I CIO alla prova di DORA: come velocizzare il processo per la conformità

È diventato applicativo il Digital Operational Resilience Act (DORA), il regolamento europeo inteso a rafforzare la resilienza operativa del settore bancario e finanziario. Una norma complessa che ha richiesto un notevole sforzo da parte delle aziende interessate (20 tipologie di entità finanziarie) e dei loro CIO per raggiungere la conformità. E il percorso non è necessariamente completato.

“Nei mesi passati le entità finanziarie destinatarie delle previsioni di DORA sono state impegnate a definire internamente i ruoli e le responsabilità relativi alla sicurezza dell’ICT, identificare i maggiori rischi nell’ambito delle funzioni essenziali e importanti, elaborare un quadro di gestione dei pericoli informatici che ricomprenda policy e procedure per il monitoraggio delle risorse ICT e predisporre le misure necessarie a garantire il controllo della supply chain”, sottolinea l’avvocata Giulia Mariuz dello studio legale Hogan Lovells.

Queste azioni sono in linea con i 5 pilastri della legge: Gestione del rischio ICT, Gestione dei test, Gestione/segnalazione degli incidenti, Gestione del rischio di terze parti e Condivisione delle informazioni su vulnerabilità e minacce tra le entità finanziarie (quest’ultimo opzionale).

La conformità si sta rivelando gravosa soprattutto per la parte di gestione del rischio di terze parti, che richiede la revisione dei contratti con i fornitori ICT. Questo elemento di DORA complica di non poco la vita al CIO, che deve passare al vaglio i suoi outsourcer IT e rinegoziare – con il supporto dell’ufficio Legal – i contratti in modo da inserire opportune clausole che tutelano la sua azienda dal punto di vista della cyber-resilienza.

“Il Chief Information Officer dell’entità finanziaria dovrà farsi promotore e controllore della due diligence delle attività interne”, evidenzia l’Avvocata Maria Roberta Perugini. “Il CIO deve avere la mappa degli obblighi della normativa, valutare come si sposano con la realtà in atto, vedere che cosa manca (tramite la gap analysis) e poi collaborare nei processi di selezione e valutazione di fornitori e subfornitori e nella traduzione di tutto questo nelle clausole contrattuali rivolte ai tanti e diversi fornitori ICT che costituiscono la supply chain dell’entità finanziaria, che dovranno tutti permettere a questa di essere conforme”.

DORA, per le imprese una conformità complessa

Il compito è particolarmente impegnativo per le aziende più piccole, che hanno tipicamente meno risorse, sia in termini finanziari che di personale.

“Come spesso accade con normative così ambiziose, il percorso verso la conformità si rivela particolarmente complesso”, afferma Giuseppe Ridulfo, vice responsabile Dipartimento Organizzazione e Responsabile Sistemi Informativi di Banca Popolare Etica Scpa. “Ciò vale soprattutto per le realtà di dimensioni più contenute, come Banca Etica, che si trovano a dover affrontare sfide strutturali significative. DORA, pur con obiettivi condivisibili, manca di un principio di proporzionalità che tenga conto delle differenze tra grandi istituzioni e banche più piccole”.

In queste ultime, spiega Ridulfo, “Il ricorso all’outsourcing per molti asset IT è una necessità consolidata. Questo modello operativo, che consente di accedere a tecnologie e competenze avanzate, si scontra con i requisiti stringenti della normativa, in particolare quelli che impongono un controllo rigoroso sui fornitori terzi e una gestione articolata dei contratti relativi alle funzioni essenziali o importanti. Per una piccola banca, garantire che ogni dettaglio sia conforme a DORA richiede un effort notevole, aggravato da risorse umane e finanziarie spesso limitate”.

Il ritardo nell’arrivo degli RTS (le norme tecniche di regolamentazione) non aiuta.

