Nell’ambito delle serate dedicate alle conversazioni fra soci su argomenti tecnici e le principali novità, è stata presentata ai soci una sintesi del nuovo Regolamento europeo; come noto, è diretto alle istituzioni finanziarie e pertinente la resilienza operativa digitale.

Al termine della presentazione si è aperto il dibattito, reso piuttosto interessante data anche la presenza di soci provenienti sia dal settore bancario, sia industriale.

I giudizi sono stati tutti positivi ed hanno sottolineato i provvedimenti tesi al superamento:

a)     della disomogeneità degli approcci normativi nella EU e della potenziale vulnerabilità sistemica;

b)     delle difficoltà nel negoziare le condizioni contrattuali con i fornitori terzi di servizi ICT in modo che siano conformi alle norme prudenziali o nell’applicare diritti specifici, quali i diritti di accesso e di audit.

I commenti positivi sul punto b) sono stati tanti così come sono stati ricordati molti diversi casi di forti difficoltà riscontrate nell’ambito del proprio incarico; pertanto, la maggioranza ha sottolineato che “ben vengano le norme per l’istituzione e l’attuazione di un quadro di sorveglianza per i fornitori terzi critici di servizi ICT ad entità finanziarie!”.

Per quanto attiene gli altri provvedimenti, quali la capacità di garantire l’operatività in caso di interruzioni gravi, o il forte coinvolgimento del comitato di gestione (responsabile finale per la gestione dei rischi informatici, e nel definire ed approvare la strategia di resilienza operativa digitale), i presenti hanno ricordato che la Banca d’Italia già nel 2004 aveva dato opportune istruzioni al riguardo.   Il mondo delle banche italiane ha anticipato di quasi 20 anni le istruzioni del nuovo Regolamento!

Una ultima considerazione è stata sottolineata da molti: la resilienza riguarda l’intera filiera produttiva: persone, procedure, tecnologia.  La resilienza deve anche essere organizzativa.