Il Comitato per i pagamenti e le infrastrutture di mercato (CPMI) della Banca dei regolamenti internazionali e l’Organizzazione internazionale delle commissioni sui valori mobiliari (IOSCO) hanno pubblicato un rapporto in materia di rischi informatici che analizza l’adozione delle proprie Linee guida sulla resilienza informatica per il settore finanziario e le infrastrutture di mercato.
Il rapporto presenta i risultati di una valutazione dello stato di resilienza informatica (al febbraio 2021) presso 37 FMI di 29 giurisdizioni che hanno partecipato a questo esercizio nel 2020-22.
La valutazione dei rischi informatici ha riguardato tutti i tipi di FMI, ossia i sistemi di pagamento di importanza sistemica (PS), i depositari centrali di titoli (CSD), i sistemi di regolamento titoli (SSS), le controparti centrali (CCP) e i repertori di dati sulle negoziazioni (TR).
Il rapporto rileva una serie di criticità. In particolare, un piccolo numero di FMI non ha ancora sviluppato i propri piani di risposta e ripristino informatico per soddisfare il 2hRTO (Resumption within two hours).
In altre parole, tali piani non sono stati concepiti per consentire all’FMI di garantire che i sistemi informatici critici possano riprendere le operazioni entro due ore a seguito di eventi critici, anche nel caso di scenari estremi ma plausibili.
Il rapporto evidenzia inoltre quattro aspetti preoccupanti nella gestione dei rischi informatici per alcuni degli FMI valutati:
- carenze nei piani di risposta e di ripristino stabiliti per soddisfare il 2hRTO in scenari estremi di attacco informatico;
- mancanza di test di resilienza informatica (ad esempio integrità dei dati di backup, valutazioni di vulnerabilità o test di penetrazione) dopo una modifica significativa del sistema;
- mancanza di test completi basati su scenari; coinvolgimento inadeguato delle parti interessate (ad esempio partecipanti all’FMI, fornitori di servizi critici o FMI collegati) nei test delle loro risposte.
Considerando il loro impatto complessivo, questi problemi sembrano porre chiare sfide alla resilienza informatica degli FMI.
Il CPMI e la IOSCO esortano gli FMI interessati e le loro autorità di vigilanza ad affrontare questi problemi con la massima priorità.
La valutazione si è concentrata sull’attuazione dei principi: Governance, Quadro generale per la gestione dei rischi e Rischio operativo e sulle relative considerazioni chiave degli istituti finanziari di riferimento.
Per comprendere meglio in che misura le Linee guida siano state utilizzate dagli FMI, la valutazione si concentra anche su tre importanti componenti del quadro di resilienza informatica: (i) governance, (ii) test e (iii) apprendimento ed evoluzione.
Poiché l’indagine sugli FMI è stata condotta durante la pandemia Covid-19, una sezione del rapporto evidenzia le sfide riconosciute dagli FMI in questo periodo (ad esempio a causa dell’aumento delle modalità di lavoro a distanza e dell’uso di dispositivi personali) e delinea alcune delle misure attuate o in corso di attuazione per affrontare i rischi informatici potenzialmente più elevati.