DORA: Le nuove sfide per le funzioni di assurance – Uno schema di Analisi

di Fabio ACCARDI

Premessa

L’avvio del nuovo anno si presenta ricco di novità e di sfide in diversi ambiti e settori ma per alcuni operatori  le scadenze sono particolarmente ravvicinate e ci riferiamo a coloro che a partire dal 17 gennaio dell’ anno in corso sono tenuti ad adeguarsi alla nuova normativa europea in tema di resilenza digitale in virtù del Digital Operational Resilience Act (DORA ).

Il regolamento è stato pubblicato  il 27 dicembre 2022  in Gazzetta Ufficiale (Regolamento UE 2022/2554), entrato in vigore il 16  gennaio 2023, divenendo poi vincolante nel mese in corso.  In termini generali questo regolamento si applica agli operatori finanziari dell’UE fornendo un modello completo di gestione del rischio tecnologico.

La portata è significativamente ampia in quanto detta standard tecnici ai quali sono soggetti non solo entità finanziarie, in primis banche ed assicurazioni, ma anche diversi altri soggetti, tra i quali, i  fornitori critici  di  servizi tecnologici di terze parti.

In tema di governo e controllo dei rischi il settore finanziario si dimostra all’avanguardia in un ambito che richiederà a breve uno sforzo  di adeguamento da parte di tutti gli operatori in contrasto a tendenze “miopi“ che tendono a vedere il tema dei rischi tecnologici non in un ottica strategica ma come tema per soli “addetti ai lavori”⁽¹⁾.

In cosa consiste questa nuova prospettiva è quello che cercheremo di  esaminare in questo contributo dove proveremo a focalizzarci preliminarmente sui temi della resilienza nella prospettiva del governo e controllo dei rischi  per  provare a fornire una chiave di lettura  alla nuova normativa  nell’ ottica secondo l’approccio  presentato nel mio libro⁽²⁾ e richiamato in diversi contributi presenti in questa piattaforma  che ne ha ospitato la presentazione della seconda edizione nel maggio 2024⁽³⁾.

Resilienza organizzativa e resilienza  tecnologica: le nuove sfide per le funzioni di Assurance 

Se vogliamo cogliere appieno la ratio della nuova normativa e coglierne i suoi caratteri innovativi  è opportuno svolgere alcune considerazioni preliminari sul concetto di resilienza organizzativa. In tal senso rischi complessi ed interrelati che si sono manifestati in passato, perduranti nel presente, hanno evidenziato come la possibilità di attraversare momenti di crisi aziendale possa rappresentare uno scenario possibile per qualsiasi impresa. La prima decade del secondo millennio ha visto soccombere soggetti considerati di primario standing nell’ambito industriale, finanziario e dei servizi per effetto delle gravi crisi che si sono succedute.

È, comunque, evidente che non tutte le organizzazioni hanno risentito nella stessa misura degli effetti negativi degli eventi che si sono verificati. Si può affermare, anzi, che le organizzazioni più resilienti, e quindi con capacità di resistere agli eventi anticipandone le conseguenze, sono sopravvissute con successo, anche rafforzate. In tal senso Vogus & Sutcliffe⁽⁴⁾   connotano i lineamenti di una definizione di resilienza organizzativa che riteniamo di grande utilità ai fini di quanto argomentiamo. In tal senso, “le condizioni sfidanti (challenging conditions)” annoverano per gli autori citati “errori, scandali, crisi e traumi, modifiche radicali (disruptive) delle attività routinarie, come per rischi emergenti stress e sforzi.” Le organizzazioni, quindi, sviluppano capacità di resilienza che si basa su passati insegnamenti ed alimentano le lezioni apprese per orientare i comportamenti futuri.

Affrontare rischi emergenti, non attiene (solo) a disporre di modelli quantitativi che consentono di fare previsioni con un elevato grado di affidabilità. La resilienza riguarda, infatti, secondo gli autori citati, un’abilità dell’organizzazione di rispondere ad eventi inaspettati sviluppando capacità di recupero rispetto agli stessi.

Ciò comporta un atteggiamento flessibile e disponibile a verificare costantemente se l’organizzazione disponga di strumenti in grado di fronteggiare gli imprevisti. Quindi, il modello dei rischi (model of risks) va costantemente aggiornato, in quanto vi è la consapevolezza che le misure di mitigazione potrebbero essere inadeguate o insufficienti. In contrasto, affermano Vogus & Sutcliffe, le organizzazioni fragili (brittle) assumono che l’assenza di fallimenti sia indicatore del fatto che i pericoli non siano presenti e che quindi le contromisure siano adeguate a gestire possibili anomalie. Di conseguenza le aziende resilienti incoraggiano le persone a non occultare ma a dialogare sulle possibili cause che possono condurre a errori o deviazioni potenziali. Secondo gli autori, in conclusione, le organizzazioni resilienti operano nella convinzione che esse possono migliorare apprendendo da eventi che si sono verificati o si potrebbero verificare (near events). 

