Strategia UE per il fintech: la Commissione europea propone un nuovo quadro regolamentare per la resilienza operativa digitale
La strategia in materia di finanza digitale per l’Unione europea e la proposta di regolamento
Nell’era digitale, la tecnologia dell’informazione e della comunicazione (in inglese Information and Communications Technology, ICT) ha acquisito un ruolo fondamentale nella finanza e nelle attività quotidiane di tutte le imprese finanziarie.
Il crescente livello di digitalizzazione dei servizi finanziari, unito alla presenza di asset di alto valore e di un’ingente mole di dati (e.g., dati relativi a conti bancari, investimenti e assicurazioni), rende il sistema finanziario vulnerabile a incidenti operativi e ad attacchi informatici (sempre più frequenti e sofisticati)[1], con ingenti costi di centinaia di miliardi di euro per l’economia globale[2].
Per tali ragioni, i rischi connessi all’uso di sistemi di rete e di informazione (o rischi ICT)[3] hanno attirato l’attenzione della politica, delle competenti autorità di regolamentazione e degli organismi di normazione sia nazionali sia europei, che si sono mossi nel tentativo di creare un quadro regolatorio armonizzato ed efficace.
Al momento, infatti, i requisiti relativi alla gestione del rischio ICT nel settore finanziario dell’Unione europea (di seguito Unione o UE) sono dispersi in diverse normative (e.g., PSD2[4] e MIFID[5]) e nelle linee guida emesse dall’Autorità bancaria europea, dall’Autorità europea degli strumenti finanziari e dei mercati e dall’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (congiuntamente, le Autorità europee), che nel 2019 avevano sottolineato la necessità di adottare un approccio più coerente nell’affrontare i rischi ICT nel settore finanziario[6].
In tale contesto, il 24 settembre 2020, la Commissione europea ha pubblicato la comunicazione relativa a una strategia in materia di finanza digitale (o fintech) per l’UE, individuando le priorità che guideranno le azioni dell’UE per promuovere la trasformazione digitale fino al 2024, tra cui ridurre al minimo i rischi derivanti dal crescente sviluppo delle minacce informatiche, quali – inter alia – il pericolo di furto di fondi dei consumatori o la compromissione dei loro dati[7].
Nell’ambito di tale priorità e contestualmente alla strategia, la Commissione ha presentato una proposta di regolamento sulla resilienza operativa digitale nel settore finanziario o “Digital Operational Resilience Act” (DORA), volta a stabilire un quadro normativo armonizzato in tema di resilienza operativa digitale[8] e sicurezza dei servizi ICT[9] e, di conseguenza, permettere alle imprese e ai consumatori di trarre vantaggio dal fintech mitigando al contempo i rischi connessi.
Il DORA, laddove approvato, avrà applicazione con riferimento a un vasto novero di entità finanziarie tra le quali figurano non solo istituti bancari, ma anche istituti di credito, di pagamento e di moneta elettronica, fornitori di cripto-asset[10], fondi di investimento alternativi, imprese di assicurazione, istituti di previdenza, etc. (congiuntamente, le “Entità finanziarie” od “Operatori”).
Le Entità finanziarie saranno destinatarie di una serie di adempimenti e di obblighi differenziati a seconda delle dimensioni, dei profili di business, nonché dell’esposizione al rischio digitale[11] e saranno incoraggiate a condividere reciprocamente informazioni, al fine di aumentare la consapevolezza in relazione alle cyber-minacce, limitare la capacità di diffusione delle stesse e implementare le proprie capacità difensive (art. 40, DORA).
Gli adempimenti richiesti dal DORA alle Entità finanziarie
Come anticipato, il DORA stabilisce regole mirate in materia di gestione del rischio ICT, volte a garantire, tra l’altro, il pieno allineamento tra le strategie degli Operatori.
In tale contesto, l’organo amministrativo delle Entità finanziarie avrà un ruolo centrale e attivo nel guidare il quadro di gestione del rischio ICT, adottando un approccio volto a coltivare – ad ogni livello aziendale e per tutto il personale – un forte senso di consapevolezza sui rischi informatici e a rispettare una rigorosa cyber hygiene[12].