“Il legislatore non ha completato il processo normativo”, evidenzia Giancarlo Butti, auditor ed esperto di privacy e sicurezza. “Ad oggi sono stati rilasciati ufficialmente solo alcuni dei regolamenti delegati previsti, per cui le entità finanziarie che stanno, per esempio, ridefinendo i contratti con i fornitori dovranno successivamente – una volta che arriveranno gli altri regolamenti delegati – aggiungere la parte relativa alla gestione dei rapporti con i subfornitori. È molto importante infatti, che le entità finanziarie considerino attentamente il rischio dell’intera supply chain. Un aspetto poco considerato è che l’impatto di DORA non coinvolge solo le entità finanziarie ma, indirettamente, tutta la catena di fornitura ICT”.

La complessità di DORA, dunque, non è nel testo in sé, benché corposo , ma nel lavoro che implica per l’adeguamento. Come rileva Davide Baldini, avvocato e partner dello studio ICT Legal Consulting, “DORA è una legge molto chiara, in quanto si tratta di un regolamento, che viene applicato in modo uguale in tutti i Paese dell’UE e contiene disposizioni molto dettagliate. Per fare un confronto, la NIS2 è basata su principi ed è una direttiva, per cui ogni Paese membro ha spazio di manovra nel recepimento. Tuttavia, DORA è molto prescrittiva e questo rende la conformità complessa per il tempo e le risorse umane e finanziarie che occorre mettere in campo”.

Il nodo della gestione dei fornitori ICT

Molti istituti finanziari – grandi e piccoli – si trovano indietro proprio nella revisione della supply chain ICT: i provider tecnologici possono essere molteplici (fornitori e subfornitori) e, ai sensi di DORA, occorre passare al vaglio i contratti con ciascuno e verificare la loro solidità cyber.

“La legge impone quella che si definisce unwavering responsibility”, evidenzia Baldini: “detto semplicemente, sono le banche le responsabili se il fornitore non è affidabile da punto di vista della sicurezza, anche se c’è una proporzionalità sull’importanza delle terze parti. Gli istituti finanziari sono tenuti ad avere un registro con le informazioni sulle terze parti, indicando chi sono, quali prodotti forniscono, e così via, e includendo la documentazione contrattuale. Ed è solo il primo passo: c’è l’obbligo di comunicare queste informazioni alle autorità competenti almeno una volta l’anno. È un processo gravoso”. 

Ovviamente il CIO potrà richiedere ai suoi fornitori più tecnologie, o tecnologie diverse, per assicurarsi la cyber-resilienza operativa e il fornitore potrebbe non essere in grado di fornire i servizi richiesti o vedersi costretto a ricontrattare i prezzi.

“Consideriamo che l’attuale bozza di Regolamento sulla catena del subappalto condiziona la conclusione del contratto di subappalto all’intermediazione attiva del fornitore, stabilendo in modo esplicito sia che questi deve assicurarsi che gli obblighi contrattuali dei subappaltatori permettano all’entità finanziaria di rispettare tutte le norme applicabili, sia che il fornitore è responsabile della fornitura dei servizi forniti dai subappaltatori”, evidenzia l’avvocata Perugini.

Si tratta di un aspetto particolarmente delicato, perché, se è vero che la responsabilità in caso di mancata compliance è dell’entità finanziaria, questa la farà probabilmente ricadere (in termini di possibile risarcimento di danni) sul primo fornitore della sua catena.

Le sfide per i CIO: la governance dell’IT

Nel lavoro che spetta ai CIO la valutazione dello stato dell’arte dei sistemi IT e la mappatura delle terze parti restano la parte critica della compliance a DORA, ma non sono l’unica: ci sono, per esempio, le misure di carattere tecnicorichieste dalla legge (come le attività di network security assessment o di penetration testing), che i CIO dovranno seguire coordinandosi con terze parti cui, solitamente, vengono affidati questi servizi così specializzati.

Un’altra sfida cruciale è rappresentata dal rafforzamento della governance IT.

“La normativa richiede l’istituzione di una funzione di controllo dei rischi ICT indipendente, solida e capace di monitorare in modo efficace tutte le attività legate alla resilienza operativa digitale”, osserva Ridulfo di Banca Etica.

Per le società più piccole questo significa investire in formazione per il personale interno o, se necessario, assumere risorse già pronte dal mercato, affrontando costi e tempi non sempre compatibili con le scadenze normative.

