Abstract della tesi del dottor Mario Sivero, studente della III edizione del Master in Risk Management, Internal Audit & Frodi – RIAF
ABSTRACT
A far data 30 Giugno 2023, le banche dovranno dotarsi di una nuova funzione di II livello responsabile della gestione della supervisione dei rischi ICT e di sicurezza informatica.
A far data 30 Giugno 2023, le banche dovranno dotarsi di una nuova funzione di II livello responsabile della gestione della supervisione dei rischi ICT e di sicurezza informatica, introdotta dal 40° aggiornamento della
Circolare 285 “Disposizioni di vigilanza per le banche”.
Cosa sono i rischi ICT e di sicurezza?
I rischi si configurano come eventi che potrebbero compromettere la riservatezza e l’integrità dei sistemi informativi e dei dati, nonché l’adeguatezza e la disponibilità dei sistemi di sicurezza a fronte di azioni sia
interne che esterne, come gli attacchi informatici.
Attività e collocamento della nuova funzione
La funzione dovrà assicurare l’individuazione, la gestione e il monitoraggio dei rischi, concorrendo alla definizione delle politiche di sicurezza informatica dell’istituto e partecipando attivamente ai progetti di aggiornamento rilevante del sistema informativo.
Le banche potranno assegnare la responsabilità di questi compiti ad una funzione appositamente costituita, assicurandone l’opportuno coordinamento con le altre funzioni di controllo, o alternativamente estendere tali competenze ad altre funzioni di II livello esistenti (Risk Management o Compliance). Non viene invece indicato se la nuova funzione dovrà essere collocata alle dipendenze dell’organo di supervisione strategica o di controllo, demandandone la scelta all’istituto.
Punti di attenzione per gli intermediari
Ciascuna banca sarà tenuta a identificare l’ottimale collocamento della nuova funzione di controllo, valutando in primis se le strutture già esistenti siano opportune per gestire i rischi ICT e di sicurezza informatica, contrassegnati da un elevato grado di specificità e trasversalità sull’intero sistema informativo.
L’intermediario dovrà inoltre assicurare il coordinamento tra la nuova funzione di controllo e la struttura IT della banca, o l’outsourcer nel caso di servizi esternalizzati, e le singole linee di business. In assenza di tale
collegamento, la funzione potrebbe non essere coinvolta nelle attività di sviluppo dei sistemi IT, rendendo meno efficace o carente il presidio dei rischi.
Vuoi approfondire ulteriormente?
Il Master in Risk Management, Internal Audit & Cybersecurity mira a formare figure professionali che siano in grado di interpretare e gestire le più recenti dinamiche normative e di mercato attinenti alla corporate governance. Grazie all’utilizzo di casi aziendali, verranno contestualizzati e analizzati i temi nelle diverse realtà: dalle aziende quotate alle banche, dalle grandi alle piccole/medie imprese.