Nella normativa DORA il termine “funzione” è utilizzato in modo ambiguo, identificando in alcune parti della normativa un ruolo e in altre un processo.
In assenza di una definizione univoca di funzione presente in DORA ci rifacciamo a quella della Circolare 285, ma questo unicamente in quanto la mia competenza è prevalentemente bancaria e non conosco, quindi, le normative che regolamentano le altre 19 tipologie di entità finanziarie soggette a DORA:
“funzione aziendale”: l’insieme dei compiti e delle responsabilità assegnate per l’espletamento di una determinata fase dell’attività aziendale. Sulla base della rilevanza della fase svolta, la funzione è incardinata presso una specifica unità organizzativa.
Indice degli argomenti
L’individuazione delle funzioni essenziali e importanti
Diversi sono i tipi di approccio proposti per la individuazione delle funzioni essenziali e importantie, fermo restando quanto già precisato in un precedente articolo in merito alla opportunità o meno di effettuare effettivamente una distinzione fra funzioni essenziali ed altre funzioni, ai fini di garantire una adeguata sicurezza e resilienza dell’entità finanziaria, è opportuno esaminarli per individuare la loro reale applicabilità in considerazione del contesto di riferimento.
È interessante notare come vi sia un notevole sforzo, da parte delle entità finanziarie, nel cercare di individuare il perimetro di tali funzioni, ma nessuno teso a effettuare una valutazione di quale sarebbe il costo derivante dall’applicare indistintamente a tutti le funzioni aziendali, i requisiti che DORA chiede di applicare alle funzioni essenziali e importanti.
Questo indipendentemente che sia richiesta una loro implementazione diretta da parte dell’entità finanziaria, sia nel caso di ricorso a fornitori ICT[1].
Uno degli approcci più gettonati è quello che vede prendere in considerazione i processi critici che emergono dalla BIA e di considerare le funzioni essenziali e importanti come un loro sottoinsieme, ma al riguardo valgono diverse considerazioni[2].
La prima è che la Circolare 285 distingue fra le funzioni essenziali importanti[3], dandone questa definizione:
“funzione essenziale o importante”: una funzione per la quale risulta verificata almeno una delle seguenti condizioni:
- un’anomalia nella sua esecuzione o la sua mancata esecuzione possono compromettere gravemente:
- i risultati finanziari, la solidità o la continuità dell’attività della banca; ovvero
- la capacità della banca di conformarsi nel continuo alle condizioni e agli obblighi derivanti dalla sua autorizzazione o agli obblighi previsti dalla disciplina di vigilanza;
- ii. riguarda funzioni relative ad attività sottoposte a riserva di legge, nella misura in cui la prestazione di tali attività richiede l’autorizzazione da parte di un’autorità di vigilanza;
- iii. riguarda compiti operativi delle funzioni aziendali di controllo, a meno che la valutazione dell’essenzialità e dell’importanza della funzione svolta dalla banca non stabilisca che la mancata o inadeguata esecuzione di questi compiti operativi non avrebbe impatti negativi sull’efficacia delle funzioni aziendali di controllo.
e i processi critici (quelliidentificati dalla esecuzione della BIA, per intenderci), cioè quei processi per i quali:
Gli operatori identificano in modo circostanziato i processi relativi a funzioni aziendali di particolare rilevanza che, per l’impatto dei danni conseguenti alla loro indisponibilità, necessitano di elevati livelli di continuità operativa da conseguire mediante misure di prevenzione e con soluzioni di continuità operativa da attivare in caso di incidente. A tal fine, sono considerati con particolare attenzione i processi che attengono alla gestione dei rapporti con la clientela, ivi incluse imprese e pubbliche amministrazioni, e alla registrazione dei fatti contabili.
Non vi è, quindi, alcuna specifica corrispondenza fra questi diversi tipi di processi/funzioni nell’ambito della Circolare 285, ma può esserci, al più, una parziale sovrapposizione per quanto attiene alle casistiche i e iii.
Per quanto attiene la corrispondenza fra funzioni essenziali o importanti in DORA e i processi critici nella 285, la sovrapponibilità appare ancor meno accentuata.
