Il mondo bancario sta vivendo una radicale trasformazione. Non è bastata la digital transformation a mettere in discussione modelli di business, processi e strumenti consolidati da decenni. A creare scompiglio ci si è messa anche, sull’onda della disruption generata dalle tecnologie digitali, l’introduzione del concetto di open banking, che ha comportato nuove regole volte a favorire l’apertura dei sistemi informativi e la condivisione dei dati dei propri clienti con altri operatori del Finance. A cascata, il comparto è stato poi messo sotto pressione dal tema del cyber risk, strettamente correlato con quello della compliance normativa sul fronte della data protection. Senza dimenticare la situazione che sta affrontando insieme a tutti gli altri settori produttivi: quella generata dalla pandemia di coronavirus, che ha costretto tutte le organizzazioni a rimodulare – in tempi rapidissimi – procedure e funzioni per farle aderire alle dinamiche del distanziamento sociale e soprattutto del lavoro da remoto.
“In questi anni assistiamo a un grosso momento di revival rispetto alla governance dei rischi operativi: mi verrebbe da dire che era dai tempi di Basilea 2 che i sistemi e le funzioni di controllo delle banche non vivevano un momento così intenso”. A parlare è Claudio Ruffini, Presidente di Augeos, società specializzata nella fornitura di soluzioni e consulenza nell’ambito del risk management, con un forte, storico focus sul mondo finanziario. “Non a caso, negli ultimi mesi Bankitalia ha posto molta attenzione sui versanti dell’IT risk, della compliance e del cyber risk, rendendole tematiche all’ordine del giorno”.
L’evoluzione dei sistemi bancari rispetto al risk management
Dal suo punto d’osservazione, Ruffini ha maturato una visione stratificata del modo in cui si stanno evolvendo le organizzazioni bancarie sotto il profilo dei rischi operativi. “Personalmente, ho sempre diviso le aziende in tre categorie. La prima è quella che definisco strategica: parliamo di settori in cui errori, attacchi e rischi operativi, semplicemente, non sono tollerabili. Mi riferisco quindi all’ambito militare, ma anche al comparto dell’energia e a quello della sanità”. Nella seconda tipologia di imprese il manager inserisce le organizzazioni all’interno delle quali il rischio non solo – fino a poco tempo fa – era tollerato, ma anche gestito, valutato e spesso trasformato in business: “Le banche, insieme alle compagnie assicurative, sono state sempre rappresentative di questa categoria di aziende. Infine, la terza categoria – prosegue Ruffini – è quella delle piccole e medie imprese, per le quali vale il detto ‘il rischio è il mio mestiere‘. In altre parole, per la maggior parte delle pmi si tratta di un fattore da gestire nel momento in cui si concretizza una minaccia”.
Secondo questo schema, le aziende del Finance sono da sempre quelle più strutturate da questo punto di vista. Anche in passato, le metodologie di gestione del rischio tenevano conto sia della previsione sia della mitigazione, e si sono contraddistinte nello scenario del risk management come quelle più sofisticate. “Oggi però assistiamo a un cambio di paradigma”, precisa il Presidente di Augeos. “C’è un numero sempre maggiore di organizzazioni finanziarie per le quali i rischi operativi sono ormai considerati non tollerabili: organizzazioni che per questo motivo si evolvono in aziende strategiche. La gestione del rischio si traduce quindi anche nell’elaborazione di piani di emergenza: bisogna prevedere una serie di casistiche in risposta al verificarsi di determinati eventi, affrontando temi di natura organizzativa che fino a pochi anni fa erano meno enfatizzati. Assumendo questa nuova prospettiva, ritengo che, lungo il percorso di trasformazione che stanno intraprendendo, molte banche possano imparare parecchio dall’esperienza maturata dalle aziende del settore energetico”.
Ruffini aggiunge che nei prossimi anni l’applicazione del framework proposto da Basilea 4 consentirà alle banche di approcciarsi ai non financial risk in maniera strutturata, ponendo l’accento sull’assetto organizzativo interno e implicando un cambiamento culturale decisivo per l’intero settore. “Più si entra nell’ottica di un Risk by design, più la gestione dei rischi diverrà parte integrante nel delineare le scelte strategiche di business. D’altra parte, saranno premiate le aziende che permetteranno un intervento dei Chief Risk Manager più incisivo – e invasivo – nell’ingegnerizzazione dei processi interni. È lì che si annida il rischio e non ci si può più accontentare di valutarlo: bisogna cercare di incidere nel modo in cui agiscono concretamente le persone e mitigare i possibili incidenti con piani di emergenza ad hoc”.
Guida pratica per IT Manager all’Operational Risk Framework, clicca qui e scarica il White Paper
Il peso del cyber risk nel settore finanziario: perché occorre fare sistema
Tra i rischi operativi, come detto, figurano con sempre maggiore rilevanza anche quelli informatici. La definizione di rischio operativo in ambito finanziario potrebbe apparire un po’ sfuggente, visto che, semplificando, fa riferimento a ciò che non è attribuibile al credito o al mercato. Ma da sempre la letteratura tecnica – compresi gli ordini di controllo delle autorità, caratterizzati da definizioni più rigorose – ha incluso i cyber risk e la compliance in questa categoria, con particolare enfasi sui meccanismi di controllo, sulle contromisure di sicurezza e sulle analisi per migliorare le difese aziendali in tal senso.
