In data 3 novembre 2022 Banca d’Italia ha pubblicato il 40esimo aggiornamento della Circolare n. 285 del 17 dicembre 2013 “Disposizioni di vigilanza per le banche” (documento integrale).

Con il suddetto aggiornamento Banca d’Italia ha dato attuazione agli Orientamenti EBA sulla gestione dei rischi relativi alle tecnologie dell’informazione (ICT) e di sicurezza (EBA/GL/2019/04—documento integrale) modificando, in particolare, il Capitolo 4 “Il sistema informativo” e il Capitolo 5 “La continuità operativa” della Parte Prima, Titolo IV.

Si ricorda, infatti, che gli Orientamenti sopra citati definiscono un quadro armonizzato delle misure di gestione dei rischi relativi all’uso delle tecnologie dell’informazione e della comunicazione (ICT) e le misure di sicurezza di cui le banche devono dotarsi.

Tra i principali elementi di novità, le nuove regole prevedono che le banche si dotino di una funzione di controllo di secondo livello per la gestione e il controllo dei rischi ICT e di sicurezza, la quale andrà ad affiancarsi alle funzioni aziendali di controllo già esistenti di secondo livello di Compliance, Risk Management e Antiriciclaggio, sotto il controllo della funzione di terzo livello, ossia l’Internal Audit.

La nuova funzione di controllo sarà responsabile del monitoraggio e del controllo dei rischi ICT e di sicurezza, nonché della verifica dell’aderenza delle operazioni ICT al sistema di gestione dei rischi ICT e di sicurezza. In particolare, tale funzione assicura che i rischi ICT e di sicurezza siano individuati, misurati, valutati, gestiti, monitorati nonché riportati e mantenuti entro i limiti della propensione al rischio della banca.

A tal fine, dovrà concorrere alla definizione della policy di sicurezza dell’informazione, dovrà essere informata su qualsiasi attività o evento che influenzi in modo rilevante il profilo di rischio ICT della banca e sarà coinvolta attivamente nei progetti di modifica sostanziale del sistema informativo e nei relativi processi di controllo dei rischi.

È importante sottolineare che la nuova funzione di controllo dei rischi ICT e di sicurezza non deve essere confusa con la funzione ICT, la quale è invece responsabile dello svolgimento dei processi operativi del sistema informativo della banca.

Ciascuna banca, in base alla propria complessità della struttura societaria, alla dimensione, ai settori di attività e alle strategie di business e gestionali, dovrà decidere se istituire una funzione ICT ad hoc oppure se assegnarne i compiti alle funzioni di Risk Management e di Compliance, purché aventi le necessarie competenze tecniche.

Le disposizioni aggiornate sono in vigore dal 4 novembre 2022, ma è previsto un periodo di transizione per consentire alle banca di adeguarsi alle novità entro il 30 giugno 2023.

È inoltre prevista un ulteriore scadenza, quella del 1° settembre 2023, entro la quale le banche devono trasmettere alla Banca d’Italia una relazione che descrive gli interventi effettuati per assicurare il rispetto delle stesse.

Da ultimo si segnala che dal 1° luglio 2023 la comunicazione della Banca d’Italia del 12 ottobre 2018 “Misure di sicurezza e presidi di controllo per i servizi informatici esternalizzati o forniti da terze parti” è abrogata.