Il 4 ottobre 2021, tre applicazioni di social network e messaggistica istantanea facenti capo a una delle più importanti società tecnologiche del mondo hanno subìto un blocco temporaneo, impedendo l’accesso a milioni di account a livello globale. Il disservizio, durato poco più di 6 ore, ha allarmato gli utenti, impossibilitandone alcuni nello svolgimento del proprio lavoro e trasferendone altri su piattaforme competitor.
“Quello che è accaduto a ottobre è uno degli esempi che dimostrano a cosa possa portare una falla nell’integrità operativa dal punto di vista tecnologico, capace di causare rischi elevati e di impattare fortemente una società e i suoi servizi”, spiega Gianbattista Geroldi, Chief executive officer di Objectway Italia. “La complessità delle tecnologie e dei sistemi sta crescendo, così come le minacce e i rischi collegati, data la quantità enorme di dati e informazioni raccolti”. Ma come evitare che questi episodi accadano? La parola d’ordine, in questo caso, è resilienza operativa digitale. E la Commissione europea è in prima linea sul tema.
L’Unione europea e la DORA
Era stata presentata a dicembre 2019 una prima bozza di normativa per armonizzare gli obblighi e innalzare gli standard in materia di cyber security per gli stati membri dell’Unione europea. Dopo dodici mesi di consultazioni, nel 2020 veniva pubblicata la versione finale del Digital Operational Resilience Act (DORA), un nuovo paradigma europeo per la gestione dei temi di sicurezza informatica e di tecnologia dell’informazione e della comunicazione nell’ambito dei servizi finanziari. L’entrata in vigore del regolamento, prevista per il 2022, dovrà trovare preparate le società del settore, dagli istituti di credito alle compagnie di assicurazione, dai gestori patrimoniali agli istituti di pagamento fino alle emittenti di cripto-asset.
La resilienza operativa digitale oggetto della proposta di Regolamento DORA si propone di adattare il quadro giuridico e operativo europeo alle nuove istanze della digitalizzazione, per sostenere il potenziale della finanza digitale in termini di innovazione e concorrenza, attenuando allo stesso tempo i rischi per gli investitori. In sostanza, riguarda la capacità di un istituto finanziario di creare, assicurare e riesaminare la propria integrità operativa da un punto di vista tecnologico, garantendo, direttamente o indirettamente – attraverso fornitori di tecnologie dell’informazione e della comunicazione (ICT) – il corretto funzionamento e la sicurezza delle reti e dei sistemi informativi utilizzati per fornire servizi finanziari.
Cresce la domanda di servizi digitali, accessibili e sicuri
“La pandemia da COVID-19 ha imposto un ripensamento generale delle modalità con cui si erogano i servizi finanziari, aumentando esponenzialmente la domanda di servizi digitali, facilmente accessibili e sicuri.”, continua Geroldi. “Alcune aziende sono state capaci di cogliere questa sfida aumentando i livelli di interconnessione e sicurezza, mentre altre hanno faticato, dimostrandosi non abbastanza resilienti. Normative come DORA mirano a minimizzare la probabilità di situazioni di criticità in futuro, prevenendo, rispondendo e imparando dalle disruption operative del passato, e garantendo al contempo standard di gestione a tutela dei clienti finali”.
Gli impatti di DORA sulle istituzioni finanziarie
Questo regolamento avrà impatti su diverse aree all’interno delle istituzioni finanziarie. A livello di governance, dovrà avvenire un potenziamento delle responsabilità per le funzioni interne ICT, con il monitoraggio della corretta applicazione delle policy e dei processi di gestione del rischio, e reporting continuo sugli incidenti e sulle soluzioni correttive implementate. Le aziende dovranno inoltre definire un programma onnicomprensivo di test di resilienza operativa digitale, adottando anche nei confronti dei propri fornitori ICT una strategia per il monitoraggio e la gestione dei rischi.
“Uno e solo deve essere il mantra delle società del settore: garantire costantemente accesso e disponibilità dei propri servizi nei confronti dei clienti”, aggiunge Geroldi. “Questo sarà centrale nel consolidare la relazione tra il consumatore e l’istituto finanziario, aumentando la fiducia nei confronti del brand”. Anche la componente economica va tenuta in considerazione, data la quantità di denaro necessaria per rispondere all’interruzione dei servizi digitali e affrettarne la ripresa. “Non dover affrontare crisi improvvise farà risparmiare alle società investimenti in esperti e soluzioni dell’ultimo minuto, facilitando e velocizzando la ripresa da eventi inaspettati”, conclude Geroldi.