La Banca centrale europea (BCE) ha avviato oggi una consultazione pubblica sulla sua nuova Guida all’esternalizzazione dei servizi cloud ai terzi fornitori di tali servizi.
La Guida si basa sui rischi e sulle migliori pratiche osservate dalla vigilanza congiunta nell’ambito della vigilanza continua e delle ispezioni in loco dedicate.
Le banche utilizzano sempre più spesso servizi di cloud computing offerti da fornitori di servizi terzi: tali servizi sono potenzialmente più economici, più flessibili e più sicuri, ma la dipendenza da terzi può anche esporre le banche a rischi, ad esempio per quanto riguarda la sicurezza informatica e le possibili interruzioni dell’attività.
Ad esempio, se una banca non può sostituire facilmente i servizi esternalizzati in caso di guasto, le sue funzioni potrebbero essere interrotte.
Inoltre, il mercato dei servizi cloud è altamente concentrato, con molte banche che si affidano a pochi fornitori di servizi situati in Paesi extraeuropei.
Pertanto, la BCE ritiene che sia buona prassi per le banche prendere esplicitamente in considerazione questi rischi.
Inoltre, la BCE ha individuato diverse vulnerabilità negli accordi di esternalizzazione informatica delle banche durante il processo di revisione e valutazione prudenziale 2023: di conseguenza, la gestione del rischio di terzi, compreso l’outsourcing del cloud, rimane in cima alla lista delle priorità di vigilanza della BCE per il periodo 2024-2026.
Come noto, nel tentativo di migliorare la gestione dei rischi legati all’ICT, i legislatori UE hanno adottato il Digital Operational Resilience Act (DORA), sottolineando la necessità di mitigare in modo proattivo i rischi che potrebbero portare all’interruzione di funzioni o servizi critici.
Atti giuridici come il DORA e la Direttiva sui requisiti patrimoniali richiedono alle banche di istituire una governance efficace dei rischi derivanti dall’esternalizzazione dei servizi cloud a terzi fornitori, nonché di creare quadri di riferimento per la sicurezza informatica e la resilienza informatica.
La Guida illustra la portata di tali norme specifiche e la loro applicazione alle banche su cui vigila: la consultazione pubblica sulla Guida terminerà il 15 luglio 2024.
La BCE pubblicherà successivamente i commenti ricevuti, insieme a una dichiarazione di feedback e alla Guida finale.