Al riguardo ripropongo la definizione di funzione essenziale o importante secondo DORA:
«funzione essenziale o importante»: una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell’entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari;
ricordando che, per espresso richiamo normativo[4], tale definizione ricomprende anche le seguenti funzioni:
Direttiva 2014/59/UE
35) «funzioni essenziali»: attività, servizi o operazioni la cui interruzione porterebbe verosimilmente, in uno o più Stati membri, all’interruzione di servizi essenziali per l’economia reale o potrebbe compromettere la stabilità finanziaria a motivo della dimensione, della quota di mercato, delle interconnessioni esterne ed interne, della complessità o delle attività transfrontaliere di un ente o gruppo, con particolare riguardo alla sostituibilità di tali attività, servizi o operazioni;
Analisi dei rischi e BIA
La seconda considerazione riguarda la completezza e la conformità nella esecuzione di una BIA da parte delle entità finanziarie, secondo quanto previsto dai più recenti aggiornamenti della 285 in tale ambito.
Come evidenziato nel mio precedente articolo, il limite di esecuzione di una BIA “tradizionale” è che la stessa valuta le conseguenze derivanti da un evento avverso, limitandosi a considerare l’impatto conseguente alla interruzione di un processo (indisponibilità).
Per tale motivo, tutti i framework e gli standard che riguardano la continuità operativa, affiancano alla esecuzione di una BIA anche quella di un’analisi dei rischi, la quale prende in considerazione anche gli altri parametri della triade RID (riservatezza, integrità e disponibilità).
La combinazione degli esiti di un’analisi dei rischi e di una BIA non sono però agevolmente integrabili, ma al riguardo EBA prima e la Circolare 285 poi (con il recepimento delle linee guida di EBA sulla sicurezza dei sistemi informativi[5]) ha introdotto il concetto che la valutazione della criticità di un processo da parte della BIA debba in realtà comprendere tutti i parametri RID, come evidenziato dagli stralci di normativa qui riportati.
Circolare 285
2. Analisi di impatto
L’analisi di impatto (Business Impact Analysis, BIA), preliminare alla stesura del piano di continuità operativa e periodicamente aggiornata (3), individua il livello di rischio relativo ai singoli processi aziendali sulla base di un approccio quantitativo e qualitativo e pone in evidenza le conseguenze dell’interruzione del servizio (4). I rischi residui, non gestiti dal piano di continuità operativa, sono documentati ed esplicitamente accettati dagli organi aziendali competenti. L’allocazione delle risorse e le priorità di intervento sono correlate al livello di rischio.
(4) Le banche considerano il grado di criticità delle funzioni aziendali, dei processi di supporto, dei soggetti terzi e delle risorse informatiche individuate e classificate, nonché le loro interdipendenze, conformemente a quanto previsto dal Capitolo 4, Sezione III (cfr., in particolare, il rinvio alla Sezione 1.3.3, degli Orientamenti dell’EBA sulla gestione dei rischi ICT e di sicurezza).
Orientamenti dell’ABE sulla gestione dei rischi relativi alle tecnologie dell’informazione e della comunicazione (Information and Communication Technology – ICT) e di sicurezza
1.3.3. Classificazione e valutazione dei rischi
… 18. Per definire la criticità delle funzioni aziendali, dei processi di supporto e delle risorse informatiche individuate, gli istituti finanziari dovrebbero considerare come minimo i requisiti di riservatezza, integrità e disponibilità...
Lo stesso documento di EBA evidenzia inoltre e specificatamente, rispetto alla modalità di conduzione della BIA:
1.7.1. Analisi di impatto sull’operatività
78. Nell’ambito di una solida gestione della continuità operativa, gli istituti finanziari dovrebbero condurre un’analisi di impatto aziendale (Business Impact Analysis-BIA) esaminando la propria esposizione a diverse interruzioni dell’operatività e valutando i loro potenziali impatti (anche in termini di riservatezza, integrità e disponibilità), con un approccio sia quantitativo che qualitativo, utilizzando dati interni e/o esterni (ad esempio, dati di fornitori terzi rilevanti per un processo aziendale o dati di pubblico dominio che possono essere utili per l’analisi di impatto sull’operatività), e condurre inoltre un’analisi di scenario. L’analisi di impatto sull’operatività dovrebbe considerare la criticità delle funzioni aziendali, dei processi di supporto, dei soggetti terzi e delle risorse informatiche individuate e classificate, nonché le loro interdipendenze, conformemente alla sezione 1.3.3.
