Passa al contenuto principale

Pagamenti

10 Agosto 2023

 

Comprendere la visione di DORA per una rete finanziaria resiliente

Protagonista Steve Brown

Cyber & Intelligence

soluzioni, Mastercard

Il Digital Operational Resilience Act (DORA) non è stato scritto pensando alle soluzioni di una rete di pagamento globale. Uno sguardo alle sue disposizioni normative suggerisce che avrebbe potuto benissimo esserlo.

Il suggerimento non è che una rete di pagamento si assuma la conformità a DORA per conto degli enti finanziari che operano all'interno della sua rete. Sarebbe un compito arduo anche se l'obiettivo fosse puramente la resilienza informatica. È reso ancora più alto dalla copertura da parte di DORA di tutti i rischi operativi associati alle tecnologie di comunicazione (ICT) dell'informazione & e posti dalla crescente interconnessione delle entità finanziarie.

Piuttosto, il suggerimento rileva la posizione di DORA secondo cui la resilienza può "a causa della sua portata e dei suoi effetti, essere raggiunta meglio a livello [dell'Unione europea]" e che i pagamenti sono "passati da metodi basati su contanti e cartacei" a soluzioni digitali. La duplice attenzione di DORA alla scala, in tutta l'UE e oltre, e alla finanza, in particolare ai pagamenti, si allinea bene con le attività esistenti delle reti di pagamento globali.

Ad esempio, Mastercard supporta le entità finanziarie consentendo pagamenti e trasferimenti di dati sicuri in tutto il mondo. La nostra resilienza operativa digitale deriva da una combinazione di autenticazione forte del cliente, quantificazione del rischio, simulazione di violazioni e attacchi, monitoraggio dell'esposizione online e valutazione del rischio sistemico.

La combinazione è importante. DORA osserva come il settore finanziario dell'UE sia "regolamentato da un codice unico e governato da un sistema europeo di vigilanza finanziaria", mentre "la resilienza operativa digitale e la sicurezza delle TIC non sono ancora completamente o coerentemente armonizzate". La richiesta esplicita è di un quadro armonizzato, ma il suggerimento implicito è che anche le soluzioni dovrebbero essere armonizzate. Le soluzioni di una rete di pagamento possono aiutare le entità finanziarie a raggiungere insieme quell'armonia.

Quattro pilastri distinti, una soluzione "sempre attiva"

I quattro pilastri principali di DORA richiedono logicamente quattro soluzioni e per ciascuno di essi esistono prodotti dedicati a vari livelli. Ma la gestione del rischio, la segnalazione degli incidenti, i test di resilienza e il rischio di terze parti non operano indipendentemente l'uno dall'altro. DORA si rivolge a loro insieme senza interruzioni per una buona ragione; I fornitori di sicurezza informatica e di altre soluzioni per il rischio operativo potrebbero prendere in considerazione la possibilità di fare lo stesso.

Le reti di pagamento conoscono bene la necessità di essere «sempre attive» tramite l'elaborazione sostitutiva che forniscono alle banche per soddisfare i requisiti di autenticazione forte del cliente (SCA) durante le interruzioni e i tempi di inattività delle banche.

Tuttavia, oltre all'autenticazione e all'autorizzazione dei pagamenti, le reti di pagamento proteggono continuamente tutti i dati sulle loro reti. Tale protezione può coprire transazioni incentrate esclusivamente su carte di credito o pagamenti da conto a conto in tempo reale, oppure può incorporare altri dati finanziari tramite open banking o sempre più blockchain.

I cicli continui di quantificazione del rischio informatico consentono alle reti di pagamento di gestire i rischi operativi per le loro reti multiferroviarie e quelli affrontati dagli enti finanziari che servono. Questo approccio quantificabile al primo pilastro di DORA porta la sicurezza informatica oltre una mentalità da gioco arcade in cui si inseriscono in modo reattivo le monete in uno slot per arginare un attacco implacabile di attacchi. La personalizzazione interna può quindi soddisfare esigenze aziendali specifiche, mentre la contestualizzazione esterna fornisce supporto basato su minacce dinamiche in continua evoluzione.