La responsabilità finale dell’organo amministrativo – quale principio generale dell’approccio adottato dal DORA – si traduce nell’onere di definire, approvare e monitorare su base continuativa un framework per la gestione del rischio ICT, che, ai sensi dell’art. 5, DORA, dovrebbe – inter alia – contenere:
- obiettivi chiari in materia di sicurezza informatica;
- misure tecniche e organizzative volte a prevenire e ad assicurare un rapido recupero dei sistemi a fronte di eventuali indicenti e/o cyber-attacchi (g., politiche di business continuity[13] e piani di disaster recovery[14]);
- la programmazione – su base periodica e almeno una volta all’anno – di test di resilienza operativa digitale, volti a individuare eventuali punti deboli, carenze o lacune, nonché ad adottare le necessarie misure correttive[15];
- una strategia di segnalazione in caso di incidenti ICT.
Proprio con specifico riferimento all’ultimo punto sopracitato, le Entità finanziarie saranno tenute a implementare processi adeguati per garantire la gestione e il follow-up degli incidenti ICT, adottando le misure di cui all’art. 15, par. 3, DORA, tra cui – a titolo esemplificativo – quelle volte a:
- monitorare e registrare gli incidenti ICT;
- classificare gli incidenti ICT sulla base dei criteri forniti dall’art. 16, DORA[16] e di quelli ulteriori che saranno identificati dalle Autorità europee;
- segnalare alle autorità competenti individuate sulla base dei criteri di cui all’art. 41, DORA e – se del caso – agli utenti interessati, gli incidenti ICT “rilevanti”[17].
Tale meccanismo consentirà di attenuare le conseguenze dei cyber-attacchi, così evitando – o quanto meno mitigando il rischio – che i sistemi perdano integrità o diventino indisponibili e che i dati ivi contenuti vengano violati.
La gestione del rischio ICT connesso all’utilizzo dei servizi di terzi
Negli ultimi anni le attività finanziarie sono diventate sempre più dipendenti dai servizi ICT offerti da terzi fornitori (“Fornitori ICT” o “Provider”)[18], che consentono agli Operatori di adattarsi ad un’emergente e competitiva economia digitale globale.
L’uso estensivo dei servizi ICT è evidenziato dal ricorso a complessi accordi contrattuali, che tuttavia non sempre soddisfano adeguatamente le esigenze specifiche delle Entità finanziarie o prevedono sufficienti garanzie in termini di standard prudenziali, esercizio di diritti o poteri e monitoraggio dei processi di gestione dei servizi.
Inoltre, nonostante alcuni sforzi per disciplinare l’outsourcing nel settore finanzio[19], la questione del rischio connesso all’utilizzo dei servizi dei Provider risulta ancora insufficientemente affrontata all’interno del panorama regolatorio dell’Unione.
A fronte delle summenzionate criticità, il DORA delinea dei principi-guida cui gli Operatori dovranno attenersi nella gestione dei rapporti con i Fornitori ICT, stabilendo altresì gli elementi minimi che i contratti di outsourcing dovranno contenere, tra cui:
- una completa descrizione dei servizi forniti dai Provider e degli obiettivi di performance quantitativi e qualitativi in capo agli stessi;
- disposizioni in materia di accessibilità, disponibilità, integrità, sicurezza e protezione dei dati personali;
- obblighi di notifica – in capo ai Fornitori ICT – in caso di guasti dei sistemi e/o di incidenti informatici;
- diritti di accesso, ispezione e revisione da parte delle Entità finanziarie nei confronti dei Provider.
Il DORA promuove, altresì, l’uso volontario di Standard Contractual Clauses (SCC), ossia modelli di clausole contrattuali che verranno elaborate dalla Commissione e che potranno essere incorporate in un contratto più generale, purché non vengano modificate[20].
Infine, i Fornitori ICT considerati “critici” sulla base dei criteri di cui all’art. 29, DORA[21] saranno sottoposti alla sorveglianza di un “lead overseer”, designato dalle Autorità europee per valutare se il Provider abbia messo in atto regole, procedure e, in generale, meccanismi idonei a gestire i rischi ICT[22].
Conclusioni
In un contesto in cui il livello di sicurezza dei servizi ICT risulta spesso inferiore rispetto al livello di sofisticazione raggiunto dalla criminalità informatica, il DORA disegna un modello di resilienza digitale by design, che prevede una gestione del rischio integrata nell’intero ciclo di vita dei servizi.
Il DORA consentirà, inoltre, di tutelare i diritti dei consumatori, promuovere un settore finanziario data-driven e agevolare la crescita delle aziende, garantendo al contempo un’effettiva parità di condizioni e rendendo il quadro normativo dei servizi finanziari all’interno dell’UE più favorevole all’innovazione.