Corretta individuazione delle funzioni essenziali e importanti
In considerazione di quanto sopra esposto e quindi, in prima istanza:
- la differenza fra la definizione dei processi critici individuati dalla BIA svolta in base a quanto proposto da Circolare 285 e la definizione delle funzioni essenziali e importanti di DORA;
e in sub ordine:
- la probabile mancata esecuzione di una BIA senza tenere conto di tutti i parametri RID (ai quali DORA aggiunge anche il parametro “autenticità”) e quindi senza una corretta ed esaustiva individuazione dei processi critici partire dall’elenco dei processi critici per individuare le funzioni essenziali e importanti appare quantomeno azzardato.
Vi sono, infatti, sicuramente funzioni essenziali e importanti che non vengono individuate da una BIA “tradizionale” e probabilmente nemmeno da una BIA svolta secondo quanto previsto dall’attuale Circolare 285 (che in ogni caso è carente dei già citato parametro “autenticità”).
In sintesi, i criteri con cui valutare la criticità o l’essenzialità di un processo sono la somma dei criteri determinati da diverse normative (perlomeno allo stato attuale).
Questo implica chiaramente che le funzioni essenziali ed importanti di DORA non possono essere un semplice sottoinsieme dei processi critici individuati dalla 285, ma vanno valutati considerando la specifica definizione che è presente in DORA.
Un utile confronto può anche derivare dalle analoghe normative presenti in altre legislazioni. Ma al riguardo rimando allo specifico paragrafo del mio libro sulla resilienza e su DORA.
Per completezza evidenzio un limite dell’approccio di DORA, relativamente alla gestione delle funzioni essenziali ed importanti che non siano anche dei processi critici (limite che si aggiunge a quanto evidenziato nel precedente articolo in merito alla gestione della catena di fornitura).
Le funzioni essenziali, ma non anche critiche (e quindi che non ricadono nel perimetro individuato da una BIA ai sensi della 285) non richiedono la predisposizione di un piano di continuità operativa che preveda gli scenari di indisponibilità ipotizzati da Banca d’Italia (edifici, personal essenziale), ma dal punto strettamente normativo legato a DORA, è necessario predisporre la sola continuità operativa del sistema informativo a supporto delle stesse.
Appare evidente il limite di tale impostazione e di come sia auspicabile che sia garantita una reale gestione della resilienza e della continuità operativa di tutti gli asset a supporto di tali funzioni, alla stregua dei processi critici.
Tassonomia delle funzioni essenziali e importanti
Affrontiamo ora un altro tema: è possibile definire una tassonomia delle funzioni essenziali importanti valida per tutte le entità finanziarie?
Il tema è articolato e merita una risposta adeguata.
Per quanto attiene alle funzioni essenziali e importanti legate strettamente agli aspetti collegati a questa parte della definizione prevista da DORA:
condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari
è ipotizzabile che per ogni tipologia di entità finanziaria sia possibile effettuare una elencazione delle eventuali funzioni che rispondono a questi criteri.
Appare molto più difficile, se non impossibile, ipotizzare una classificazione in merito a funzioni che rispecchino questa definizione:
una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività
La rilevanza di un processo per una entità finanziaria è infatti condizionata dall’importanza che questo ha sul business dell’entità stessa.
Quindi variano molto fra una tipologia di entità finanziaria ed un’altra, ma anche a parità di tipologia di entità finanziaria, una determinata funzione può essere più o meno rilevante in funzione del modello di business della stessa.
Di questo devono esserne coscienti anche i fornitori ICT, che potrebbero vedersi proporre condizioni contrattuali molto diverse per l’erogazione del medesimo servizio ICT da parte delle diverse entità finanziarie.
Infatti, lo stesso servizio potrebbe essere di supporto a funzioni essenziali ed importanti di una entità, ma non di un’altra.
Anche in questo caso, inoltre, i requisiti richiesti potrebbero variare in funzione del livello di criticità che le singole entità hanno attribuito al medesimo processo, anche questo condizionato dal proprio modello di business.