I test di resilienza tramite simulazioni di violazioni e attacchi integrano la gestione del rischio imitando il comportamento degli attori malintenzionati. Le simulazioni possono essere eseguite continuamente all'interno dell'ambiente di produzione di un'organizzazione per affrontare il secondo pilastro di DORA, mentre le operazioni aziendali continuano senza interruzioni. Possono anche fungere da sistema di convalida continua che monitora l'efficacia dei controlli di sicurezza. I risultati forniscono dati migliorati per la gestione del rischio che a loro volta alimentano ulteriori test di resilienza nei cicli virtuosi. I report risultanti dai test continui possono quindi essere inseriti nei meccanismi di segnalazione degli incidenti per il terzo pilastro di DORA, se necessario.

Il quarto pilastro, il rischio di terze parti, viene dopo la gestione del rischio, la segnalazione degli incidenti e i test di resilienza in DORA. La posizione sembra non essere un riflesso di importanza, ma piuttosto un riconoscimento di come sia alla base degli altri tre pilastri di un ecosistema finanziario.

Molte entità finanziarie, un ecosistema finanziario

Il rischio di terze parti è considerato il più impegnativo dei quattro pilastri principali di DORA in un sondaggio sponsorizzato da MasterCard sui team di rischio delle tecnologie della comunicazione (ICT) dell'informazione & in 20 entità finanziarie in 20 paesi dell'UE tra novembre 2022 e febbraio 2023.

La sfida deriva dall'emergente necessità di resilienza dell'ecosistema, poiché il rischio di terze parti si sposta da una mentalità "io contro loro" a un "noi" collettivo che è alla base di tutti gli altri aspetti della sicurezza informatica. L'obiettivo generale di DORA è fornire la resilienza dell'ecosistema all'UE e, idealmente, a livello mondiale.

Da una prospettiva globale, DORA non richiede la localizzazione dei dati per quanto riguarda la gestione dei dati in ingresso e in uscita dall'UE. Tuttavia, DORA non è immune dall' «effetto Bruxelles», che si riferisce all'impatto della legislazione dell'UE oltre i suoi confini geografici.

Più specificamente, in termini di DORA stesso e di rischio di terze parti, gli articoli 36 e 44 riguardano le attività delle autorità di vigilanza europee "al di fuori dell'Unione" e lo sviluppo delle migliori pratiche attraverso la "cooperazione internazionale".

L'ambito significa che la capacità delle entità finanziarie di affrontare DORA dipende da soluzioni olistiche da parte dei fornitori, come le reti di pagamento globali, con partnership che abbracciano l'ecosistema finanziario. Il circolo virtuoso della gestione del rischio e della resilienza può quindi beneficiare ulteriormente delle economie di scala associate a un ecosistema finanziario pieno di relazioni intrinseche con terze parti. Approcci specifici al rischio di terze parti, come il monitoraggio dell'esposizione online e del rischio sistemico, completano l'approccio di rete.

La lettera della legge contro lo spirito della legge

Il Digital Operational Resilience Act sembra molto più accessibile con il suo simpatico acronimo DORA. Gli enti finanziari nell'UE e altrove dovranno conoscere bene DORA entro gennaio 2025, quando l'applicazione sarà attiva.

Il sondaggio sponsorizzato da Mastercard suggerisce che le entità finanziarie inizieranno l'implementazione della conformità a metà del 2023 dopo aver completato le valutazioni delle lacune. Un pacchetto completo o "armonizzato" di soluzioni dovrebbe aiutarli a presentarsi in tempo.

Tuttavia, tale aiuto dovrebbe andare oltre la mera fornitura di soluzioni connesse per soddisfare le esigenze di conformità. DORA non dipende solo da singole entità finanziarie che rispettano la lettera della legge. Dipende anche dal fatto che le entità finanziarie riconoscano la necessità di riunirsi in tutto l'ecosistema finanziario attraverso un approccio di rete.

Senza quella rete, probabilmente ci sarà una disconnessione. Un risultato ironico per un atto pensato per rivolgersi a un mondo interconnesso.