Governance della resilienza digitale: cosa chiede davvero la BCE alle banche
La BCE ha recentemente pubblicato un interessante paper, intitolato “Disciplining digital risk: evidence from cyber stress tests”.
Governance non è un concetto: è una struttura decisionale verificabile
Il framework CyRST (Cyber Resilience Stress Test) della BCE ridefinisce la governance in termini operativi: chi decide, chi controlla, chi risponde delle scelte in materia di rischio cyber.
I cinque pilastri della governance digitale secondo la BCE
1. Il Consiglio di Amministrazione come presidio attivo
Il documento BCE misura la frequenza con cui il C.d.A. riceve e rivede i KPI relativi all’ICT. Dopo l'avvio del CyRST, questa frequenza è aumentata del +6%. Ancora poco, ma il dato non è neutro: segnala che la governance non può essere delegata interamente al management tecnico. Un C.d.A. che non riceve informazioni strutturate sul rischio cyber non esercita una funzione di governo, opera al buio. Supportare le istituzioni nella costruzione di dashboard e flussi informativi verso il board è uno dei compiti più importanti per la Direzione della banca in questo contesto.
2. Le tre linee di difesa: equilibrio organizzativo come indicatore di qualità
Il paper monitora separatamente tre livelli organizzativi:
Prima linea: il personale operativo ICT che fronteggia quotidianamente i rischi
Seconda linea: le funzioni di risk management e controllo interno, indipendenti dalla prima;
Terza linea: l'audit interno, che verifica l'efficacia delle prime due
Le banche con i risultati peggiori (“laggard”) mostravano squilibri significativi tra questi livelli: presidio eccessivo in prima linea, funzioni di controllo sotto dotate di risorse e competenze. Il disegno e il rafforzamento delle linee di difesa è un'area di intervento strutturale. Non si tratta di aggiungere risorse, ma di garantire indipendenza, adeguatezza e fluidità dei flussi informativi tra i tre livelli.
3. L'outsourcing ICT come problema di governance, non solo di contratto
Uno degli indicatori più rilevanti del paper è la capacità della banca di mantenere controllo reale sui servizi ICT esternalizzati.
Governare l'outsourcing significa:
- sapere con precisione quali servizi critici dipendono da fornitori esterni;
- disporre di contratti che garantiscano visibilità, diritti di audit e continuità operativa;
- ridurre la concentrazione del rischio su un numero limitato di provider strategici.
Un dato contenuto nel paper è particolarmente eloquente: dopo il CyRST, i pagamenti a provider ICT esterni sono calati del -50%, mentre quelli verso entità intra-gruppo sono aumentati del 24%.
Le banche hanno recuperato governance internalizzando il controllo su funzioni critiche che avevano esternalizzato senza presidi adeguati.
Investire nella revisione dei contratti di outsourcing ICT — con attenzione a clausole di audit, exit strategy e concentrazione — è diventata un'attività di governance di primo piano, non più relegata all'area legale o procurement.
4. I sistemi legacy: da problema tecnico a indicatore di prioritizzazione strategica
Il framework CyRST non tratta i sistemi End-of-Life (EOL) come un problema esclusivamente tecnico. Li considera un segnale di governance: una banca con un elevato numero di sistemi obsoleti e privi di piano di sostituzione non ha solo un problema IT — ha un problema di prioritizzazione strategica e di responsabilità decisionale.
La BCE misura l’Eol Gap Ratio, ossia la quota di sistemi end-of-life privi di roadmap di dismissione, come proxy della qualità delle scelte di governo dell'infrastruttura. Investire nella costruzione di piani pluriennali di razionalizzazione tecnologica — con chiara attribuzione di responsabilità e metriche di avanzamento — è un servizio che risponde a un'esigenza regolamentare precisa.
5. Il "risk control level distance": quanto la banca si conosce davvero
Tra le variabili monitorate dal supervisore, due sono particolarmente significative:
- la distanza tra il livello di controllo del rischio ICT autovalutato dalla banca e quello atteso dal supervisore (Bank-Regulator Gap);
- la distanza tra il profilo di rischio residuo della banca e il benchmark regolamentare.
Queste metriche misurano un dato profondo: quanto la banca si conosce realmente. Un'istituzione che sistematicamente sovrastima la propria resilienza cyber ha un problema di governance dell'informazione interna prima ancora che di investimento tecnologico.
Il processo di autovalutazione strutturata, se ben costruito, non è adempimento burocratico: è un meccanismo di apprendimento organizzativo. Investire nel calibrare la propria percezione del rischio rispetto ai benchmark regolamentari è un contributo con ricadute dirette sulla qualità delle decisioni strategiche.
Il punto che cambia la prospettiva
La BCE non valuta solo quanto una banca spende in cybersecurity: valuta come è organizzata per prendere decisioni su quel rischio. Questa è la svolta concettuale del CyRST: sposta il centro di gravità dalla dotazione tecnologica alla qualità dei processi decisionali. E apre cantieri di lavoro che richiedono competenze organizzative, regolatorie e strategiche.
Hai domande sul framework CyRST o sulle sue implicazioni per la tua realtà? Lo Studio Balestreri è a disposizione per un confronto dedicato: che si tratti di mappare la propria posizione rispetto ai benchmark CyRST, di rafforzare le strutture di governance interna o di rivedere i presidi sull'outsourcing ICT, il nostro approccio parte sempre dall'analisi concreta della situazione, non da modelli preconfezionati.