L'APPROFONDIMENTO

Fintech e digital banking, ecco come la Ue rafforza le misure anti-hacker

Il Digital Operational Resilience Act va nella direzione di una difesa unica europea per tutti gli operatori del settore finanziario, che avranno 24 mesi per adeguarsi alle regole. Il nuovo approccio, improntato alla “resilience by design”. L’analisi di Andrea Rigoni, Eu Digital Policy Center Director di Deloitte

17 Nov 2022

Andrea Rigoni

Eu Digital Policy Center Director di Deloitte

fintech

La recente approvazione del Digital Operational Resilience Act (Dora) da parte del Parlamento europeo segna un momento di svolta epocale nella gestione dei rischi all’interno del settore finanziario. Ad essere impattato, infatti, non è solo il mondo Cyber, bensì tutto il top management chiamato a valutare gli scenari di rischio all’evolversi continuo delle minacce, dei servizi, dei cambi tecnologici e delle terze parti. La portata rivoluzionaria del Dora, tuttavia, non si limita a questa mera dimensione organizzativa, ma va ben oltre coinvolgendo, oltre alle grandi banche, anche le assicurazioni, gli operatori e le infrastrutture di mercato soprattutto Ict, indipendentemente dalle loro dimensioni.

Le implicazioni di Dora

Sottovalutare il Dora e le sue implicazioni, quindi, rappresenta un grave errore che dimostra la mancata comprensione del disegno complessivo del regolatore: non un mero adeguamento di ciascuna organizzazione a più elevati standard sicurezza, bensì la costruzione di un ecosistema finanziario europeo – oggi caratterizzato da una rete di operatori di servizi finanziari eterogenei fortemente interconnessi e addirittura interdipendenti – in grado di scongiurare le conseguenze nefaste (se non tragiche) per i cittadini europei derivante dall’effetto domino a cui possono condurre gravi interruzioni dell’operatività digitale degli operatori finanziari, a fronte di un contesto sociale, geopolitico, ambientale ed economico sempre più complesso.

WHITEPAPER
Pagamenti digitali: la sfida si contende sul campo dell’Intelligenza Artificiale
Pagamenti Digitali
Digital Payment

Come cambia il sistema finanziario

Per meglio navigare in questa complessità, il Dora intende preparare il sistema finanziario europeo a far fronte agli scenari più critici spingendo le organizzazioni ad assumere che gravi incidenti siano inevitabili e a sviluppare elevati livelli di resilienza a tali eventi nel modello operativo di funzioni e servizi critici in un’ottica di resilience by design. A questo proposito, sono rafforzati il ruolo le responsabilità del top management a cui sono richieste competenze e sensibilità adeguate a comprendere e a gestire i nuovi rischi (es. rischi geopolitici), sviluppare strategie di prevenzione e risposta dinamica in continuo adattamento agli scenari di minaccia e assumere decisioni consapevoli e tempestive per la mitigazione degli stessi. È altresì introdotto il regime di vigilanza per i fornitori Ict di servizi critici in cui ricadranno anche fintech, cloud provider, gestori di Crypto Assets o fornitori di servizi finanziari in Crowdfunding, e sono rafforzati i modelli di stress testing in base ai quali l’operatore finanziario verrà periodicamente testato a fronte di scenari di minaccia recenti e verosimili (es. riproduzione delle tipiche tecniche di intrusione e di attacco) per verificare l’effettiva efficacia delle strategie di difesa messe in atto dall’operatore finanziario. Fondamentale risulta la promozione dello sviluppo di capabilities strategiche come la threat intelligence, e l’incoraggiamento dell’information sharing tra le entità finanziarie relativamente a minacce cyber, intelligence, tecniche, alert, tool e altro ancora che possa rafforzare la resilienza digitale.

È chiaro quindi che il Dora impone un cambio radicale di paradigma nell’approccio al digitale e ai rischi connessi che influisce sul modello di business: al top management di tutti gli operatori interessati verrà richiesto di non preoccuparsi più solo della sostenibilità finanziaria, ma anche della “resilience”, ovvero della capacità di continuare ad operare anche in caso di incidenti o eventi perturbanti causati dal dominio digitale.

Agli operatori è concesso un periodo di adeguamento ai nuovi requisiti pari a 24 mesi dalla pubblicazione del regolamento in Gazzetta Ufficiale Ue. Attenzione però che i tempi saranno in realtà più stringenti se si tiene conto che la regolamentazione di secondo livello (RTS – Regulatory Technical Standards) dovrà essere presentata entro 18 mesi, lasciando poco tempo agli operatori finanziari per adeguarsi ai nuovi requisiti.

@RIPRODUZIONE RISERVATA
Argomenti trattati

Personaggi

A
andrea rigoni

Aziende

D
deloitte

Approfondimenti

D
Digital Banking
D
digital payment
F
Fintech

Articolo 1 di 5