Lo sviluppo economico post pandemico e i recenti sconvolgimenti geopolitici a cui stiamo assistendo hanno indotto molte imprese a rivedere i modelli di business per adattarli anche al crescente utilizzo di tecnologie innovative: in questo contesto di continua evoluzione si evidenzia un forte investimento delle aziende e dei mercati finanziari verso i fornitori di servizi ICT a cui, non di rado, vengono esternalizzate anche intere aree o servizi aziendali (outsourcing).
Cosa chiedono i clienti?
Spostando il focus sul settore bancario italiano, si conferma una decisa trasformazione delle esigenze dei clienti che sono state radicalmente influenzate dall’avvento della digitalizzazione (pensiamo alla sottoscrizione di polizze digitali o agli istituti di credito che offrono la possibilità di aprire conti correnti e di gestire portafogli titoli completamente online).
Per sostenere questa trasformazione, gli intermediari finanziari italiani hanno destinato nel 2022 circa 5,3 miliardi di euro per gli investimenti in servizi IT, con quasi il 50% degli enti che ha dichiarato un aumento del budget ICT di oltre il 5% rispetto al 2021 (Fonte ABI Lab).
Il valore dei fornitori di ICT
L’impiego di fornitori terzi di servizi ICT consente agli intermediari di focalizzarsi sulla gestione diretta delle componenti “cliente-centriche”, affidando solitamente i processi standard, e non distintivi, a un partner tecnologico in grado di fornire soluzioni in linea con i trend innovativi e aderenti agli ultimi sviluppi normativi (si faccia riferimento agli “Orientamenti in materia di esternalizzazione” del 2019 pubblicati dall’EBA).
Sebbene l’esternalizzazione di funzioni critiche, come ad esempio quella IT, riduca di fatto gran parte dei rischi a carico dell’istituto, è altrettanto vero che l’affidamento a un fornitore poco competente o poco affidabile potrebbe condurre a conseguenze negative che renderebbero l’outsourcing della funzione meno vantaggioso rispetto all’internalizzazione delle attività: risulta quindi fondamentale per tutte le aziende dotarsi di un processo di governance delle esternalizzazioni progettato su misura per la propria realtà operativa, evitando le forti dipendenze con le terze parti e valutando efficacemente gli outsourcer analizzando i rischi (operativi, informatici e di concentrazione in primo luogo).
Il nuovo regolamento DORA
In quest’ottica si inserisce il recente regolamento DORA (Digital Operational Resilience Act), un paradigma europeo per la gestione dei temi Cybersecurity e ICT nei financial services integrato con la gestione dei rischi e il presidio delle terze parti.
Il regolamento introduce una serie di misure finalizzate a rafforzare la capacità delle entità finanziarie di monitorare efficacemente i rischi informatici che possono insorgere a livello dei fornitori di servizi terzi. Alcune di queste misure sono a carico di tutti i fornitori di servizi ICT quindi, a maggior ragione, trovano applicazione anche per tutte le tipologie di esternalizzazioni ICT.
DORA entra nel merito della governance delle esternalizzazioni fornendo strumenti utili all’efficientamento del processo prevedendo, ad esempio, l’introduzione di procedure di valutazione dei fornitori di servizi ICT volti a verificare (già in fase di qualifica) l’esistenza di un set “minimo” di misure tecniche e organizzative di mitigazione dei rischi da parte dell’outsourcer oltre all’eventuale esistenza di possibili rischi sistemici o di meccanismi di lock-in derivanti dalla concentrazione di forniture di servizi IT in capo allo stesso soggetto terzo.
La fase di qualifica del fornitore è indubbiamente la fase cruciale di tutto il processo di gestione dell’outsourcing: il fornitore che verrà selezionato dovrà soddisfare le esigenze commerciali dell’azienda e consentire di conseguire gli obiettivi di resilienza operativa digitale anche attraverso l’adozione di exit strategy che permettano all’istituto di adottare meccanismi di transizione dei servizi IT minimizzando gli impatti sull’operatività aziendale.
Una volta selezionato il fornitore, una buona strategia di outsourcing dovrebbe prevedere la stesura di contratti che tutelino l’intermediario comprendendo SLA con obiettivi oggettivi e misurabili nonché efficaci meccanismi di monitoraggio durante l’erogazione del servizio. A tal proposito DORA introduce un’ulteriore garanzia per il cliente finale introducendo l’obbligo per i fornitori di partecipare come parte attiva ai Threat-Led Penetration Testing (“TLPT”) che le entità finanziarie sono tenuti ad effettuare sulle FEI (esternalizzazioni di Funzioni Essenziali o Importanti) con cadenza almeno triennale.
La resilienza operativa è dunque un punto di arrivo regolamentare, ma rappresenta altresì un punto di partenza per la costruzione di modelli operativi più solidi ed efficaci al fine di offrire adeguate tutele ai consumatori e costruire una più salda reputazione del settore finanziario.
Planetica fornisce supporto alle imprese durante l’intero processo di outsourcing delle funzioni aziendali. In particolare, fornisce una consulenza tailor made per l’ottimizzazione delle attività di governance delle esternalizzazioni implementando una strategia efficace per la conformità normativa e la gestione del rischio.
Mattia Galbiati