Potremmo affermare che  la rivoluzione digitale  rappresenta il  contesto comune di riferimento nel quale questi cambiamenti si sono avverati  secondo un trend ormai consolidato e che connota l’ “ERA  4.0”.  Se consideriamo il report emesso dal WEF nel 2016⁽⁵⁾ nel quale si misurava l’impatto che il cambiamento avrebbe avuto   in diversi contesti settoriali anche in termini di organizzazione del lavoro e skill richiesti si affermava: “Oggi siamo all’inizio di una quarta rivoluzione industriale. Sviluppi in genetica, intelligenza artificiale, robotica, nanotecnologia, stampa 3D e biotecnologia, per citarne solo alcuni, stanno tutti costruendo e guidando un importante cambiamento. Questo getterà le basi per una rivoluzione di portata più completa e onnicomprensiva di qualsiasi cosa ciascuno di noi abbia mai visto. Sistemi intelligenti aiuteranno ad affrontare problemi che vanno da gestione della catena di approvvigionamento al cambiamento climatico. L’ascesa della sharing economy permetterà alle persone di condividere tutto dalla loro casa vuota alla loro macchina.”

Tutti questi cambiamenti hanno avuto effetto sui sistemi di controllo interno e gestione dei rischi delle organizzazioni   mettendo in discussione   concetti tradizionali di ambito e perimetro degli interventi e ponendo nuove sfide per funzioni di assurance, di secondo e terzo livello.

 A questo proposito va rammentato come tradizionalmente il sistema di controllo interno viene rappresentato come articolato in tre livelli o “linee di difesa” (three line of defence). L’analogia mutuata dalla strategia militare rappresenta l’organizzazione come un’entità protetta da tre livelli di fortificazione che presidiano gli “attacchi” (eventi di rischio) che possono verificarsi. Questa modalità di rappresentazione che mantiene una sua efficacia in termini di sintesi va allora ripensata tenendo conto che “un tempo era possibile adottare un approccio alla sicurezza in cui l’azienda veniva vista come un castello da difendere con mura e fossati, utilizzando il perimetro della rete per distinguere i buoni (all’interno) dai cattivi (all’esterno). Ma, così come castelli e fossati appartengono al passato, anche questo tipo di approccio alla sicurezza è ormai ampiamente superato.

Basta pensare alle attuali modalità di lavoro remoto. Oggi la forza lavoro e il posto di lavoro sono cambiati: il luogo, l’orario e il modo in cui le persone lavorano vanno ben oltre le quattro mura dell’ufficio. Con la diffusione del cloud, il classico perimetro di rete non esiste più. Molto spesso gli utenti e le applicazioni si trovano al di là del fossato, e non al suo interno. Questo approccio introduce varie vulnerabilità di sicurezza, che potrebbero essere sfruttate da utenti malintenzionati. Una volta entrati nel fossato, questi utenti sono liberi di muoversi, accedere alle risorse e agli asset di alto valore, come i dati dei clienti (o i gioielli della corona), oppure sferrare un attacco ransomware”⁽⁶⁾.

Se queste sono le sfide vediamo allora i rimedi che la nuova normativa propone e come affrontarli in modo sistematico  

Focus su governo e controllo dei  rischi secondo  DORA: 4 ambiti di applicazione 

Mentre  per gli aspetti giuridici  ed applicativi del   Regolamento si invita a fare riferimento ai numerosi contributi  pubblicati alcuni dei quali  presso questa stessa piattaforma⁽⁷⁾ intendiamo concentrarci sui temi del  DORA  che riguardano direttamente le aree  relative al governo e controllo dei rischi. Distinguiamo 4 ambiti, i primi due sono  più specificamente attinenti a temi di gestione dei rischi ed in particolare:

1. Gestione del rischio ICT e governance;
2. Gestione del rischio di terze parti.

In tema di rischio ICT e Governance  ritroviamo nel DORA  la riaffermazione che i temi della digitalizzazione e della sicurezza informatica  costituiscono il campo nel quale gli attori della governance, ed in particolare i Board delle società, il management  e le funzioni di Assurance dovranno confrontarsi. In linea con  gli standard e le best practices internazionali⁽⁶⁾ si riafferma  che la sicurezza informatica è più di un semplice problema IT, né può essere considerato come un tema formale di compliance. La sicurezza informatica, infatti, contribuisce sia al mantenimento del business sia a nuove opportunità per creare valore per l’impresa ed i suoi stakeholder. Conseguentemente:

• Il Board deve considerare gli impatti dei rischi IT sia a livello operativo e strategico, come punto ricorrente all’ordine del giorno per le riunioni consiliari con riferimento sia alla strategia e sia al modello di business.
• Il management, dal suo canto, deve identificare le opportunità, utilizzando la sicurezza informatica come elemento di differenziazione del mercato e criterio di decisione.

