Il ruolo degli amministratori indipendenti e dei sindaci nella gestione dei rischi IT e Cyber delle banche
Come noto da tempo, una delle principali priorità del SSM della BCE concerne la valutazione degli impatti della progressiva digitalizzazione dei servizi bancari e finanziari e la connessa gestione sia dei rischi IT che di quelli Cyber. Su questo tema Elizabeth McCaul, membro del Supervisory Board della BCE, in un discorso pronunciato nel corso del Joint ECB/EUI Seminar “Diverse and effective boards in a changing and competitive landscape”, al quale potete accedere cliccando qui, ha evidenziato, tra gli altri temi, anche quanto segue (format mio):
“We are aware that fragmented IT landscapes continue to affect banks’ risk data aggregation capabilities, impairing their ability to produce accurate and comprehensive risk reports.
One area to highlight is the lack of IT expertise in banks’ boards. As part of our most recent stocktake, 14% of supervised banks reported that their board members had no knowledge at all about IT risk.
While we recognise the fierce competition for IT talent across the industry, this is concerning in the context of the need to effectively manage banks’ digital transformation strategies.
The rate of change in the IT landscape is ever-increasing. When we planned today’s meeting, we had no idea that ChatGPT, Open AI’s chatbot, would have 100 million active users in January, just two months after its launch. How are boards evaluating the impact of this tool on the ways of working, or on the provision of inputs into strategy? How will boards be thinking about how to assess the risks of using such tools?
We have also seen the effects of the digital world of social media in the collapse of SVB, where USD 42 billion in deposits left the bank in just five hours. This proves once again the need to evaluate the impact of the digital world on the liquidity base.
There are clearly different skills needed at the board table to assess these types of risks, and we may need different supervisory measurements for such risks to liquidity and capital.
In more traditional terms, boards need to understand the IT strategy, its alignment with the business strategy and the related risks to be able to challenge management in that regard. This includes short-term risks, such as cyber risks, but also longer-term strategic risks which can ensue from a lack of investment in IT infrastructures or overreliance on service providers without a tested exit plan in place. Sufficient IT expertise is important for the board to fulfil its role.
We welcome the Digital Operational Resilience Act, which will come into force in 2025 and enshrine training requirements for the boards in EU law.”
Quali suggerimenti operativi ne derivano, in particolare, per gli amministratori indipendenti e per i componenti degli organi di controllo di banche ed intermediari finanziari? In sintesi, potrebbe essere opportuno valutare talune delle seguenti aree di intervento:
- richiedere una mappatura ed un piano per ridurre ogni tipo di frammentazione delle piattaforme IT che impedisca un’eccellente data aggregation e/o una valutazione completa di tutte le aree di operatività della banca o dell’intermediario finanziario;
- incentivare l’aggiornamento di competenze tecnologiche e digitali in seno al Board al fine di meglio far comprendere i rischi IT ed i rischi cyber ai quali la banca è sottoposta, due classi di rischio ben distinte;
- monitorare accuratamente la gestione del personale chiave IT, e ciò al fine di valutarne compiutamente il posizionamento sul mercato, evitarne la fuoriuscita incontrollata e predisporre adeguati piani di successione;
- adottare un approccio strategico e proattivo all’impiego delle innovazioni tecnologiche e richiedere valutazioni da parte del management sul tema (“How are boards evaluating the impact of this tool on the ways of working, or on the provision of inputs into strategy? How will boards be thinking about how to assess the risks of using such tools?”);
- valutare i rischi normati dalla vigilanza anche in funzione della cultura digitale posseduta del mercato e dei livelli di digitalizzazione dei prodotti e dei servizi bancari offerti, un mondo ed un insieme di relazioni tra attori del mercato molto diversi rispetto a quelli tradizionali (“We have also seen the effects of the digital world of social media in the collapse of SVB, where USD 42 billion in deposits left the bank in just five hours.”);
- in intermediari ormai completamente tecnologici e digitali, richiedere al management una valutazione ed il reporting sia delle strategie che delle operazioni aziendali che includano costantemente anche i riferimenti alle tecnologie impiegate ed gli attori tecnologici coinvolti;
- incentivare un’implementazione delle metodologie richieste dalla DORA – e cioè della Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector, alla quale potete accedere cliccando qui - quale pilastro centrale per l’analisi e la gestione dei rischi IT e Cyber e, più in generale, di tutti i rischi operativi.
È forse utile osservare che la nozione di resilienza digitale, uno dei tre pilastri posti a base della DORA, pare aprirsi, alla luce di quanto implicitamente suggerito proprio da Elizabeth McCaul, su nuovi temi in continua evoluzione quali, ad esempio: i) la diffusione di nuove tecnologie tra i clienti della banca; ii) le relazioni tra i “rumori” sul mercato e le politiche di gestione degli attivi e della liquidità; iii) la definizione di solidi piani di incentivazione e successione in ambito IT; iv) l’impiego della DORA, da parte degli amministratori indipendenti e degli organi di controllo, quale piattaforma e strumento di verifica su tutti i temi tecnologici e digitali; v) l’ingresso nel Board, ed a pieno titolo, dei temi della sicurezza IT e Cyber, che non saranno più di stretta pertinenza della C-Suite, analogamente a quanto sta avvenendo per i temi ambientali e, più in generale, per quelli ESG.