La gestione dei rischi di terze parti derivante dal crescente ricorso a fornitori esterni per la gestione dei servizi appare sempre più rilevante. Anche recentemente grosse istituzioni hanno visto compromesse le proprie informazioni in conseguenza ad attacchi alla loro supply chain.
Nel mondo finanziario la consapevolezza di questa potenziale debolezza nelle proprie linee di difesa è nota da numerosi anni e la normativa, sia nazionale (Banca d’Italia, alla quale gli artt. 51 e 53 del Testo Unico Bancario (d.lgs. n. 385 del 1° settembre 1993) attribuiscono poteri di vigilanza e regolamentari, nella sua Circolare n. 285 del 2013, Parte Prima, Titolo IV, Capitoli 3 e 4, che disciplinano le esternalizzazioni di funzioni aziendali fuori dal perimetro bancario e le esternalizzazioni del sistema informativo ), sia interazionale (EBA, in particolare nelle Linee Guida del 25 febbraio 2019 aventi ad oggetto gli Orientamenti in materia di esternalizzazioni, EU, Comitato di Basilea…) dedica ampio spazio al tema delle esternalizzazioni (non solo verso soggetti terzi, ma anche all’interno dello stesso gruppo bancario).
Accanto alle normative di settore, non meno importante assume il ruolo di quelle trasversali, come quella sulla privacy (normativa particolarmente complessa, che affianca al Regolamento (EU) 2016/679, Regolamento Generale sulla Protezione dei Dati (c.d. GDPR, che ha abrogato la Direttiva 95/46/CE), normative nazionali quali, in Italia, il “Codice in materia di protezione dei dati personali” (d. lgs 196/2003) opportunamente aggiornato, la direttiva 2002/58/CE (e-privacy), le normative settoriali, gli atti dell’Autorità Garante per la protezione dei dati personali…) che, da oltre 25 anni, richiede ai Titolari di valutare con estrema attenzione i soggetti esterni che vengono coinvolti nei propri trattamenti.
Nella maggior parte dei casi, infatti, tali soggetti sono anche designati responsabili di trattamento ai sensi del GDPR e quindi la normativa privacy e la normativa bancaria operano in parallelo.
Non a caso, tra le nuove normative in fase di predisposizione, DORA - Digital Operational Resilience Act, relativo alla resilienza operativa digitale per il settore, dedica un intero capitolo alla gestione dei rischi relativi alle TIC (tecnologie dell'informazione e della comunicazione) derivanti da terzi.
Il riferimento alla normativa privacy e alla esternalizzazione infragruppo non è causale vista la scarsa attenzione che le procedure aziendali deputate a valutare i soggetti esterni coinvolti nei propri processi dedicano alla valutazione del ruolo assunto dalla banca in questa catena di fornitura.
Il presupposto che la banca sia sempre e solo un soggetto che affida a terzi i propri processi e i propri trattamenti è infatti errato ed è fondamentale capire che è necessario considerare la molteplicità dei ruoli che un soggetto può contemporaneamente svolgere (ad esempio, in ambito privacy di Titolare e di Responsabile).
La catena di fornitura (o di trattamento) può essere, infatti, molto estesa e molto articolata e quindi la mappatura dei relativi rischi, la loro valutazione, il loro presidio non può basarsi su semplici elenchi di fornitori e valutazione dei rischi realizzati con strumenti di office automation e contratti più o meno standardizzati.
È quindi indispensabile ricorrere a strumenti, come ARTE - Rischi Terze Parti di Augeos, che consentano in ogni momento di avere una visione complessiva dei rischi associati ad ogni soggetto della catena fornitura nell’intero loro ciclo di vita, a partire dalla selezione preliminare fino al costante monitoraggio durante l’erogazione del servizio o alla cessazione dello stesso (per esempio per l’attivazione di un piano di uscita, come il cambio del fornitore, o per la cessazione del processo/trattamento).
Anche se vi è una diffusa tendenza a semplificare e standardizzare le varie tipologie di fornitura e schemi contrattuali, le situazioni riscontrabili nella realtà sono molto più complesse e dinamiche.
Si pensi per esempio a un soggetto verso il quale la banca ha esternalizzato il proprio sistema informativo e che, per tale motivo, sia stato designato dalla stessa quale responsabile di trattamento.
Nel momento in cui è a sua volta la banca a essere designata quale responsabile per uno specifico trattamento erogato per il tramite di quel sistema informativo, tale soggetto assumerà il ruolo di sub-responsabile per tale trattamento.
Questo non è un mero aspetto formale, fra l’altro per lo più ignorato nei contratti fra le parti (non si valuta di norma che lo stesso fornitore può assumere contemporaneamente più ruoli nei confronti del soggetto che esternalizza, legati al singolo processo o trattamento), ma ha delle conseguenze rilevanti in particolare nell’ambito della gestione dei rischi.
La catena di responsabilità nei confronti dei soggetti interessati, o la possibilità di subire sanzioni, si ferma, ai sensi del GDPR, al responsabile. Delle azioni dei propri sub-responsabili risponde il responsabile, nell’esempio la banca.
Quindi anche un contratto molto tutelante fra banca e fornitore non tutela la banca ma nel momento in cui essa stessa diventa responsabile e il fornitore diventa subfornitore.
In caso di sanzioni o risarcimento danni causato dal fornitore ne risponderà la banca, che potrà solo successivamente rivalersi, con notevole difficoltà, nei confronti del suo fornitore.
L’esempio in ambito privacy sopra riportato non è un caso isolato; anche la normativa dell’EBA - Guidelines on ICT and security risk management (EBA/GL/2019/04 del 29 Novembre 2019), nell’ambito della continuità operativa, fa ricadere sulle banche l’onere di gestire un’inadempienza da parte di un fornitore.
È quindi estremamente importante essere in grado di:
Operazioni complesse quindi e, soprattutto dinamiche, che solo uno strumento appositamente realizzato e in grado di colloquiare con altre fonti dati presenti in azienda è in grado di gestire.
Tale complessità si riscontra anche rispetto ad altri fattori; infatti secondo un approccio risk based è fondamentale la “coesione” dei vari attori anche dal punto di vista operativo.
Sono in gioco fattori eterogenei che possono comportare notevoli difficoltà nel giudicare correttamente l’esternalizzazione da parte dei valutatori. Ad esempio, una FEI basata su una tecnologia ICT comporta di per sé valutazioni che tengano in considerazione il profilo operativo, di conformità, la protezione dei dati, gli aspetti informatici e ed il rischio cyber. Tutte componenti che prese singolarmente sono già di difficile gestione, ma che messe in correlazione tra loro determinano un enorme problema.
Tuttavia tale situazione può essere facilmente gestibile grazie ai moduli aggiuntivi di un altro prodotto di Augeos: GRC (Governance, Risk Management & Compliance) che rendono l’ecosistema funzionale completo e in grado di fare fattor comune delle valutazioni dei vari specifici soggetti quali ICT Manager, ORM, Compliance Officer, DPO, Sistemi ICT, Sicurezza e Privacy.