Ciò costituisce un ulteriore tassello nel quadro di armonizzazione in materia di sicurezza informatica implementato dal legislatore europeo, il quale nel corso degli ultimi anni ha mosso passi importanti con l’adozione di numerosi provvedimenti, tra cui si ricordano la Direttiva NIS[23] (attualmente in fase di revisione), il Cybersecurity Act[24] (che ha rafforzato il ruolo dell’ENISA e ha introdotto un sistema di certificazione della sicurezza informatica di tutti i servizi digitali), nonché il GDPR[25], con cui il DORA condivide molti concetti “chiave” (e.g., la responsabilizzazione dell’organo di gestione, le procedure di incident management e l’adozione di misure atte a garantire un livello di sicurezza adeguato al rischio).
Per quanto riguarda i passi futuri, il DORA dovrà passara ora al vaglio del Parlamento e del Consiglio UE, che potranno introdurre ulteriori modifiche al testo legislativo.
Nel prossimo futuro, inoltre, le Autorità europee svilupperanno gli standard tecnici di regolamentazione e le specificazioni richieste dal DORA, quali protocolli di sicurezza e piani di business continuity e disaster recovery.
Note
[1] Si segnala che l’Agenzia europea per la sicurezza delle reti e dell’informazione (European Union Agency for Cybersecurity, ENISA) ha pubblicato il suo ottavo rapporto annuale “ENISA Threat Landscape 2020”, identificando e valutando le principali minacce informatiche per il periodo gennaio 2019-aprile 2020. Per un approfondimento sul tema, consultare la pagina disponibile al seguente link: www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2020.
[2] Per un approfondimento sul tema, L. Tremolada, “Gli attacchi informatici costano 8 milioni di dollari alle aziende in Italia”, in www.ilsole24ore.com/art/gli-attacchi-informatici-costano-8-miliardi-dollari-aziende-italia-ACjRLsc?refresh_ce=1.
[3] Nello specifico, per “rischio ICT” si intende qualsiasi circostanza ragionevolmente identificabile in relazione all’uso di sistemi di rete e di informazione (e.g., malfunzionamento, sovraccarico di capacità, guasto, interruzione, deterioramento, uso improprio) che, se si verifica, può: (i) compromettere la sicurezza della rete e dei sistemi di informazione, di qualsiasi strumento o processo dipendente dalla tecnologia, (ii) pregiudicare l’integrità o la disponibilità dei dati, del software o di qualsiasi altro componente di servizi e infrastrutture ICT, (iii) causare una violazione della riservatezza, un danno all’infrastruttura fisica ICT o ad altri effetti negativi (art. 3, par. 1, n. 4, Regolamento).
[4] Direttiva (UE) 2015/2366 “relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE”, disponibile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32015L2366&from=EN.
[5] Direttiva (UE) 2014/65 “relativa ai mercati degli strumenti finanziari e che modifica la direttiva 2002/92/CE e la direttiva 2011/61/UE”, disponibile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32014L0065&from=en.
[6] Per un approfondimento sul punto, si veda il documento disponibile al seguente link: www.esma.europa.eu/jc_2019_26_joint_esas_advice_on_ict_legislative_improvements.pdf.
[7] Sul punto, la Commissione ha chiarito che presterà particolare attenzione alla promozione delle nuove opportunità offerte dal fintech ai consumatori nel rispetto delle norme sulla protezione dei dati e, in particolare, del Regolamento (UE) 679/2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.
[8] Per “resilienza operativa digitale” si intende la capacità di un’entità finanziaria di costruire, assicurare e rivedere la propria integrità operativa da un punto di vista tecnologico, garantendo, direttamente o indirettamente (i.e., attraverso l’utilizzo di servizi offerti da fornitori ICT), l’intera gamma di capacità ICT necessaria ad affrontare la sicurezza della rete e dei sistemi informativi, che supportano la fornitura e la qualità dei servizi finanziari (art. 3, par. 1, n. 1, Regolamento).
[9] Per “servizi ICT” si intendono i servizi digitali e di dati erogati attraverso tecnologie dell’informazione e della comunicazione, compresi la fornitura, l’inserimento, l’archiviazione e l’elaborazione di dati, i servizi di reporting, il monitoraggio dei dati, nonché i servizi di supporto alle attività e alle decisioni basate sui dati (art. 3, par. 1, n. 16, Regolamento).
[10] Per “crypto-asset” si intende un tipo di attività registrata in forma digitale e resa possibile dall’uso della crittografia, che non è e non rappresenta un credito o una passività di un’entità identificabile.
