La Banca d’Italia ha pubblicato il 3 novembre 2022, sul proprio sito internet, il 40° Aggiornamento della Circolare n. 285 del 17 dicembre 2013.
Con tale aggiornamento sono stati modificati il Capitolo 4 “Il sistema informativo” e il Capitolo 5 “La continuità operativa” della Parte Prima, Titolo IV, per dare attuazione agli “Orientamenti sulla gestione dei rischi relativi alle tecnologie dell’informazione (ICT) e di sicurezza” (EBA/GL/2019/04) emanati dall’EBA. Sono stati, inoltre, effettuati alcuni interventi di raccordo e aggiornamento dei riferimenti interni alla Sezione I del Capitolo 3 “Il sistema dei controlli interni”.
Gli Orientamenti EBA definiscono un quadro armonizzato delle misure di gestione dei rischi relativi all’uso delle tecnologie dell’informazione e della comunicazione (ICT) e le misure di sicurezza di cui le banche devono dotarsi. Per la loro attuazione, nel Capitolo 4 sono state modificate le Sezioni I, II, III, IV, VI e VII ed è stata inserita la nuova Sezione IV-bis. È stato inoltre modificato il Capitolo 5.
Il contenuto degli Orientamenti è stato integrato per esteso nel testo delle disposizioni nei casi in cui si è reso necessario coordinarlo con la disciplina vigente; negli altri casi il recepimento è stato effettuato mediante rinvio. In particolare:
le previsioni in materia di governance e compiti degli organi aziendali, sistema dei controlli interni, esternalizzazione e continuità operativa sono state trasposte per esteso nelle Sezioni I, II e VI del Capitolo 4 e nel Capitolo 5;
le previsioni sulla gestione del rischio ICT e di sicurezza, sulla gestione della sicurezza dell’informazione e delle operazioni ICT, sulla gestione dei progetti e dei cambiamenti ICT, sulla gestione del rapporto con gli utenti dei servizi di pagamento e sulla fornitura di servizi ICT al di fuori dell’esternalizzazione sono state recepite mediante l’inserimento di un rinvio nelle Sezioni III, IV, IV-bis, VI (paragrafo 3) e VII del Capitolo 4.
Tra i principali elementi di novità, le nuove regole prevedono che le banche si dotino di una funzione di controllo di secondo livello per la gestione e il controllo dei rischi ICT e di sicurezza. Le banche possono assegnare la responsabilità di questi compiti a una funzione appositamente costituita, che soddisfi i requisiti previsti dalle norme europee e nazionali per le funzioni aziendali di controllo di secondo livello, assicurando opportuni livelli di raccordo e coordinamento con le altre funzioni aziendali di controllo; in alternativa, le banche possono assegnare tali compiti alle funzioni aziendali di controllo dei rischi e di compliance, in relazione ai ruoli, alle responsabilità e alle competenze proprie di ciascuna delle due funzioni, a condizione che siano assicurati il corretto svolgimento dei compiti e le necessarie competenze tecniche e che non si alteri l’efficacia dei controlli sui profili ICT.
Le banche si devono adeguare al contenuto dell’aggiornamento entro il 30 giugno 2023. Entro il 1° settembre 2023 devono trasmettere alla Banca d’Italia una relazione che descrive gli interventi effettuati per assicurare il rispetto delle stesse.
La comunicazione della Banca d’Italia del 12 ottobre 2018 “Misure di sicurezza e presidi di controllo per i servizi informatici esternalizzati o forniti da terze parti” è abrogata dal 1° luglio 2023.
Il testo della Circolare aggiornata è disponibile al sottostante link:
Circ.285-Testo-integrale-40-aggiornamento