In tema di gestione del rischio di terze parti⁽⁸⁾,  ll fatto che i fornitori di servizi ICT critici di terze parti saranno sottoposti alla supervisione diretta delle autorità europee di vigilanza competenti implica un innalzamento del livello di attenzione sui business partner e sulle possibili criticità potenziali  che da essi possano derivare. Si tratta della necessità di attrezzarsi per   anticipare  potenziali  situazioni di rischio  in modo da non doverne poi subire le conseguenze.  Questa attività consiste in ultima analisi nella capacità  di valutare la capacità di resilienza dei soggetti con i quali abbiamo relazioni stabili e durature nel tempo. Questo implica:

• valutazioni che vanno operate la prima volta che “li facciamo salire a bordo”;
• ma anche di monitorare in modo continuativo possibili indicatori di crisi che ci possano fornire segnali di allerta.

In tal senso, DORA delinea per i servizi ICT i principi guida che i contratti di Outsourcing dovranno contenere⁽⁷⁾:

• Una descrizione degli obiettivi di performance quantitativi e qualitativi.
• Disposizioni in materia di accessibilità, integrità, sicurezza e protezione dei dati personali.
• Obblighi di notifica, in capo ai fornitori ICT, in caso di guasti dei sistemi e/o di incidenti informatici.
• Diritti di accesso, ispezione e revisione da parte degli Istituti Finanziari nei confronti dei Providers.”

Gli ulteriori due ambiti di applicazione del regolamento sono focalizzati su temi maggiormente orientati al sistema dei controlli ed  al monitoraggio e riguardano :  

3. Segnalazione e risposta agli incidenti;
4. Test di resilienza operativa digitale.

In tema di  Segnalazione, risposta agli incidenti e  relativa reportistica⁽⁹⁾  va rammentato che le  entità interessate sono tenute a stabilire sistemi per monitorare, gestire, registrare, classificare e segnalare incidenti in materia ICT. A seconda della gravità dell’incidente, alle entità può essere richiesta la segnalazione:

• sia alle autorità di regolamentazione,
• sia ai clienti e ai partner interessati.

Per gli incidenti critici dovranno essere presentati tre diversi tipi di rapporti:

1. un rapporto iniziale di notifica alle autorità,
2. un rapporto intermedio sui progressi compiuti per risolvere l’incidente e,
3. un rapporto finale che analizza le cause principali dell’incidente. 

Relativamente ai Test di resilienza operativa digitale⁽⁹⁾, le entità sono tenute a testare regolarmente i propri sistemi ICT per valutarne la forza delle protezioni e identificare ‌le vulnerabilità. I risultati di tali test e i piani per affrontare eventuali debolezze riscontrate verranno poi comunicati alle autorità competenti e da esse convalidati. Una volta all’anno è richiesta l’esecuzione di alcuni test di base, quali valutazioni delle vulnerabilità e test basati su scenari. Le entità finanziarie ritenute critiche per il sistema dovranno anch’esse sottoporsi ogni tre anni a test di penetrazione basati su minacce (TLPT). A questi test di penetrazione dovranno partecipare pure i fornitori ICT critici per l’entità. 

Un ultimo aspetto che non ha valore prescrittivo ma è oggetto di raccomandazione da parte del regolamento è la condivisione delle informazioni.  Si raccomanda  in particolare le entità a partecipare ad accordi volontari di condivisione  dei dati che come vedremo nelle considerazioni conclusive rappresenta un tema rilevante ai fini dello schema di analisi che andremo a proporre .  

Considerazioni conclusive  – come attrezzarsi per affrontare il cambiamento 

Nelle conclusioni cerchiamo di ripercorrere allora gli aspetti salienti che abbiamo  voluto focalizzare per il DORA per comprendere quale percorso ed in quale prospettiva le organizzazioni si devono porsi per affrontare il cambiamento. Il tema ovviamente riguarda tutte le organizzazioni  per le quale la resilienza digitale operativa è un tema strategico ma prioritariamente le entità finanziarie alle quali il regolamento si rivolge. Per queste ultime è stato giustamente fatto notare che   “prima del regolamento DORA, le norme sulla gestione del rischio per le istituzioni finanziarie nell’UE si concentravano principalmente sulla necessità di assicurare che le imprese avessero capitale sufficiente per coprire i rischi operativi⁽¹⁰⁾.

