Razionalizzare le normative ICT per una maggiore resilienza

Cybersicurezza e resilienza informatica sono ormai elementi fondamentali per qualsiasi business. Tuttavia, all’interno delle istituzioni finanziarie, queste tematiche acquisiscono una complessità unica, soprattutto con l’introduzione di normative specifiche come il regolamento DORA (Digital Operational Resilience Act) e la NIS2 (Direttiva sulla sicurezza delle reti e dei sistemi informativi).

L’entrata in vigore di queste normative europee “ha portato numerosi obblighi, ma anche opportunità per standardizzare e migliorare le pratiche aziendali”, spiega Daniele Acito, responsabile ICT Compliance del Gruppo BCC Iccrea, intervistato da compliancedesign.it. Il Gruppo ha intrapreso un percorso orientato alla razionalizzazione normativa, puntando a una compliance integrata. Questo approccio consente di ottimizzare i costi e di creare una struttura di controllo uniforme, capace di incorporare i diversi obblighi senza moltiplicare le complessità gestionali.

Priorità e sinergie normative
Acito specifica che la strategia della banca ha privilegiato una logica di priorità, partendo dal DORA a causa delle scadenze più vicine rispetto alla NIS2, che prevede tempistiche più dilatate. “DORA e NIS2 non possono essere interpretate separatamente: DORA è una lex specialis, quindi chi rispetta il DORA soddisfa automaticamente i principali requisiti della NIS2”, osserva Acito. “Questo approccio semplifica i processi e permette un utilizzo più efficiente delle risorse”. In altre parole, le norme DORA coprono molte delle aree chiave richieste dalla NIS2, eliminando così la necessità di doppie implementazioni.

Il Gruppo BCC Iccrea ha quindi sviluppato un modello operativo che “consenta di costruire sinergie tra normative senza frammentare i processi”, spiega Acito. “Adottiamo un approccio risk-based per concentrare gli interventi dove sono realmente necessari, evitando sovrapposizioni”. L’obiettivo è di mantenere una compliance “efficace ed efficiente”.

Evoluzione della compliance
Con le nuove normative che continuano a moltiplicarsi, è sempre più importante adottare una prospettiva di compliance integrata e sostenibile. In questo contesto, il ruolo della compliance diventa “sempre più centrale, come funzione che contribuisce a una sana e prudente gestione della banca, evitando rischi finanziari e non finanziari e mantenendo un equilibrio tra obiettivi aziendali e profili di rischio sostenibili”.

“La compliance può trasformarsi in un vantaggio competitivo”, spiega Acito, aggiungendo che un corretto approccio normativo contribuisce alla solidità dell’azienda e ne tutela la reputazione. “Questo è particolarmente importante in un contesto regolamentare che evolve rapidamente, richiedendo flessibilità e capacità di adattamento”.

Daniele Acito

La sfida delle terze parti nell’ICT
Un aspetto fondamentale dell’adeguamento a DORA e NIS2 riguarda le terze parti, essenziali per l’infrastruttura tecnologica delle banche. “Nel settore finanziario, l’utilizzo di fornitori esterni, dai giganti globali come Microsoft e Google ai fornitori locali specializzati, è inevitabile e presenta sia rischi sia benefici”.

Il DORA introduce un quadro normativo dettagliato per il monitoraggio dei fornitori critici. “La normativa ci fornisce un quadro di controllo diretto per garantire che gli standard di sicurezza e di continuità operativa siano rispettati a tutti i livelli”. A questo si aggiunge il requisito di verificare l’affidabilità a lungo termine dei fornitori. “Dobbiamo valutare il fornitore non solo in termini di servizi, ma anche di solidità e affidabilità”.

“Questo ci permette di avere un controllo diretto sugli standard adottati e di verificarne l’affidabilità a lungo termine”, sottolinea Acito. La valutazione dei fornitori non si limita alle performance tecniche, ma include anche la loro resilienza economica e organizzativa per anticipare eventuali rischi legati all’esternalizzazione.

Il valore strategico della compliance
A differenza di un tempo, quando la compliance era vista come un obbligo puramente formale, oggi l’attenzione del management si è spostata anche sul valore reputazionale. “Il profilo sanzionatorio è sempre un driver forte, ma è la reputazione aziendale a subire i danni maggiori in caso di inadempienze, soprattutto in un settore come quello bancario”.

Per il Gruppo BCC Iccrea, conformarsi alle normative significa non solo evitare sanzioni, ma anche proteggere la fiducia dei clienti. La reputazione, infatti, è strettamente legata alla percezione dell’affidabilità dell’istituto da parte del mercato e dei clienti. “La reputazione è uno dei beni più preziosi”, afferma Acito, “e mantenerla intatta è essenziale per garantire la sostenibilità del nostro business nel lungo termine”.