Infatti, ad esempio, una banca potrebbe privilegiare la gestione del risparmio, mentre un’altra la gestione del credito e questo determina il fatto che, rispetto ad altri fattori, l’impatto del fermo di un determinato processo, è più o meno rilevante.
Da qui la necessità di richiedere al fornitore un tempo di ripristino più o meno rapido delle componenti ICT a supporto del processo.
Conclusioni
Come si può dedurre il tema è molto complesso e, come spesso accade, cercare soluzioni standardizzate o riciclare vecchie soluzioni, può rilevarsi una strada non percorribile e portare a risultati non in linea con le attese delle Autorità di Vigilanza.
[1] Al riguardo la normativa prevede clausole aggiuntive per le funzioni essenziali e importanti. A tal proposito il legislatore, nel regolare i rapporti fra entità finanziarie e fornitori, ha mantenuto una posizione di equilibrio. Se da un lato ha dato una leva non indifferente alle entità finanziarie, inserendo i fornitori fra i soggetti a cui si applica la normativa (anche se limitatamente all’art. 30, salvo che siano fornitori critici), per contro ha introdotto un precedente (art. 30.2.f) che porterà ad una negoziazione probabilmente non semplice fra le parti. Questo anche in quanto la normativa regolamenta spesso il cosa chiedere ad un fornitore, ma non il come quanto richiesto debba essere realizzato.
[2] Al riguardo evidenzio nuovamente il limite del mio approccio, che è basato sulla sola conoscenza della normativa bancaria e quindi verranno citate solo normative che riguardano queste specifiche entità finanziarie, che potrebbero pertanto non essere significative per le altre 19 tipologie di entità. Evidenzio tuttavia come DORA e anche i vari RTS siano molto “EBA centrici” e quindi molto simili all’attuale normativa bancaria.
[3] La definizione di funzione essenziale e importante è presente anche in altre normative, fra le quali:
EBA Orientamenti in materia di esternalizzazione
29. Gli enti e gli istituti di pagamento dovrebbero sempre considerare una funzione come essenziale o importante nelle seguenti situazioni:
a. se un’anomalia nella sua esecuzione o la sua mancata esecuzione comprometterebbero gravemente:
i. il rispetto nel continuo delle condizioni della loro autorizzazione o degli altri obblighi previsti dalla direttiva 2013/36/UE, dal regolamento (UE) n. 575/2013, dalla direttiva 2014/65/UE, dalla direttiva (UE) 2015/2366 e dalla direttiva 2009/110/CE e dei loro obblighi normativi;
ii. i risultati finanziari; o
iii. la solidità o la continuità delle attività bancarie o dei servizi di pagamento svolti;
b. quando sono esternalizzati compiti operativi delle funzioni di controllo interno, a meno che la valutazione non stabilisca che la mancata esecuzione della funzione esternalizzata o un’esecuzione inadeguata della stessa non avrebbe un impatto negativo sull’efficacia della funzione di controllo interno;
c. quando intendono esternalizzare le funzioni relative ad attività bancarie o a servizi di pagamento in misura tale da richiedere l’autorizzazione di un’autorità competente, come indicato nella sezione 12.1.
Nota di Banca d’Italia
…
Rientra nella responsabilità delle banche l’individuazione delle funzioni aziendali per le quali sussistono le condizioni previste dalla normativa e che quindi si qualificano come funzioni operative importanti. A titolo meramente esemplificativo, rientrano tra le funzioni operative importanti le funzioni di back office, il servizio archivio digitale e/o cartaceo, il recupero crediti, il sistema informativo, la delega di gestione di proprie attività, il trasporto valori, le segnalazioni di vigilanza.
[4] (70) La definizione di «funzione essenziale o importante» di cui al presente regolamento comprende le «funzioni essenziali» definite all’articolo 2, paragrafo 1, punto 35), della direttiva 2014/59/UE del Parlamento europeo e del Consiglio (20). Di conseguenza, le funzioni ritenute essenziali ai sensi della direttiva 2014/59/UE sono incluse nella definizione di funzioni essenziali ai sensi del presente regolamento.
[5] Orientamenti dell’ABE sulla gestione dei rischi relativi alle tecnologie dell’informazione e della comunicazione (Information and Communication Technology – ICT) e di sicurezza.
