Roma, 3 giu. (askanews) – La Banca centrale europea ha avviato una consultazione pubblica sulle sue nuove linee guida sull’esternalizzazione da parte delle banche delle attività informatiche di custodia dei dati, tramite servizi in cloud operati da terze parti.
Con un comunicato, l’istituzione di Francoforte spiega che la nuova guida punta a chiarire sia le caratteristiche legali che riguardano questo ambito, sia i requisiti regolamentari che la vigilanza ci si attende dalle banche. Secondo la Bce queste linee guida sono diventate necessarie a causa delle potenziali vulnerabilità nelle strategie di outsourcing delle banche su questo ramo delicato.
La consultazione pubblica si chiuderà il 15 luglio.
Le documentazioni inviate tracciano un quadro di rischi ed elencano le migliori pratiche osservate durante le ispezioni dalle squadre di vigilanza congiunte tra Bce e Banche centrali nazionali.
La Vigilanza bancaria la rileva che le banche stanno facendo un crescente uso dei servizi in cloud offerti da terze parti, che potenzialmente sono meno costosi, più flessibili e più sicuri di quelle fatte in proprio “ma la dipendenza da terze parti può anche esporre le banche a rischi, ad esempio su riguardo alla sicurezza di Information Technology e possibili interruzioni di attività”.
La Bce fa l’esempio di una banca che si troverebbe nell’impossibilità di sostituire un fornitore di servizi di cloud in caso del suo fallimento, con cui i suoi servizi verrebbero interrotti. Peraltro il mercato di questo segmento particolare è molto concentrato e la maggior parte delle banche deve rivolgersi a provider che non sono localizzati in paesi dell’Unione europea.
“Per questo la Bce ritiene una buona pratica per le banche prendere in considerazione questi rischi”. Sempre in questo ambito la vigilanza bancaria “ha individuato diverse vulnerabilità negli accordi di esternalizzazione delle banche sull’information technology nel corso del processo di revisione e valutazione di vigilanza del 2023. Ne risulta che la gestione del risk management rispetto a terze parti, inclusi i servizi di outsourcing, resta in alto nella lista delle priorità di vigilanza fissate per il periodo 2024-2026”.
L’istituzione di Francoforte ricorda che l’Unione europea ha introdotto un provvedimento (Dora, o Digital Operation Resilience Act) che mette in rilievo la necessità di intervenire attivamente per mitigare i rischi che potrebbero portare a problemi su funzioni o servizi critici. E che per le banche questo provvedimento riguarda qualunque rischio che sia collegato all’esternalizzazione, così come l’allestimento delle reti di information technology di sicurezza e di cyber resilienza. (fonte immagine: European Central Bank).
