DORA e GDPR: come garantire cybersecurity e privacy nel settore bancario
pubblicato:Focus sui due Regolamenti europei e come si completano tra loro. Il Digital Operational Resilience Act contro i rischi di attacchi informatici e le minacce digitali per il comparto finanziario e il General Data Protection Regulation per la protezione dei dati personali e della privacy.
A cura di Davide Savelli
L’Europa è in prima fila per garantire la protezione dei dati nel settore bancario e finanziario. Per il comparto, la trasformazione digitale ha portato numerosi benefici (più efficienza, innovazione e concorrenza) sia per risparmiatori e investitori che per famiglie e imprese, così come per le autorità di regolamentazione. Ma allo stesso tempo la transizione digitale continua a esporre il settore a nuovi rischi di cyber attacchi.
Minacce alla sicurezza informatica che fanno correre seri pericoli a banche, società finanziarie e istituzioni comunitarie. Per questo motivo, nell’UE si lavora per un’interazione tra il Regolamento DORA sulla cybersecurity e il Regolamento GDPR sulla privacy. In sostanza, DORA e GDPR sono complementari per difendere la privacy e garantire la sicurezza informatica nel settore bancario.
DORA: la risposta UE alla cybersecurity delle banche
Per affrontare queste sfide, è stato messo a punto il Regolamento (UE) 2022/2554 sulla resilienza operativa digitale per il settore finanziario (Digital Operational Resilience Act - DORA). Esso è stato adottato il 16 gennaio 2023 e sarà applicabile a iniziare dal 17 gennaio 2025. Entro questa data le società operanti nel settore finanziario (le cosiddette “financial entities” - FE) dovranno adeguare i loro sistemi interni di cyber resilience.
Banche, imprese di investimento, istituti di pagamento, compagnie assicurative, società di gestione del risparmio, fornitori di servizi per le cripto attività e società di ICT (Information and communication technologies) dovranno applicare il DORA, il quale punta a rafforzare e armonizzare i requisiti di sicurezza informatica in Europa.
Requisiti standard per la sicurezza informatica
Il DORA introdurrà e consoliderà i requisiti e gli standard di sicurezza ICT applicabili al settore finanziario. Per adeguarsi a questo regolamento le banche dovranno:
• mappare gli obblighi che saranno loro imposti dal DORA calibrandoli sulla propria realtà;
• verificare che cosa manchi nella propria realtà rispetto ai requisiti normativi richiesti;
• elaborare un piano di adeguamento al DORA.
Oltre a queste tre azioni, le banche per essere in regola rispetto al DORA dovranno anche disporre di un piano di risposta a eventuali cyber attacchi, eseguire una serie di controlli di sicurezza sulla propria infrastruttura digitale, segnalare alle Autorità di regolamentazione il verificarsi di eventuali attacchi informatici, dotarsi di piani di business continuity e disaster recovery.
C’è inoltre da sottolineare che il DORA non sostituirà il GDPR, piuttosto lo integrerà, in quanto entrambi i regolamenti hanno il fine di garantire sicurezza, riservatezza e integrità dei dati.
GDPR: la “cornice” europea per la privacy
Prima di procedere con l’analisi del DORA, occorre ricordare brevemente che cos’è il GDPR (General Data Protection Regulation). Si tratta del Regolamento europeo sulla privacy numero 2016/679 operativo dal 25 maggio 2018. È un intervento legislativo per rafforzare la protezione dei dati personali dei cittadini dell’UE e basato su sei pilastri:
• liceità, correttezza e trasparenza dei dati, mettendo a disposizione del pubblico un’informativa sulla privacy che spieghi le finalità della raccolta dei dati e come l’azienda intenda utilizzarli;
• limitazione della finalità: i dati personali devono essere raccolti per uno scopo preciso;
• minimizzazione dei dati, raccogliendo solo quelli necessari al raggiungimento della finalità per i quali sono trattati;
• esattezza dei dati personali, come parte integrante della loro sicurezza;
• limitazione della conservazione, eliminando i dati personali quando non sono più necessari ai propri scopi;
• integrità e riservatezza dei dati, i quali devono essere trattati in modo da garantire un’adeguata protezione.
Oltre a questi sei principi nel Regolamento sono illustrate nel dettaglio le pratiche specifiche che è necessario intraprendere per assicurare la conformità della protezione delle informazioni e dei dati personali.
Considerato che i dati giocano un ruolo fondamentale nell'ottimizzazione della customer experience e che sono alla base dell’utilizzo dell’intelligenza artificiale nel settore bancario, è essenziale rispettare rigorsamente le direttive del GDPR per la loro raccolta, elaborazione e conservazione.
DORA: cinque pilastri per la resilienza digitale
C’è da notare che il DORA è articolato in** cinque pilastri**, i quali prevedono una serie di operazioni che le banche dovrebbero eseguire per garantire la cybersecurity di informazioni e dati personali dei clienti. In dettaglio:
• ICT risk management, per affrontare rischi e situazioni critiche in modo completo. Come? Le banche dovrebbero creare sistemi di ICT che riducano al minimo danni e conseguenze di cyber attacchi, mettendo a punto servizi di business continuity e disaster recovery, dotandosi di governance interna per la corretta gestione dei rischi informatici;
• ICT related incident management, per standardizzare le attività di classificazione e segnalazione degli incidenti di sicurezza informatica. Per classificare gli incidenti occorrerà che gli istituti di credito eseguano i criteri specificati dalle autorità di vigilanza competenti: per le banche l’EBA. Per segnalarli alle autorità competenti si userà un modello comune e una procedura armonizzata;
• Digital operational resilience testing, ovvero le banche dovrebbero eseguire test periodici e controlli per scovare eventuali falle nel sistema di governance ICT adottato;
• ICT third-party risks management: controllo costante e continuo dei rischi conseguenti all’esternalizzazione di servizi ICT a fornitori terzi e aggiornamento degli accordi con tali fornitori di servizi ICT, senza dimenticare che le Autorità di vigilanza europee potranno condurre ispezioni, avanzare richieste e disporre sanzioni per il mancato rispetto delle regole;
• Information sharing, condividere lo scambio delle informazioni su rischi e minacce nel settore bancario-finanziario.
Come DORA e GDPR si integrano tra loro
Come è possibile e in che cosa consiste l’interazione tra GDPR e DORA? Come già detto, i due Regolamenti devono completarsi l’un l’altro, perché mirano a identificare, classificare e mitigare eventuali cyber attacchi, proteggendo i dati; perché policy, procedure e monitoraggio dell’ICT devono rispettare le norme del GDPR; perché, applicando il DORA, le banche dovranno entro gennaio 2025 aggiornare i contratti con i fornitori esterni di servizi ICT e, infine, perché i due Regolamenti richiedono agli istituti di credito e alle società finanziarie di investire nella formazione, affinché dipendenti e collaboratori siano formati in materia di rischi di pirateria informatica e cyber attacchi e conoscano gli obblighi da rispettare per la salvaguardia dei dati personali.