“È una sfida doppia”, secondo Ridulfo: “da un lato, occorre costruire competenze interne; dall’altro, queste competenze devono essere adattate a una normativa che è in continua evoluzione”.

Anche per una banca snella e digitale come AideXa (fintech bank esclusivamente dedicata alle micro e piccole imprese italiane) la sfida della compliance è la capillarità dei processi e delle strutture di controllo richiesta dalla nuova normativa. Al tempo stesso, essere digital-native è stato ed è un vantaggio.

“DORA è una normativa incentrata sulla resilienza e noi, fin dall’inizio, essendo digitali, abbiamo affrontato questi temi: il nostro piano di continuità operativa già era nato per permetterci di essere cyber-resilienti. E avevamo già nei nostri contratti con i fornitori ICT requisiti come gli obblighi di livello di servizio e la business continuity”, afferma Elena Adorno, CIO e COO di Banca AideXa. “DORA è una norma sicuramente complessa e implica dei costi per le entità finanziarie – aggiunge Adorno -, ma noi siamo in fase di scaleup e quindi siamo riusciti ad includere e far convergere gli obiettivi all’interno del  piano industriale che già prevedeva investimenti e crescita. Resta il fatto che il lavoro da fare per il percorso verso la compliance è tanto ed è quotidiano e pervasivo, sia sul piano delle tecnologie da adottare che di gestione dei rischi”.

Come procedere con i nuovi contratti ICT

C’è un altro elemento critico. Quanto è facile sostituire il fornitore o subfornitore che non consente una perfetta conformità a DORA?

“Il problema è che le entità finanziarie non hanno grande potere contrattuale con i fornitori”, osserva Butti. “Inoltre, se il fornitore non aderisce agli adeguamenti contrattuali proposti dalla entità finanziaria, non è detto che quest’ultima ne trovi facilmente un altro che le accetti, e la migrazione potrebbe, comunque, avere un costo elevato. A quel punto occorre un’adeguata gestione del rischio: un singolo fornitore che non aderisca ai requisiti proposti potrebbe comportare l’accettazione di un certo livello di rischio da parte della entità finanziaria, ma non essere facile da sostituire”.

Se tale rischio è ponderato su un totale di fornitori compliant, potrebbe risultare accettabile. Ma è qui che intervengono il management e la governance dell’entità finanziaria, valutando e contrattando le nuove clausole caso per caso.

“Non è pensabile di imporre la propria policy di sicurezza e un contratto standard a tutti i fornitori; la realtà è che occorrerebbe una trattativa con ogni singolo fornitore, che potrebbe avere già implementato i requisiti richiesti dalla normativa con soluzioni diverse da quelle proposte, ma comunque conformi”, afferma Butti. “Si pensi, ad esempio, ad un fornitore che serve decine di entità finanziarie; è impensabile che si adegui alle richieste di ognuna”.

In linea generale, illustra l’avvocata Perugini, lo schema contrattuale proposto dalle entità finanziarie ai fornitori dovrà rispecchiare non solo i contenuti minimi previsti esplicitamente da DORA e dalle altre norme integrative, ma anche gli elementi di normazione interna (regole di tipo organizzativo da tradurre in policy e procedure) necessari per garantire di fatto all’entità finanziaria tutta la flessibilità per adempiere agli obblighi di governance e di controllo dei propri rischi ICT.

“Il necessario coordinamento comporterà dunque la traduzione in clausole contrattuali anche di obblighi di governance interna che la legge pone a esclusivo carico dell’entità finanziaria”, afferma Perugini.

Non solo difficoltà: tutte le opportunità di DORA secondo i CIO

DORA è anche molto concentrata sulla continuità operativa, per cui è importante per il CIO aver implementato politiche di business continuity e disaster recovery.

“Queste sono utili anche per la conformità al GDPR e, in generale, si può dire che il complesso lavoro di adeguamento a DORA ha il risvolto positivo di aiutare le imprese nell’adeguamento ad altre normative dell’UE, a partire, appunto, da quella sui dati personali”, afferma Baldini di ICT Legal Consulting. “La compliance a DORA, infatti, conduce verso una diligente gestione del rischio IT e del rischio delle terze parti e ciò porta alla compliance con tante normative applicabili alle banche, oltre a garantire una migliore cybersecurity e cyber-resilienza, che è esattamente lo scopo della legge”.

