di Valentina Magri
«Il regolamento Dora (Digital operational resilience act), applicabile dal gennaio 2025, e l’importanza sempre crescente della cybersecurity stanno avendo un impatto estremamente significativo nella governance aziendale di tutte le imprese, con un ripensamento degli adeguati assetti organizzativi, amministrativi e contabili». Così Giovanni Lombardi, general counsel di Illimity Bank. Il tema sarà approfondito lunedì 24 giugno 2024 a Milano al GC Summit, l’evento dedicato ai general counsel di TopLegal, patrocinato da Aigi (Associazione italiana dei giuristi d’impresa). Tra i relatori della conferenza anche Giovanni Lombardi.
Tra gli elementi chiave introdotti dal Dora rientra la definizione di un framework organizzativo di governance interna tale da garantire una gestione dei rischi informatici efficace, prescrivendo obblighi uniformi. «Tutto ciò può richiedere, per molte aziende, un adeguamento anche significativo degli assetti organizzativi, amministrativi e contabili ed il ripensamento dei sistemi di controllo interno e gestione dei rischi: in sintesi un ripensamento della propria governance», avverte Lombardi.
Quando si parla di resilienza digitale si intende la capacità di un’organizzazione di resistere, reagire e riprendersi rapidamente da incidenti informatici, da minacce cyber e da interruzioni operative che coinvolgono le infrastrutture digitali. «Un concetto particolarmente rilevante per il settore bancario e finanziario, in cui la sicurezza e la stabilità dei sistemi Ict (Information and Communication Tecnhnology, ndr) costituiscono base essenziale per la continuità delle attività operative, ed ulteriormente rafforzato dall’entrata in vigore del regolamento Dora, che rappresenta un passo importante e significativo verso la sicurezza informatica e la resilienza delle infrastrutture digitali in Europa», chiosa il general counsel di Illimity Bank. A suo avviso, l’obiettivo primario del Dora consiste nell’introdurre un approccio olistico per armonizzare diverse aree e normative di settore, migliorando e semplificando le attività degli enti finanziari nella gestione dei rischi Ict e cyber e, infine, incrementando la consapevolezza degli enti finanziari in merito agli incidenti, ai rischi informatici e, in generale, alla cybersecurity.
Sin dalla sua fondazione nel 2018, Illimity si è contraddistinta per essere fully digital ed in-cloud, comportando un efficientamento di molti dei processi aziendali e un significativo innalzamento della sicurezza e resilienza operativa (rispetto alle tradizionali soluzioni Ict on-premises). La neobank presenta un elevato livello di interconnessione, interna (tra le funzioni aziendali) ed esterna (clientela, fornitori, partner, etc.). Tali soluzioni implicano un incremento teorico delle vulnerabilità dell’organizzazione legate ad una sempre più ampia superficie di attacco potenziale (attack surface). In caso di incidente cyber ogni anello della supply chain rappresenta una potenziale disruption del business (rischio di continuità operativa), con possibili conseguenze su diversi aspetti, quali rischi reputazionali e rischi economico-finanziari. «Come per ogni business che si sviluppa nell’infosfera dei dati (mondo in cui oggi operano tutte le aziende), i rischi in ambito cybersecurity non sono solo evidenti nell’ambito tecnico, come le vulnerabilità in ambito software, bensì spesso derivanti dallo sfruttamento del comportamento dell’essere umano. Per la prevenzione di comportamenti umani non prudenti, serve molta formazione continua e la diffusione di una cultura digitale», afferma Lombardi. Inoltre, a suo parere soluzioni avanzate di intelligenza artificiale, disponibili sul mercato o sviluppate in-house dalle aziende, possono consentire un adeguato presidio dei rischi operativi, contribuendo alla resilienza.
