Sicurezza e governance nel cloud banking: la guida della BCE sull’outsourcing dei servizi cloud
Come noto, l’esternalizzazione dei servizi cloud a fornitori terzi comporta rischi significativi legati alla sicurezza dei dati, alla continuità nelle operazioni e alla conformità normativa. Ben consapevole di questi rischi, il legislatore europeo ha emanato diversi provvedimenti che affrontano i problemi connessi alla fornitura di servizi cloud e ICT (incluso l’outsourcing). Si pensi, in particolare, al Regolamento DORA ma anche alla Direttiva NIS 2 e ai diversi regolamenti in tema di cybersecurity.
A questi si aggiungono ora anche le linee guida recentemente emanate dalla Banca Centrale Europea (BCE). Il documento, nell’analisi dei rischi del cloud banking, riprende le diverse disposizioni normative applicabili, integrandole con osservazioni e interpretazioni proprie della BCE. Occorre quindi esaminare il contenuto delle linee guida e verificarne il rapporto con la normativa attualmente in vigore.
Responsabilità e gestione dei rischi
Innanzitutto, le linee guida partono dalla considerazione che il mercato dei servizi cloud è altamente concentrato su pochi fornitori, rendendo più elevati i rischi legati alla cybersicurezza. Non sorprende, dunque, che uno degli aspetti cruciali che vengono affrontati è la governance efficace dei servizi cloud. Le istituzioni bancarie sono tenute a stabilire robusti programmi di governance che comprendano la selezione dei fornitori, il monitoraggio delle prestazioni e la gestione dei rischi. Questo, come già prescritto dall’articolo 28 del Regolamento DORA, include un’analisi preventiva e dettagliata dei rischi dell’esternalizzazione dei servizi critici. La BCE precisa che tale analisi dovrebbe considerare vari aspetti, come il vendor lock-in, i rischi di sicurezza dei dati legati all’eventuale perdita, alterazione, distruzione o divulgazione senza autorizzazione e le implicazioni geopolitiche (ad esempio, nel caso in cui un data center sia collocato in un paese che non gode di stabilità politica).
È poi importante che i contratti tra le istituzioni finanziarie e i Cloud Service Provider (CSPs) definiscano in maniera chiara le responsabilità delle parti, inclusa la gestione delle crisi e la risoluzione dei conflitti, assicurando che le istituzioni finanziarie mantengano la piena responsabilità operativa nonostante l’esternalizzazione dei servizi critici.
Sicurezza dei dati e integrità dei servizi
La protezione dei dati è una priorità nelle linee guida della BCE. Come noto, le istituzioni finanziarie sono tenute a implementare misure di sicurezza avanzate, quali ad esempio la crittografia dei dati durante la trasmissione e lo stoccaggio. Sul punto, la BCE precisa che un aspetto essenziale che le istituzioni finanziarie dovrebbero considerare è la gestione delle chiavi crittografiche per garantire la sicurezza dei dati in modo continuativo. In questo senso, è opportuno che si individuino politiche e procedure dettagliate per la disciplina dell’intero ciclo di vita dei dati crittografati, dettagli degli algoritmi di crittografia, lunghezze delle chiavi crittografiche, flussi di dati e logica di elaborazione.
Oltre alla crittografia, le istituzioni dovrebbero considerare l’adozione di tecnologie di multi-cloud e micro-segmentazione, nonché misure di prevenzione della perdita di dati, per addivenire a un’ulteriore mitigazione dei rischi. Le linee guida raccomandano inoltre di valutare attentamente la localizzazione dei dati, prendendo in considerazione i possibili rischi legali e geopolitici associati. Pur trattandosi di attività già richieste, per esempio, da DORA, la BCE fornisce alcuni suggerimenti pratici per un corretto adeguamento agli obblighi della normativa. Per esempio, le linee guida menzionano l’opportunità di creare un elenco dettagliato delle attività ICT, comprese quelle esternalizzate ai CSPs. Ancora, la BCE consiglia agli enti di redigere una lista di paesi che possano garantire un trattamento dei dati accettabile, tenendo conto dei rischi di controversie e delle eventuali sanzioni che ne possano derivare. Da ultimo, si suggerisce di valutare i rischi aggiuntivi qualora un subappaltatore sia situato in un paese diverso rispetto al CSP.
Ancora, le istituzioni finanziarie sono invitate a implementare solide politiche di gestione dell’identità e degli accessi (IAM). A tal fine, si raccomanda l’adozione di tecniche di autenticazione multifattore e il monitoraggio costante dei privilegi di accesso per prevenire potenziali vulnerabilità. Le istituzioni inoltre devono effettuare una supervisione indipendente e audit interni sui servizi cloud per assicurare il rispetto dei requisiti normativi e la conformità alle migliori pratiche di settore.
