COME GARANTIRE UNA BUSINESS CONTINUITY DORA COMPLIANT.

di Rino Tranzillo, Head of Capital Market Solutions ATS (Base Digitale Group).

La crescente digitalizzazione del settore finanziario e la complessità delle infrastrutture informatiche che sostengono i sistemi dei servizi finanziari, offrono certamente nuove opportunità di business, ma allo stesso tempo accentuano in modo importante i rischi di natura informatica. Tali rischi emergono come una preoccupazione primaria, esponendo le istituzioni finanziarie a una vasta gamma di minacce, da quelle naturali (errori umani, catastrofi naturali), a quelle tecnologiche (attacchi informatici, criminalità informatica), fino alle frodi finanziarie più sofisticate.

È in questo contesto che nasce il Regolamento europeo DORA (Digital Operational Resilience Act), la più importante iniziativa UE in materia di resilienza operativa digitale e sicurezza informatica per il settore finanziario. DORA è un vero game changer, sia per l’ampiezza del perimetro dei soggetti in scope sia per la centralità a livello europeo. L’obiettivo è la creazione di un quadro normativo comunitario che guidi verso l’armonizzazione delle regole concernenti la sicurezza delle reti e dei sistemi informativi attualmente in essere a livello nazionale nei singoli paesi dell’UE.

Cosa significa resilienza operativa nel contesto della negoziazione titoli nel mercato dei capitali?”

“La digitalizzazione dei processi di negoziazione ha indubbiamente portato numerosi vantaggi in termini di efficienza e velocità. Le imprese di investimento si affidano a soluzioni digitali innovative per ottenere una maggiore rapidità nel trading e potenziare la capacità di gestire un’enorme quantità di dati e informazioni. Questo, per contro, le espone a nuovi rischi.

Per le imprese di investimento, il processo di gestione ordini e di negoziazione degli strumenti finanziari rientra inevitabilmente nelle funzioni definite dal Regolamento DORA come essenziali. La resilienza operativa, in questo ambito, si riferisce alla capacità dell’impresa di mantenere le proprie funzioni critiche, legate ai processi di gestione ordini e di negoziazione, anche in presenza di incidenti di natura informatica. Si tratta di un concetto che va oltre la semplice disponibilità dei sistemi: implica la capacità di ripristinare rapidamente le funzionalità, minimizzando l’impatto sull’impresa stessa, sui clienti e sulle controparti”.

dichiara Rino Tranzillo, Head of Capital Market Solutions di ATS.

L’importanza di un’architettura adeguata

Per garantire una resilienza operativa efficace, è fondamentale progettare un’architettura IT appositamente studiata per garantire anche tutti i livelli di resilienza necessari. In particolare, tale architettura deve essere in grado di:

• Assicurare la continuità operativa: mantenendo attivi i servizi essenziali per la raccolta ordini, la negoziazione e l’accesso ai Mercati, anche in condizioni di emergenza e di picco dell’operatività.
• Ripristinare le funzionalità in tempi rapidi: grazie a procedure di risposta e ripristino ben definite e a soluzioni di backup e replica dei dati efficienti.
• Identificare rapidamente gli incidenti: attraverso sistemi di monitoraggio avanzati, basati anche su tecnologie AI, e l’implementazione di logiche di alerting che attivino tempestivamente i processi di risposta agli incidenti.
• Isolare l’impatto: contenendo la propagazione dell’incidente e proteggendo i dati e le applicazioni critiche.

Un nuovo approccio al back up focalizzato sulla velocità di ripristino e la continuità operativa

Alla luce del Regolamento DORA, che impone elevati standard di resilienza operativa digitale, è fondamentale adottare un approccio innovativo nella gestione degli incidenti informatici. Le soluzioni di backup e di recovery devono garantire una ripresa dell’operatività rapida, minimizzando al massimo i tempi di inattività e assicurando la continuità operativa. È un requisito essenziale per un processo particolarmente critico come quello della negoziazione di strumenti finanziari, estremamente digitalizzato e composto da una successione di soggetti e sistemi interconnessi. Ogni anello di questa catena rappresenta un elemento delicato dal punto di vista della vulnerabilità e del rischio operativo.

La flessibilità e l’automatizzazione dei processi di ripristino delle funzionalità importanti sono elementi chiave per mitigare i rischi informatici e garantire la continuità operativa in un contesto in cui la tempestività è un fattore fondamentale e ha un impatto importante sul business e sull’intero mercato. In questo scenario, in particolare, l’accessibilità ai sistemi da qualsiasi luogo, anche in situazioni di emergenza, è un requisito imprescindibile. Questo significa che tutti gli attori coinvolti nel ciclo di vita di una transazione, dal pre-trade al post-trade (fornitori di dati, broker, clienti e trading desk), devono poter accedere ai sistemi e ai dati necessari in qualsiasi momento e da qualsiasi luogo, anche nelle situazioni più critiche.

In quest’ottica, un approccio alla resilienza operativa as a service con la disponibilità di una infrastruttura alternativa in cloud (pubblico o privato) e con le funzionalità specifiche pronte per riavviare in tempi minimi l’intero processo di gestione e negoziazione degli ordini, può diventare una best practice per gli intermediari finanziari che vogliono rafforzare la propria continuità operativa digitale, gestire in modo efficace gli incidenti, proteggendo i propri dati, i propri clienti e garantendo un livello di servizio adeguato ed efficiente anche sotto il profilo dei costi.

 Diversificazione degli OEMS per mitigare il rischio di concentrazione e ottenere benefici sul business

“Il Regolamento DORA pone particolare enfasi sulla necessità di mitigare il rischio di concentrazione e dipendenza da terze parti critiche. Nell’ambito del processo di gestione e negoziazione degli ordini, un’architettura diversificata con l’uso di diversi OEMS per vari segmenti di business o flussi di lavoro (es. asset class, brokers, flussi high touch o low touch, …) risponde in modo adeguato contribuendo a ridurre tale rischio, distribuendo le dipendenze su più fornitori e tecnologie e garantendo una maggiore continuità operativa.

La diversificazione degli OEMS in base ai segmenti di business o ai flussi di lavoro permette di isolare eventuali incidenti, limitandone l’impatto sull’intera organizzazione. Ancor di più, la diversificazione delle piattaforme tra impianto primario e impianto di backup/recovery riesce a coprire anche il caso di “failure del fornitore”.

Benefici per il business

Un approccio orientato alla diversificazione delle piattaforme non solo risponde ai requisiti del Regolamento DORA riguardo alla gestione delle terze parti, ma rappresenta anche una strategia efficace per migliorare la resilienza operativa complessiva, garantendo al contempo flessibilità ed efficienza.

La diversificazione delle piattaforme offre benefici significativi anche dal punto di vista del business. La possibilità di utilizzare OEMS specializzati per segmenti di mercato o flussi di lavoro consente una maggiore personalizzazione e ottimizzazione dei processi operativi e questo si traduce in una maggiore efficienza e in un miglioramento della qualità del servizio offerto ai clienti.

DORA rappresenta sicuramente un onere e una sfida, ma può essere anche un’opportunità per le imprese del settore finanziario. Implementando misure di sicurezza adeguate e adottando piani e strutture di continuità operativa solidi, le organizzazioni potranno proteggere il proprio business, ma anche differenziarlo e rafforzarlo ulteriormente rispetto ai propri competitor.