“La tematica, come tutti sanno, è quanto mai attuale e di non facile interpretazione, anche al di fuori del settore finanziario”, commenta Ruffini. “In qualche caso si tende a individuare rischi sotto due cappelli diversi, con l’effetto di duplicare le azioni di monitoraggio oppure di lasciar scoperto un ambito che sfugge ai controlli di rigore. Nelle banche la figura preposta all’IT risk management è individuata in maniera chiara dalle normative, ed è il Chief Risk Officer. A lui è assegnato il compito, tra gli altri, di dialogare con altre figure di responsabilità, e in particolare con le figure apicali dell’ambito informatico e i process owner, ovvero i responsabili dell’ICT e della sicurezza fisica e logica dell’ecosistema aziendale, integrando strutture, metodologie e sistemi di controllo”.
Secondo Ruffini, il panorama italiano si contraddistingue per una certa maturità da questo punto di vista, ma precisa che nessuna azienda, presa singolarmente, può dirsi al sicuro. “Ci sono in gioco guerre non dichiarate tra i team dei cyber criminali, e non esiste modo di essere completamente pronti alle conseguenze che può comportare un attacco mirato. Proprio questo impone l’urgenza e la necessità di un miglioramento continuo, attraverso la strutturazione delle linee di difesa e di controllo dell’ambiente”. Alcune problematiche, però, non possono essere risolte a livello di singola azienda: ciascuna società finanziaria opera all’interno di una filiera, e tutti gli attori coinvolti nella catena del valore sono possibili target. “Lavorando insieme, si dà vita a un ecosistema più pronto, che si protegge in maniera più efficace”, raccomanda Ruffini. “Il sistema Italia? Si sta muovendo in linea con gli altri Paesi competitor, ma secondo me c’è molto ancora da fare”.
Non è tutta AI quella che luccica: il tema della giustificabilità
Senza ombra di dubbio, l’introduzione nel settore finanziario di soluzioni basate sull’Intelligenza artificiale e sul Machine learning, come in molti altri campi, è teatro di implementazioni interessanti sul fronte della gestione dei rischi operativi, inclusi quelli informatici. “Il tema, del resto, è vicino a quello della capacità di raccogliere ed elaborare grandi quantità di dati – disponibili ovunque ma spesso non strutturati – rispetto a cui vengono meno le possibilità dell’uomo”, precisa Ruffini. “Queste tecnologie hanno trovato una via efficace per consentire agli operatori di affrontare problemi complessi, e i risultati delle sperimentazioni fin qui condotte danno la misura dei benefici che le banche potranno ricevere sul piano dei rischi operativi in generale e del cyber risk nello specifico. I sistemi più avanzati riescono a individuare pattern che correlano specifici eventi con azioni dannose o attacchi esterni: situazioni che l’uomo, in alcuni casi non potrebbe nemmeno immaginare. La capacità di trattare tanti dati contemporaneamente e di essere veloci nella risposta è l’elemento chiave che permetterà alle organizzazioni finanziarie di fare il grande il salto. Ma attenzione: è necessario imparare a ricostruire in maniera trasparente i passaggi logici che condizionano il funzionamento dell’Intelligenza artificiale, introducendo il tema della giustificabilità di ciascuna scelta. Se non riusciamo a capire perché la macchina ha agito in un certo modo, se non riusciamo a spiegare le decisioni che ci chiede di prendere, di fatto ci troveremo di fronte al momento in cui perderemo la battaglia sull’AI. La perdita di controllo sui sistemi di automazione è una frontiera che non deve essere oltrepassata, altrimenti le banche e le imprese in generale avranno un enorme problema sul piano giuridico, oltre che su quello della sicurezza”.
L’approccio di Augeos alla valutazione del rischio operativo
In questo scenario, Augeos ha sviluppato un approccio Risk Based peculiare per dare una mano alle istituzioni finanziarie a migliorare la gestione delle funzioni di controllo sui rischi operativi. “Un approccio graduale, che si tara sul livello di maturità della banca stessa e che unisce il supporto consulenziale all’adozione di strumenti che permettono di valutare e gestire rischi specifici della funzione di controllo. Come? Calando le soluzioni su prassi e competenze anche molto specifiche, come quelle in ambito cyber, che tecnicamente necessitano di metodologie diverse dai rischi operativi tradizionali”.
Al livello base dell’offerta, proposta attraverso una piattaforma verticale, si aggiunge una gamma di strumenti riconducibili a un approccio di tipo funzionale. “Con questa seconda modalità di intervento siamo in grado di mettere a fattor comune linguaggi, metodologie e dati secondo un’ottica di trasparenza totale, superando la logica dei silos e delle aree di competenza delle singole funzioni di controllo. Quest’approccio si sviluppa in senso orizzontale, con la predisposizione di molteplici sonde che possono essere utilizzate in modo condiviso”, specifica Ruffini, “e permette per esempio di avviare una valutazione dei rischi operativi derivanti dall’intrusione di hacker, osservando in maniera trasversale elementi di rischio di processo che altre funzioni di controllo potrebbero non aver valutato”.
Si tratta naturalmente di un approccio che va concordato con le diverse funzioni di controllo, proprio per evitare che le attività si sovrappongano o che qualche attore, inconsapevolmente, remi contro quello che sta facendo il resto dell’organizzazione. “Nel percorso che porta una banca alla realizzazione di un framework per la gestione dei rischi operativi – e che comprende le fasi di identification, mapping, evaluation, risk management e mitigation – il Functional approach di Augeos diventa essenziale per affrontare la parte terminale del processo, quella che richiede maggiore proattività da parte degli attori deputati alle funzioni di controllo”.
