valutazione della concentrazione delle attività presso un unico fornitore, che potrebbe accrescere la dipendenza.

  1. Relazione contrattuale

Il contratto deve specificare:

  • I requisiti di sicurezza dei dati, in particolare la loro localizzazione e il loro trattamento.
  • Gli obiettivi di performance (quantitativi e qualitativi) per consentire un monitoraggio regolare.
  • Le condizioni di subappaltazione, se autorizzata, in conformità alle linee guida dell’EBA.
  • Un diritto di accesso e audit per l’istituto e le autorità competenti.
  1. Due diligence

Gli istituti devono verificare l’idoneità del fornitore a fornire servizi affidabili, valutandone le capacità tecniche, le risorse umane e finanziarie, nonché la conformità alle norme di protezione dei dati.

  1. Monitoraggio continuo

È richiesto un controllo continuo dei fornitori, in particolare in caso di cambiamenti significativi, con un monitoraggio delle performance e una sensibilizzazione del personale ai temi della sicurezza.

  1. Piani di emergenza e strategia di uscita

I contratti devono includere piani di continuità per far fronte a una défaillance del fornitore. Deve essere inoltre definita una strategia di uscita chiara per facilitare la transizione verso un altro fornitore, se necessario.

Governance: un pilastro centrale

L’EBA sottolinea l’importanza di una governance solida. Gli organi di direzione degli istituti devono:

  • Definire chiaramente le responsabilità in materia di gestione delle esternalizzazioni.
  • Allocare risorse sufficienti per garantire la conformità.
  • Approvare e aggiornare una politica di esternalizzazione, applicata a livello individuale e consolidato.

Un quadro superiore o una funzione dedicata deve essere designato per supervisionare tali dispositivi e riferire direttamente alla direzione.

Il regolamento DORA: verso un’armonizzazione europea

Nonostante i progressi delle linee guida EBA, il loro carattere non vincolante ha portato a un’eterogeneità dei quadri regolamentari in Europa. Per rimediare a ciò, la Commissione Europea ha proposto nel settembre 2020 il regolamento DORA, un testo di applicazione diretta che mira ad armonizzare le regole e a rafforzare la resilienza operativa degli istituti finanziari. DORA si articola attorno a due pilastri:

  • Consolidamento delle regole esistenti: Il regolamento integra le linee guida EBA sulla definizione delle funzioni critiche, la gestione dei contratti e la governance.
  • Supervisione dei fornitori critici: DORA introduce un approccio innovativo sottoponendo i fornitori di servizi Cloud critici alla supervisione delle autorità europee. I fornitori non europei, per i quali una sorveglianza diretta risulterebbe inefficace, potrebbero vedersi vietare la fornitura di servizi agli istituti europei.

Il carattere critico di un fornitore sarà valutato da un comitato congiunto delle Autorità europee di vigilanza, sulla base di criteri come:

  • La sostituibilità del servizio.
  • L’impatto di una défaillance sulle attività dell’istituto.
  • L’importanza sistemica dei clienti del fornitore.

DORA mira a ridurre i rischi informatici e sistemici, in un contesto segnato dalla moltiplicazione degli attacchi informatici. Sebbene il testo sia ancora in discussione, una versione definitiva è attesa nei prossimi mesi.

Sfide e prospettive

L’esternalizzazione verso il Cloud offre agli istituti di credito opportunità di innovazione ed efficienza, ma espone anche a rischi di dipendenza e sicurezza. Le linee guida EBA e l’ordinanza francese del 2014 costituiscono un primo passo verso una disciplina rigorosa, ma il regolamento DORA promette un approccio più integrato e vincolante. Sottoponendo i fornitori critici a una supervisione diretta, DORA potrebbe ridurre i rischi sistemici, pur ponendo sfide per i fornitori non europei.

Per gli istituti di credito, la conformità ai requisiti attuali e la preparazione a DORA richiedono:

  • Una revisione proattiva dei contratti di esternalizzazione.
  • Una governance rafforzata, con risorse dedicate.
  • Una vigilanza accresciuta sulla gestione dei rischi e sulla resilienza operativa.

In conclusione, l’esternalizzazione verso il Cloud e l’evoluzione regolamentare incarnata da DORA riflettono la necessità di bilanciare innovazione tecnologica e stabilità finanziaria. Mentre il settore bancario continua a navigare in questo ambiente complesso, la collaborazione tra istituti, regolatori e fornitori sarà cruciale per garantire una transizione di successo verso un ecosistema digitale resiliente.

gp@giovannellapolidoro.com

Leave a comment