[11] Per esempio, le microimprese sono esonerate da tutta una serie di obblighi, quali stabilire complessi disposizioni di governance, eseguire valutazioni approfondite dopo importanti cambiamenti nelle infrastrutture di rete e nei sistemi informativi, condurre regolarmente analisi di rischio sui sistemi ICT legacy, etc. Viceversa, gli istituti finanziari più importanti avranno maggiori responsabilità rispetto alle altre Entità finanziarie.
[12] Per “cyber-hygiene” si intende “una serie di principi, semplici ma efficaci, che devono essere osservati quotidianamente per minimizzare, e se possibile azzerare, il livello di rischio residuo delle applicazioni aziendali” (G. Ciminari e A. De Spagnolis, Cyber Hygiene: gli ingredienti di base per un programma di cyber protection, in www.ictsecuritymagazine.com/articoli/cyber-hygiene-gli-ingredienti-di-base-per-un-programma-di-cyber-protection/).
[13] Per “politiche di business continuity” si intende un processo finalizzato all’individuazione di minacce (cui una determinata azienda potrebbe essere esposta) e alla definizione delle azioni necessarie a garantire la resilienza dell’organizzazione, preservandone l’operatività e l’immagine.
[14] Per “piano di disaster recovery” si intende un insieme di misure che permettono agli apparati IT delle imprese di superare situazioni di emergenza, ripristinando dati e funzionalità operative a seguito di incidenti qualsiasi tipo.
[15] Sul punto, si precisa che l’art. 23, Regolamento impone alle Entità finanziare classificate come “significative” (e.g., grandi istituti di credito, borse valori e depositi centrali di titoli) di condurre ogni tre anni test di penetrazione guidati su strumenti, sistemi e processi ICT. Per “test di penetrazione guidato” si intende un test che imita le tattiche e le tecniche degli attori delle minacce informatiche nella vita reale (art. 3, par. 1, n. 13, Regolamento).
[16] Tra i criteri si segnalano: il numero di utenti e di controparti interessati dall’incidente, la durata e la portata geografica dell’incidente e i dati eventualmente persi a causa dell’incidente.
[17] Le dalle Autorità europee forniranno i criteri in base ai quali classificare un incidente come “rilevante”, tenendo conto dei fattori di cui all’art. 16, Regolamento.
[18] Per “fornitore terzo di servizi ICT” si intende un’impresa che fornisce servizi digitali e di dati, compresi i fornitori di servizi di cloud computing, software, servizi di analisi dei dati, data centre, ad esclusione dei fornitori di componenti hardware e delle imprese forniscono servizi di comunicazione elettronica ai sensi dell’articolo 2, n. 4, della Direttiva (UE) 2018/1972 “che istituisce il codice europeo delle comunicazioni elettroniche” (art. 3, par. 1, n. 15, Regolamento).
[19] Si vedano, ad esempio, le linee guida sull’outsourcing nel settore finanziario emesse dall’Autorità bancaria europea il 27 febbraio 2019, disponibili al seguente link: eba.europa.eu/sites/default/documents/files/documents/10180/2551996/38c80601-f5d7-4855-8ba3-702423665479/EBA revised Guidelines on outsourcing arrangements.pdf.
[20] Sul punto, si precisa che il ricorso alle SCC non è nuovo al legislatore europeo e, in particolare, alla Commissione, che ha elaborato strumenti contrattuali che consentono di trasferire dati personali verso Paesi terzi o organizzazioni internazionali ai sensi dell’art. 46, par. 2, lett. c) e lett. d) del Regolamento (UE) 679/2016. Per un approfondimento sul tema, consultare la pagina disponibile al seguente link: ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_it.
[21] Sul punto, si segnala che le Autorità europee stabiliranno, pubblicheranno e aggiorneranno annualmente l’elenco dei Fornitori ICT ritenuti critici, sulla base di criteri quali, ad esempio, la diffusione e la sostituibilità all’interno del mercato europeo.
[22] Si precisa che il lead overseer avrà ampi poteri per svolgere i suoi compiti (art. 31, Regolamento), potendo addirittura imporre delle penalità pari all’1% del fatturato medio giornaliero mondiale del Fornitore ICT critico nell’anno commerciale precedente.
[23] Direttiva (UE) 2016/1148 “recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, disponibile al seguente link: eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L1148&from=IT.
[24] Regolamento (UE) 2019/881 “relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»)”, disponibile al seguente link: eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32019R0881&from=IT.
[25] Regolamento (UE) 679/2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, disponibile al seguente link: eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT.
Articolo a cura di Ariella Fonsi e Carlo Impalà