Redazione
Le istituzioni finanziarie possono dare in outsourcing, le funzioni critiche o quelle più importanti, ai fornitori di servizi cloud (CSP, Cloud Service Providers).
Nel corso del 2019 l’EBA (European Banking Authority) ha pubblicato le Linee Guida(1) che definiscono l’accordo quadro per la declinazione dei successivi accordi di outsourcing. Gli orientamenti EBA richiedono che gli enti dispongano di una strategia di uscita (Exit Strategy) completa, documentata e sufficientemente testata (compreso un Exit Plan ossia un piano di uscita obbligatorio) dal momento in cui danno in outsourcing le funzioni critiche.
Per supportare le banche europee, le Autorità Nazionali Competenti ed i CSP-Cloud Service Providers, la Federazione Bancaria Europea (EBF) ha pubblicato, qualche settimana fa, la Linea Guida EBF(2) sui test relativi ai piani di uscita (Exit Plan), con l’obiettivo di fornire un approccio armonizzato ai requisiti di vigilanza ai sensi degli orientamenti EBA.
Quando vengono date in outsourcing le funzioni critiche o quelle più importanti ai CSP, gli enti devono considerare la possibilità di una cessazione anticipata e non pianificata dei servizi, per esempio in seguito al deterioramento della qualità dei servizi forniti o a mancanze del fornitore di servizi.
Il motivo? La mitigazione dei rischi.
Infatti, una strategia di uscita garantisce che i rischi siano mitigati in caso di un guasto estremo nel servizio del Cloud Service Provider.
L’obiettivo principale di questa strategia è garantire la continuità e la qualità delle funzioni aziendali anche dopo la cessazione dell’accordo di outsourcing. La strategia di uscita deve contenere soluzioni alternative e un piano di transizione per garantire la continuità aziendale durante e dopo la fase di transizione.
La strategia di uscita deve essere costruita in base al rischio, questo significa che la strategia deve identificare e anticipare i possibili rischi. Un elemento obbligatorio della strategia di uscita è un piano di uscita (Exit Plan), che deve essere testato per assicurarsi che il piano sia ben documentato e utilizzabile quando sarà necessario. Come accennato, l’EBF ha fornito indicazioni per la testare la strategia di uscita.
La Guida EBF chiarisce come adempiere, in pratica, ai test obbligatori. Le Linee Guida rispondono alle seguenti due domande:
1. Quando è bene fare il test dell’Exit Plan?
La Guida EBF evidenzia che il livello appropriato di test è determinato in base ad alcuni criteri validi sia per l’Istituto Finanziario e sia per il Cloud Service Provider, quali la stabilità, l’organizzazione interna, la natura, l’ambito e la complessità delle sue attività, nonché il livello generale di resilienza del servizio e la consapevolezza del livello di controllo specificatamente richieste dal CSP.
È fondamentale specificare il livello di impegno richiesto nel caso in cui diventi necessario utilizzare una tecnologia diversa in un particolare servizio o per determinati processi.
Gli elementi da prendere in considerazione per rispondere alla domanda su quando il test è appropriato includono:
- il tempo necessario per i test: i test possono imporre un carico notevole sulle risorse disponibili, che può portare a compromettere le operazioni aziendali in altri luoghi/reparti;
- i costi dei test: i test possono comportare un onere sproporzionato in confronto ai costi dell’ente;
- il rischio di eseguire il test: il rischio introdotto dal test non dovrebbe essere superiore al rischio originario che si intende gestire;
- eventuali considerazioni sull’Exit Plan già incluse nella progettazione del servizio cloud: il CSP può includere elementi di test nella progettazione del servizio;
- il modello di utilizzo del cloud da parte del cliente, ad esempio per la differenza tra utilizzo ibrido e completo del cloud pubblico;
- l’impatto del servizio cloud e dell’integrazione tecnologica, che può variare a seconda dei diversi modelli di servizio cloud;
- specificità e standardizzazione del servizio cloud: i fattori inerenti al particolare servizio cloud possono rendere i test più appropriati, in quanto possono ridurre il carico di lavoro richiesto o le implicazioni sui costi del test; e
- il rapporto tra le diverse parti coinvolte nel servizio cloud.
Alla luce delle considerazioni sopra riportate, la Guida EBF completa la risposta a questa domanda stabilendo che un Exit Plan deve essere testato quando:
- il servizio dato in outsourcing è critico,
- l’implementazione dell’Exit Plan non comporta l’interruzione del servizio,
- non esiste già un servizio alternativo implementato e funzionante nell’ambiente reale,
- i dati di input e output vengono conservati e non vengono archiviati in un sistema di backup,
- il servizio cloud e la sua migrazione a un servizio alternativo non sono completamente standardizzati e,
- il servizio cloud introduce rischi legati alla resilienza o stabilità finanziaria.
2. Che cosa costituisce un test sufficiente per gli Exit Plan?
Quando il test è effettivamente appropriato, è necessario rispondere alla seconda domanda: cosa costituisce un test sufficiente per l’Exit Plan?
La Guida EBF fornisce elementi che l’istituto finanziario può prendere volontariamente in considerazione per determinare se l’Exit Plan è sufficientemente testato, tra cui:
- frequenza dei test;
- verificare che l’Exit Plan continui a soddisfare gli obiettivi della strategia di uscita (Exit Strategy);
- costruire e mantenere la chiarezza organizzativa per eseguire l’Exit Plan e per identificare qualsiasi necessità di modifiche del piano;
- metodologie di test per esaminare la fattibilità tecnica dell’Exit Plan;
- verificare la solidità delle procedure e delle ipotesi operative in un ambiente completamente monitorato e controllato;
- revisione dell’Exit Plan rispetto agli attuali standard di sicurezza organizzativa per la protezione dei dati;
- calcolo dei volumi di dati correnti e identificazione dell’impatto nel caso di trasferimento dei dati;
- revisione degli accordi e delle procedure di collaborazione tra l’ente e il CSP;
- discussione dell’Exit Plan di altri partecipanti, per familiarizzare con i piani attuali e garantire che tutti i partecipanti comprendano i loro ruoli e responsabilità, e per garantire che le persone chiave coinvolte in una potenziale uscita abbiano familiarità con l’Exit Plan;
- ragionevole livello di fiducia in relazione sia alla fattibilità che dell’Exit Plan sia alla trasparenza sulle tempistiche necessarie per eseguire il piano;
- aggiornamento di aree, accordi e procedure obsoleti relativi all’Exit Plan in base alle modifiche e alle problematiche identificate; e
- impatto del test, ad esempio lo sforzo richiesto per pianificare ed eseguire il test e per gestire le deviazioni.
Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:
(1) EBA – Guidelines on outsourcing arrangements, Final Report, 25-02-2019 – European Banking Authority
(2) EBF – Cloud Exit Strategy, Technical Paper, 04-06-2020 – European Banking Federation