Per l’Efama le modifiche a Dora richiedono più proporzionalità e semplicità

L’EFAMA (acronimo di European Fund and Asset Manger Association) ha risposto alle consultazioni pubbliche avviate dall’authority europee di vigilanza (ESA) sui progetti di norme tecniche di regolamentazione (RTS) e di norme tecniche di attuazione (ITS) che integrano la legge sulla resilienza operativa digitale (DORA).

Il loro scopo è quello di stabilire ulteriori dettagli sugli elementi fondamentali di questo regolamento armonizzando il modo in cui devono essere affrontati i rischi legati alle tecnologie dell’informazione e della comunicazione nel settore finanziario. Le bozze in discussione riguardano aree dei quadri di gestione del rischio ICT, un registro di informazioni sugli accordi contrattuali, nonché la classificazione degli incidenti e delle minacce legati alle ICT.

La questione principale evidenziata dall’EFAMA è la necessità di un’integrazione completa del principio di proporzionalità di DORA. L’ambito dei soggetti soggetti alla DORA è molto ampio e spazia dagli istituti di credito e di pagamento, alle compagnie assicurative, ai gestori patrimoniali, oltre ad altri. La loro struttura, dimensione e modelli di business variano in modo significativo, dalle banche che forniscono infrastrutture IT critiche, alle aziende con una dipendenza molto inferiore dai servizi ICT. L’approccio “one size fits all” attualmente proposto sarà eccessivo per molti di loro, comprese le società di gestione patrimoniale. L’ESA dovrebbe consentire di tenere conto di elementi quali le dimensioni più ridotte, la diminuzione della complessità, la criticità dei sistemi e delle funzioni, nonché la valutazione e la propensione al rischio dell’entità, in particolare nell’attuazione del quadro di gestione del rischio ICT.

I modelli proposti per il registro degli accordi contrattuali per i servizi ICT sono molto complessi in termini di contenuto, forma e tecnologia e includono elementi aggiuntivi senza valore aggiunto (o discutibile). Ad esempio, l’obbligo di tenere il registro sia a livello di entità che a livello consolidato/subconsolidato costituirebbe un’inutile duplicazione, in contraddizione con gli standard fondamentali di responsabilità per il consolidamento di gruppo.

Inoltre, l’EFAMA sottolinea che le informazioni sulla catena di fornitura del fornitore di servizi potrebbero essere fornite alle autorità in modo più efficiente dagli stessi fornitori di servizi ICT terzi, piuttosto che attraverso entità finanziarie. Mettiamo inoltre in discussione la necessità di conservare nel registro le informazioni sui contratti risolti per 5 anni e l’inclusione di dati contrattuali sensibili.

L’EFAMA apprezza il tentativo di dare agli enti finanziari maggiore chiarezza sulla classificazione degli incidenti legati alle TIC, con soglie per identificare gli incidenti gravi. Tuttavia, la metodologia proposta richiederebbe un monitoraggio costante di vari criteri, impegnando risorse significative, che in molti casi non rileverebbero un grave incidente correlato alle TIC. Infatti, questi criteri potrebbero portare a un numero maggiore di incidenti identificati, il che renderebbe più difficile individuare quelli veramente gravi. Inoltre, questa metodologia non è stata chiaramente collegata alla definizione di incidenti gravi legati alle TIC inclusa in DORA.

Zuzanna Bogusz, Regulatory Policy Advisor dell’EFAMA, ha commentato: “Il settore della gestione patrimoniale è molto serio nell’affrontare i rischi che derivano dal crescente utilizzo e dalla sofisticazione delle tecnologie dell’informazione e della comunicazione. Anche la resilienza operativa è fondamentale per la stabilità dei mercati finanziari. Tuttavia, l’elevato grado di burocrazia incorporato nei progetti di norme tecniche compromette questo obiettivo. Le entità finanziarie saranno sopraffatte dalle procedure di stesura, compilazione di modelli e raccolta di dati, quando la loro attenzione dovrebbe concentrarsi sulla prevenzione, individuazione e reazione rapida alle minacce. Inoltre, se un’elevata percentuale di incidenti legati alle TIC venisse qualificata come “grave”, diventerebbe più difficile individuare quelli veramente dannosi e incanalare le risorse disponibili verso di essi. In altre parole, sarebbe controproducente per il compito da svolgere”.

 

Vuoi ricevere le notizie di Bluerating direttamente nella tua Inbox? Iscriviti alla nostra newsletter!

Tag: