La BCE comunica, in data 21 febbraio 2024, di aver adottato una nuova policy per una maggiore competenza dei consigli di amministrazione delle banche in materia di ICT e rischi per la sicurezza (ICT risk).
In particolare, ricorda che le priorità di vigilanza dell’SSM per il 2024-26 stabiliscono che le banche devono affrontare i rischi legati alle tecnologie dell’informazione e della comunicazione (ICT), nonché alla sicurezza derivanti dalla digitalizzazione dei servizi bancari.
Ciò richiede, tra l’altro, che l’organo di gestione di una banca abbia una comprensione adeguata dell’evoluzione e della rilevanza di tali rischi, al fine di prendere decisioni adeguate e tempestive per gestirli.
Negli ultimi anni, tuttavia, l’attività di vigilanza ha individuato carenze nelle conoscenze e nelle competenze collettive degli organi di gestione delle banche sottoposte a vigilanza in materia di ICT e rischi per la sicurezza.
In questo contesto, la BCE e le autorità di vigilanza nazionali hanno collaborato allo sviluppo di una specifica policy per la valutazione delle conoscenze collettive dell’organo di gestione nel contesto delle valutazioni di idoneità e correttezza: contiene diverse aspettative di vigilanza, che sono anche incluse nella bozza della Guida della BCE sull’aggregazione efficace dei dati e sulla segnalazione dei rischi.
In sintesi, le aspettative chiave nell’ambito dell’ICT risk sono le seguenti:
- i membri dell’organo di gestione e delle funzioni di controllo interno, compresi i responsabili della gestione del rischio, della compliance e dell’audit, devono avere una comprensione sufficiente dei rischi legati alle ITC e alla sicurezza, nonché dei dati e dei requisiti di reporting correlati
- nel valutare l’idoneità collettiva dei membri dell’organo di gestione, occorre considerare le loro conoscenze, competenze ed esperienze in materia di ICT e rischi per la sicurezza: a tal fine, l’organo di gestione dovrebbe avere almeno un membro non esecutivo con conoscenze e competenze rilevanti e recenti in materia di ITC risk ; nel valutare il soddisfacimento di questa aspettativa da parte di una banca, la BCE adotterà un approccio basato sul rischio
- tutti i membri dell’organo direttivo dovrebbero seguire una formazione regolare (almeno una volta all’anno) per garantire che i singoli membri possiedano conoscenze e competenze sufficientemente aggiornate da consentire loro di comprendere e valutare l’attività della banca e i suoi principali rischi ICT e di sicurezza: poiché anche la DORA conterrà un requisito simile per l’organizzazione di una formazione periodica, le banche sottoposte a vigilanza sono incoraggiate a prendere in considerazione l’organizzazione di tale formazione per i propri membri del consiglio di amministrazione già nel 2024.
La nuova policy si applicherà a partire dal 1° marzo 2024 e sottolinea l’importanza di solidi accordi di governance interna per le banche vigilate.