Sebbene alcuni enti regolatori dell’UE avessero rilasciato delle linee guida sull’ICT e la gestione dei rischi per la sicurezza, tali linee guida non si applicavano in egual misura a tutte le entità finanziarie e spesso si basavano su principi generali anziché su specifici standard tecnici“⁽⁹⁾. DORA  a mio avviso comporterà  la necessità di riattribuire:

• all’approccio integrato dei quattro aspetti  evidenziati un ruolo cardine.

Come ho avuto modo di illustrare nella matrice dedicata alla correlazione tra resilienza e governo e controllo dei rischi nel mio testo⁽²⁾ solo questo tipo di approccio garantisce per le organizzazioni uno sviluppo sostenibile.

All’ opposto le organizzazioni che tendenzialmente subiscono, con scarsa capacità di resilienza, le conseguenze di mutamenti di scenario senza aver svolta alcuna azione di mitigazione non possono avere futuro. L’atteggiamento organizzativo  di ritenere che eventuali soluzioni anche “ex post” a eventi inaspettati che generano situazioni di emergenza vada individuato nell’ambito dei  propri sottosistemi interni e non  considerando tutti gli attori coinvolti nella filiera (gestione delle terze parti ) ci  espone in modo elevato al  rischio di soccombenza.

In linea con quelle che sono  i principi di carattere generale che abbiamo disaminato in premessa le organizzazioni debbono patrimonializzare dalle lezioni apprese da eventuali incidenti anche di carattere ostile (cyber attacks)  e  mettere a fattor comune le informazioni che se ne possono ricavare .I cyber risk   non possono essere mitigati se non con risposte integrate che prevedano lo sforzo combinato di diversi attori. La mancata percezione di ciò rende i sistemi vulnerabili e con limitate capacità di difesa.
Infine per rendere efficace  lo sforzo è opportuno che al disegno del sistema si accompagni sempre  la verifica di effettività per intercettare potenziali carenze nei sistemi di controllo predisposti.  In tale direzione la parte del DORA dedicata ai test di penetrazione:  chi ha esperienza di controllo interno sa quanto possano essere preziosi per rafforzare la capacità di difesa dei sistemi.

Se sei parte di una istituzione finanziaria, o fornisci servizi a queste realtà? Puoi iscriverti al webinar “DORA in Azione” utilizzando questo link diretto.

Per approfondimenti, consultare i seguenti link e/o riferimenti:

⁽¹⁾ Fabio ACCARDI (2022) ”Miopia Strategica e Governo e Controllo dei Rischi“ in Risk and Compliance Platform Europe (www.riskcompliance.it)

⁽²⁾ Fabio ACCARDI (2024)”Governo e Controllo dei Rischi. Manuale per scelte consapevoli e sostenibili. Metodologia, casi, esemplificazioni“  – 2 edizione 2024. Editore Franco Angeli

⁽³⁾ “Creare valore. Il ruolo innovativo degli attori della Governance dei Rischi, della Compliance e dei Controlli” (15 Maggio 2024) Webinar di presentazione della seconda edizione del volume su Governo e Controllo dei rischi di Fabio ACCARDI edito da Franco Angeli. Organizzato da Risk and Compliance Platform Europe (www.riskcompliance.it). Webinar, link diretto al filmato di sintesi

⁽⁴⁾   VOGUS T.J.,  & SUTCLIFFE K.M. (2007)  “Organizational Resilience: Toward a Theory and Research Agenda”; IEEE

⁽⁵⁾ The World Economic Forum (2016) ”The Future of Jobs Employment, Skills and Workforce Strategy for the Fourth Industrial Revolution“ www.weforum.org 

(6) Fabio ACCARDI (2022) “Verso un approccio integrato strategico al governo dei rischi in tema di cybersecurity: The Zero Trust Approach” in Risk and Compliance Platform Europe (www.riskcompliance.it)

⁽⁷⁾ Nunzia RUSSO (2023) “Il regolamento DORA richiederà un approccio multidisciplinare” in Risk and Compliance Platform Europe (www.riskcompliance.it)

⁽⁸⁾ Fabio ACCARDI (2022) “Third Party Risk Management (TPRM) Governare i rischi di terze parti“ in Risk and Compliance Platform Europe (www.riskcompliance.it)

⁽⁹⁾  Sito IBM (2024) ”Cos’è il regolamento DORA (Digital Operational Resilience Act) sulla resilienza operativa digitale?”  www.ibm.com/it-it/topics

⁽¹⁰⁾ in tema di governo dei rischi nelle banche – Fabio ACCARDI (2018) “Il sistema dei controlli”; “Dal controllo strategico alla governance”. “Focus sui sistemi di controllo: l’Internal Control Integrated Framework“ in  cap 4 del testo “La Corporate Governance delle imprese bancarie“ a cura di Pierpaolo SINGER e Carlo SIRIANNI – Ed Giappichelli.