Una nuova preoccupazione per le banche svizzere
Resilienza operativa – un termine macchinoso che circola sempre più spesso nei reparti IT delle banche svizzere, che ormai devono tutelarsi da un’ampia gamma di rischi tecnici.
L’attenzione è puntata su attacchi informatici (come i DDoS sui servizi di e-banking), sistemi IT obsoleti (le cosiddette legacy platform) e forte dipendenza dai fornitori di servizi cloud. A questo si aggiungono requisiti sempre più stringenti in materia di resilienza operativa e protezione dei dati.
Il blackout non è più solo una minaccia teorica
Garantire la continuità dei servizi bancari durante un’interruzione di corrente è ormai un tema all’ordine del giorno. Esiste molta documentazione in merito, ma le esercitazioni pratiche restano rare, osserva Henning Gebert.
«Dopo il blackout del 28 aprile di quest’anno in Spagna e Portogallo, questo non è più solo un rischio teorico. Le banche ora sanno che un evento simile potrebbe verificarsi anche nella nostra regione», afferma lo specialista in digitalizzazione di Capco. Henning affianca le istituzioni finanziarie nella pianificazione e realizzazione di progetti di trasformazione digitale presso la società internazionale di consulenza in management e tecnologia.
Henning Gebert, specialista in digitalizzazione presso Capco (Immagine: fornita)
Numerose banche svizzere si stanno rivolgendo a Henning e al suo team per ricevere supporto. Sono necessari stress test, perché il blackout in Spagna e Portogallo ha messo in luce diverse criticità:
- Le filiali e le infrastrutture terminali erano spesso prive di adeguati sistemi UPS (alimentazione elettrica ininterrotta), con il risultato che anche brevi interruzioni hanno causato gravi disservizi. Eppure, in situazioni di crisi, la disponibilità di contante è una risorsa fondamentale. È quindi indispensabile predisporre in anticipo un piano di contingenza per la gestione logistica del contante.
- Solo le istituzioni di maggiori dimensioni o i centri di compensazione centrali hanno potuto contare su sistemi di backup, mentre le filiali sono rimaste paralizzate. Le connessioni mobili e Internet sono venute meno, così come i sistemi di pagamento presso i punti vendita.
- L’infrastruttura di pagamento delle banche ha retto, ma i clienti hanno avuto un accesso fortemente limitato non potendo né recarsi nelle filiali né utilizzare i bancomat. In definitiva, il prelievo di contanti è stato impossibile.
«È essenziale che, in queste situazioni, i sistemi possano essere riavviati in modo autonomo, senza dipendere da processi di autenticazione esterni, che durante un blackout tendono a fallire», spiega Gebert.
Normative più severe per le banche internazionali
Chi non riesce a gestire adeguatamente la sicurezza IT rischia interruzioni, sanzioni e gravi danni reputazionali.
Da gennaio di quest’anno, il Digital Operational Resilience Act (DORA) ha introdotto in Europa normative più rigide per banche, assicurazioni e gestori patrimoniali. La legge impone una gestione sistematica dei rischi ICT, la standardizzazione della segnalazione degli incidenti, test di resilienza e regole severe per l’outsourcing dei servizi IT.
Impatto anche sulle banche svizzere
DORA inasprisce inoltre le regole di responsabilità: i consigli di amministrazione sono direttamente responsabili di una governance ICT carente, anche in caso di esternalizzazione.
Le istituzioni svizzere sono coinvolte indirettamente. Devono adeguare la governance, i contratti IT e i processi, o rischiano in futuro di essere escluse come fornitori terzi. DORA ha effetti transfrontalieri, anche senza un mandato diretto dall’UE.
Secondo Henning Gebert, il blackout in Spagna e Portogallo ha sensibilizzato in modo rilevante le banche