Anche Ridulfo di Banca Etica sottolinea, nonostante le difficoltà, che DORA rappresenta anche un’opportunità per rafforzare la resilienza operativa e creare un ecosistema finanziario più sicuro e collaborativo: investire in competenze, sviluppare strumenti di automazione per la conformità e adottare un approccio più collaborativo, per esempio attraverso lo scambio di informazioni sulle minacce informatiche, può aiutare non solo a rispondere alle esigenze normative, ma anche a costruire un futuro più robusto per l’intero settore.

“Nel ruolo di CIO, ciò che si percepisce con chiarezza è che la resilienza digitale non è solo un obbligo normativo, ma anche una responsabilità verso i clienti, i partner e la comunità finanziaria. Il nostro compito non è solo quello di garantire la conformità, ma anche di trasformare questo percorso in un’occasione per costruire sistemi più sicuri e sostenibili”, oseerva Ridulfo. “È altrettanto evidente che la strada per raggiungere questo obiettivo è tutt’altro che lineare e richiede un impegno continuo per bilanciare i requisiti normativi con le risorse e le capacità operative disponibili. Sarebbe necessario che il legislatore adottasse un approccio più proporzionato. Ma la sfida, per quanto impegnativa, è anche un’opportunità per innovare, crescere e contribuire alla costruzione di un ecosistema finanziario più equo e resiliente”.

Adorno di Banca AideXa tiene a precisare che DORA ha delle potenziali implicazioni positive per le società più piccole.

“La prima è che aiuta ad aumentare il potere contrattuale verso i fornitori tecnologici: se, da un lato, il compito di rivedere tutti i contratti con la supply chain dell’ICT è gravoso, le aziende – spesso con scarso potere contrattuale nei confronti delle big tech che non rientravano nel perimetro delle esternalizzazioni ICT, – possono ora fare leva su requisiti che sono normati dal regolamento”, rileva Adorno.

Un altro beneficio di DORA, prosegue la manager, è che dà la spinta all’industrializzazione dei processi.

“I requisiti di DORA ci permettono di accelerare sull’automazione dei processi non core”, spiega. “La riduzione delle attività manuali era in programma nel nostro piano industriale, ma ora questo regolamento fornisce un ulteriore stimolo”.

I prossimi mesi saranno cruciali

Ad oggi, come visto, c’è un ritardo diffuso sulla compliance a DORA. Come dichiara Baldini, “Questo primo anno servirà come rodaggio”.

L’avvocata Giulia Mariuz di Hogan Lovells osserva: “È nei mesi che verranno che le società soggette al DORA avranno la possibilità di testare le misure predisposte nell’ambito dei propri quadri di gestione dei rischi e dei processi di due diligence sui fornitori terzi di servizi ICT (ed eventuali subfornitori), così come la solidità delle misure contrattuali adottate nel rispetto dei requisiti del DORA. Di fatto, per garantire il rispetto di una normativa così tecnica e in continua evoluzione sarà essenziale gestire i vari aspetti della compliance tramite team multidisciplinari. Il CIO, insieme alle funzioni legali e di compliance e con il supporto attivo dei CISO, avrà un ruolo centrale”.

Anche il regolatore dovrà fare la sua parte. Ridulfo sottolinea la complessità per il CIO di gestire la continua evoluzione del quadro normativo.

“Oltre al regolamento stesso, già intrinsecamente complesso, la produzione di RTS, standard tecnici di implementazione ITS e linee guida da parte delle autorità europee aggiunge un ulteriore livello di incertezza”, conclude Ridulfo. “Le modifiche introdotte da questi atti delegati possono alterare in modo sostanziale i progetti in corso, costringendo le banche a ripensare piani già avviati e a destinare risorse aggiuntive per aggiornamenti costanti. Questa dinamica rende il lavoro di pianificazione e implementazione estremamente complesso, trasformando il processo di conformità in una corsa contro il tempo in un terreno che muta continuamente”.