Valutazione e gestione del rischio informatico nell’industria bancaria -Un approccio risk based al Risk Management nell’ICT tra outsourcing e insourcing

Abstract

A partire dal 15° aggiornamento della Circolare 263, il sistema informatico bancario è stato inquadrato in una visione di più ampio respiro che lo eleva da strumento operativo ad arma gestionale e strategica. Sotto i nuovi connotati di “sistema nervoso” atto a preservare il patrimonio informativo, il sistema ICT prevede il coinvolgimento di tutte le funzioni e le strutture che a vario titolo si riconducono alla tutela dello stesso e alla prevenzione del rischio ad esso collegato. Se da una parte la presente trattazione rivela come le banche di grandi dimensioni possiedano per lo più un sistema informativo interno, grazie anche a processi di integrazione o società strumentali, dall’altra evidenzia che gli istituti di credito di medie e piccole dimensioni hanno orientato i propri investimenti per lo più verso la sicurezza, i servizi alla clientela e la compliance: l’outsourcing sembra così assurgere a valido espediente per il recupero di efficienza nei costi IT. Il ricorso all’esternalizzazione determina tuttavia una serie di altri rischi da gestire, tra cui la dipendenza e la fiducia negli outsourcer, a tal punto da rendere necessaria la previsione di una serie di sistemi per incanalare e gestire le probabilità di accadimento dei danni. La difficoltà dell’attribuzione di un valore economico al rischio informatico viene affrontata attraverso l’utilizzo di un approccio qualitativo, ed un modello sperimentale di valutazione dell’impatto del danno, basato sulla perimetrazione, la valutazione e il trattamento del rischio potenziale lasciando il compito alle singole banche, una volta effettuato il processo di analisi del rischio informatico e individuato il livello di probabilità di accadimento, di agire al fine di ridurne l’impatto sull’ente.