Continuità operativa e pianificazione di emergenza
La BCE condivide l’importanza di sviluppare piani di continuità operativa efficaci per affrontare gravi interruzioni dei servizi cloud. A questo proposito, le linee guida suggeriscono di includere procedure quanto più dettagliate per il backup dei dati e il ripristino dei servizi, assicurando che le istituzioni siano in grado di mantenere le loro operazioni attive nel caso in cui si verifichino eventi avversi quali attacchi informatici o incidenti relativi ai servizi dei CSPs. Dal punto di vista pratico, viene sottolineata l’importanza di non archiviare i backup nel cloud ospitante i servizi e di testare regolarmente i piani al fine di garantirne l’efficacia e l’adeguatezza anche in condizioni di stress.
Secondo la direttiva NIS 2 e DORA, le istituzioni hanno l’obbligo di implementare misure proporzionate di resilienza per le funzioni critiche, adottando strategie quali l’uso di architetture cloud ibride e relative alla distribuzione geografica dei data center. La BCE sottolinea l’importanza di questo approccio, in quanto non soltanto è in grado di migliorare la sicurezza e la disponibilità dei servizi, ma anche di ridurre il rischio di dipendenza da un singolo fornitore o una singola posizione geografica.
Nelle linee guida si evidenzia altresì la necessità di testare i piani di disaster recovery del proprio CSP e di non affidarsi esclusivamente alle certificazioni fornite dallo stesso: è opportuno che il personale dell’istituzione e del CSP sia coinvolto nelle procedure di ripristino in caso di calamità, che si abbiano ruoli designati in modo trasparente e che siano documentate e analizzate le carenze riscontrate durante la fase di testing per individuare prontamente le misure correttive più adeguate.
Strategia di uscita e gestione dei contratti
Altro aspetto su cui la BCE insiste è la strategia di uscita per mitigare i rischi associati all’esternalizzazione. Secondo DORA, le istituzioni finanziarie devono sviluppare piani di uscita dettagliati per ogni contratto di outsourcing critico. Le linee guida chiariscono che tali piani dovrebbero includere procedure di uscita chiare, identificare i ruoli e le responsabilità dei soggetti coinvolti e prevedere una stima dei costi per la transizione dei servizi a un nuovo provider o per l’internalizzazione delle funzioni in caso di risoluzione del rapporto contrattuale o fallimento dei CSPs.
Le istituzioni sono altresì incoraggiate a negoziare clausole contrattuali che stabiliscano condizioni per la risoluzione del contratto, ricomprendendo i casi di prestazioni inadeguate, continue violazioni gravi dei termini contrattuali o cambiamenti nella struttura operativa del CSP. Queste clausole dovrebbero essere regolarmente monitorate e aggiornate in modo tale da riflettere le migliori pratiche emergenti nel settore del cloud computing. La BCE raccomanda alle istituzioni finanziarie di utilizzare clausole contrattuali standard qualora decidano di esternalizzare i loro servizi: ad esempio, i contratti dovrebbero includere previsioni su come calcolare il costo dell’esecuzione degli audit in loco.
Chiarimenti per il settore bancario
Come affermano gli estensori, le linee guida “non stabiliscono requisiti giuridicamente vincolanti”. Difatti, la BCE non ha inteso aggiungere oneri ulteriori per gli operatori del settore bancario già intenti a confrontarsi con linee guida EBA in tema di outsourcing, DORA, NIS 2 e altri strumenti legislativi.
Piuttosto, le linee guida mirano a fornire utili chiarimenti alle normative citate, portando il punto di vista dell’autorità in un settore che rischia di subire gli effetti di una legislazione non sempre chiara. In questo senso, devono essere lette le esemplificazioni di stampo pratico contenute nelle linee guida, che certamente aiuteranno i soggetti coinvolti ad adottare tutte le misure, anche contrattuali, richieste dalla normativa.
In sintesi, le linee guida possono quindi rappresentare uno strumento chiave per applicare in modo uniforme i requisiti delle nuove normative europee, ciò anche considerando che alcune disposizioni cruciali – come ad esempio quelle contenute nei regulatory technical standard previsti per DORA – saranno chiarite solo nei prossimi mesi, quando ormai il processo di adeguamento da parte di istituzioni finanziarie e fornitori dovrà essere già ben avviato.