XXVII CONVEGNO NAZIONALE AIEA
Innovazione e Regole: Alleati o Antagonisti?
*
Alessandro Campi, Vigilanza Bancaria e
Finanziaria Banca d’Italia
*
Protezione dei dati personali (D.Lgs. 196/2003)
Codice della privacy (D.Lgs. 196/2003) Allegato B – misure
minime di sicurezza
Provvedimento del Garante sugli amministratori di sistema
Prescrizioni in materia di circolazione delle informazioni in
ambito bancario e di tracciamento delle operazioni bancarie
Disposizioni per la dematerializzazione (e.g. CAD - Codice per
l’Amministrazione Digitale)
Conservazione sostitutiva / fatturazione elettronica
Firma elettronica avanzata / firma digitale
PEC (Posta Elettronica Certificata)
Criminalità informatica, diritto d’autore, proprietà intellettuale…
*
Automazione spinta dei
processi
Virtualizzazione dei servizi
Dematerializzazione dei
valori
*
La nuova normativa riguarda:
la visione strategica
la sicurezza
il monitoraggio dei rischi
le esigenze di compliance
*
Principi (normativa)
Analisi del rischio +
standard (e.g. CoBIT,
ISO 27002, ITIL)
Misure minime
(normativa)
*
Principi
«…ottimale impiego delle risorse tecnologiche a sostegno delle
strategie aziendali (ICT governance).»
«…difesa in profondità…»
Misure specifiche
“regole di tracciabilità... delle operazioni critiche…con
l’archiviazione dell’autore, data e ora, contesto operativo e altre
caratteristiche salienti della transazione. Le tracce elettroniche sono
conservate per un periodo non inferiore a 24 mesi…”
“…l’autorizzazione formale di ogni cambiamento in ambiente di
produzione…”
“I gravi incidenti di sicurezza informatica sono comunicati
tempestivamente alla Banca d’Italia…”
“ …con riguardo alle applicazioni di maggiore criticità e ai servizi ICT
rivolti alla clientela sono formalmente definiti i livelli di servizio che
l’intermediario si impegna ad osservare”
*
Governance
Organizzazione
• Organo con funzioni di supervisione strategica
• Organo con funzioni di gestione
• Funzione ICT
• ICT compliance
• Gestione rischi
• Internal audit
• Sicurezza informatica
Controlli
Outsourcing
• Analisi del rischio
• Sistema di Sicurezza
• Gestione dei dati
• Business continuity
• Responsabilità
• Obblighi contrattuali
e di controllo
• Tipi di esternalizzazione
• Cloud computing
*
Concorso di più
funzioni
aziendali
Integrazione
con la
gestione dei
rischi
aziendale
Collegamento
all’ICT
governance
*
Utente
responsabile
Internal
audit
Sicurezza
informatica
Funzione
ICT
Gestione
rischi
*
Quali rischi?
Strategici
• Capacità evolutiva
• Governo dei costi
• Vendor lock in
Operativi
• Continuità dei processi
• sicurezza
Di compliance
• Privacy
• Normativa di Vigilanza
*
•Quante forme?
•Quali controlli?
Responsabilità
Contratti /
Livelli di
servizio
Monitoraggio
*
Bugatti 251 (1956)
*
NOTIZIE
NORME
arbitri
banche
clienti
hackers
TECNOLOGIE
SISTEMI
FORNITORI
INFRASTRUTTURE
*
Ambito
• Servizi di pagamento via internet nella UE
Obiettivo
• raggiungere un’armonizzazione dei livelli di
sicurezza, per:
– combattere le frodi
– elevare il livello di fiducia dei consumatori nei
servizi di pagamento su internet
Sicurezza
Standard
Terreno per
l’innovazione
*
o Nuove disposizioni normative di vigilanza prudenziale sul sistema dei controlli
interni, sistemi informativi e continuità operativa
(http://www.bancaditalia.it/vigilanza/normativa/norm_bi/circreg/vigprud/263CIRC_15AGG.pdf)
o “Recommendations for the Security of Internet Payments”
(http://www.ecb.europa.eu/pub/pdf/other/recommendationssecurityinternetpaym
entsoutcomeofpcfinalversionafterpc201301en.pdf)
Dott. Alessandro Campi
Area Vigilanza bancaria e finanziaria
Banca d’Italia
[email protected]
