Il Digital Operational Resilience Act, ( Legge di contrasto contro gli attacchi informatici – Dora) è un Regolamento del Parlamento Europeo relativo a norme in materia di finanza digitale (Digital Finance Package, ndr) e affronta il delicato tema della cyber-resilienza.
Il pericolo corre su Internet
Da snodo virtuale di democrazia, internet si sta lentamente estraniando da se stesso e sembra ribaltarsi nel suo contrario. Da finestra sul mondo dalla quale ognuno di noi avrebbe potuto guardare correttamente e si informarsi direttamente e senza manipolazione alcuna, oltre ad essere un “ufficio casalingo” dove risparmiando tempo e limitando il cambiamento climatico, si può acquistare, pagare un bollettino eccetera, la rete è diventata una sterminata prateria piena di trappole per raggiri di ogni genere.
In Italia ricordiamo l’assalto e blocco del sistema informatico della Regione Lazio e, recentemente, il blocco della biglietteria di Trenitalia. Venirne a capo non è sempre facile e ognuno si sta adoperando per prendere le sue contro misure per evitare di essere hacherato e ricattato.
In uno scenario dove non si guarda in faccia a nessuno e l’imperativo categorico sembra sempre quello di guadagnare senza nessun scrupolo etico, già noto a Vespasiano con il famoso “pecunia non olet” al verso “Auri sacra fames”, di Virgilio e Seneca, i fondi pensione sanno di poter essere oggetto delle mire degli hacker e si stanno attrezzando di conseguenza.
Già la IORP 2 nel 2021 aveva imposto ai fondi pensione di effettuare una prima valutazione interna del rischio. Mefop, società costituita dal ministero dell’Economia e delle Finanze (Mef) per lo sviluppo dei fondi pensione, ha subito evidenziato come il cyber-risk rappresenti uno dei pericoli operativi più importanti.
I Fondi sono già attrezzati contro i rischi finanziari ed informatici
Come ha dichiarato ad Assinews.it Lorenzo Cicero, esperto dell’area normativa e istituzionale di Mefop, oltre a precisare che già esistono delle salvaguardie dai rischi in cui può incorrere in genere un aderente, ha ricordato che “la Covip prescrive che il fondo pensione adotti un piano strategico sulle tecnologie dell’informazione e della comunicazione, o piano Ict. In particolare, in tale ambito sono riportate le scelte al riguardo operate dalla forma pensionistica complementare, le valutazioni di ordine economico e di fattibilità delle possibili soluzioni analizzate e le tempistiche previste per le implementazioni, ma che le precauzioni devono ricadere anche sulla sicurezza dei dati in possesso dei Fondi pensione medesimi.
Oggi gli organi di amministrazione e di controllo dei fondi hanno messo al centro delle loro preoccupazioni l’individuazione di sistemi atti ad impedire “disaster recovery” (ripristino di emergenza) con adeguati piani di recupero. In tal senso è essenziale il ruolo dei responsabili dei rischi nella mappatura di quelli cibernetici. Tra i sistemi individuati di riduzione del rischio ci sono innanzitutto il back-up dei dati, il rafforzamento degli strumenti di sicurezza della rete, come i firewall per proteggere la rete informatica da virus e da eventuali intrusioni da parte di hacker, monitoraggio dei servizi esternalizzati e la verifica dell’affidabilità dei piani di emergenza degli outsourcer ,( quelle società esterne che prestano servizi ai fondi pensione).
Lo scorso 2 ottobre 2020 la Commissione europea ha avviato una consultazione sulla proposta normativa di un Digital Operational Resilience Act, o Dora che fa parte del pacchetto di norme in materia di finanza digitale (Digital Finance Package, ndr) e affronta il delicato tema della cyber-resilienza nel settore finanziario, con l’obiettivo di giungere a un’armonizzazione completa delle disposizioni sulla resistenza e contrasto operativo digitale.
Nell’ambito di applicazione della Iorp, i fondi pensione di categoria, probabilmente recepiranno i piani di resilienza nel corso di questo anno, senza dimenticare che comunque la normativa nazionale sul tema è già parecchio avanzata. Tuttavia si sarà un continuo monitoraggio per valutare l’adeguatezza dei presidi informatici e, più in generale, sull’efficacia del sistema di controllo interno.