Rivista Corporate Governance ISSN 2724-1068 / EISSN 2784-8647
G. Giappichelli Editore

indietro

stampa articolo indice fascicolo leggi articolo leggi fascicolo


La resilienza operativa digitale come materia di corporate governance: prime riflessioni a partire dal DORA (di Giulia Schneider, Ricercatrice di Diritto dell’economia presso l’Università Cattolica del Sacro Cuore, Milano)


Con l’approvazione del Regolamento DORA il legislatore europeo ha istituito specifiche disposizioni in materia di governance dei rischi cibernetici da parte dell’organo di gestione delle società finanziarie. Questa opzione regolatoria offre l’occasione di muovere alcune considerazioni sui riflessi che la riconduzione della materia della sicurezza informatica entro la governance societaria è destinata ad avere su alcuni tasselli fondamentali della governance stessa, quali il dovere di istituzione di assetti adeguati, il dovere di agire informato nonché le competenze dell’organo amministrativo.

Trascendendo il perimetro della regolazione generale in materia di cybersecurity e con l’intento di intervenire sui delicati equilibri di autonomia privata in materia di fornitura di servizi digitali finanziari, il regolamento DORA propone un nuovo paradigma di gestione onnicomprensiva dei rischi informatici, che prescinde dall’attività d’impresa esercitata e dalle forme tecnologiche adottate. L’approccio proposto ha come obiettivo ultimo quello della gestione integrata dei rischi cibernetici con le altre voci di rischio rilevanti nel settore finanziario. Concepita in termini di governance, la nozione di resilienza operativa digitale proposta dal DORA è interpretata dall’Autore come l’approdo normativo di un necessario cambio di paradigma, meritevole di essere esteso al diritto generale delle società quotate.

Parole chiave: cybersecurity corporate governance – assetti adeguati – doveri degli amministratori– DORA– cultura digitale.

Digital Operational Resilience as a Matter of Corporate Governance: First Reflections under DORA

With the approval of the DORA Regulation the European legislator has established specific provisions on the governance of cyber risks by the management body of financial companies. This regulatory option offers the opportunity to make some considerations on the reflections that the governance of digital security risks is bound to have on certain fundamental elements of corporate governance itself, such as the duty to set up appropriate corporate structures, the duty to act in an informed manner, and the competences of the management body.

By transcending the perimeter of general cybersecurity regulation and with the intention of intervening on the delicate balances of private autonomy in the provision of financial digital services, the DORA regulation proposes a new paradigm of all-encompassing management of cyber risks, which is not dependent on the business activity exercised or on the type of employed technologies. The proposed approach ultimately aims at the integrated management of cyber risks with the other relevant risk items in the financial sector. Conceived in terms of governance, the notion of digital operational resilience proposed by DORA is interpreted by the Author as the normative landing place of a necessary paradigm shift, worthy of being extended to general corporate governance law.

Keywords: cybersecurity corporate governance adequate corporate structures – directors’duties – DORA – digital culture.

SOMMARIO:

1. La rilevanza “strategica” del rischio cibernetico nel settore finanziario - 2. L’originalità del Regolamento DORA nel quadro regolatorio UE in materia di cybersecurity - 3. La responsabilità “finale” dell’organo di gestione in materia di sicurezza informatica - 3.1. Gli assetti adeguati alla resilienza operativa digitale - 3.2. I flussi “informativi” sui rischi cibernetici - 3.3. Nuove competenze degli amministratori e cultura del rischio digitale - 4. Oltre il settore finanziario: la cybersecurity come materia di corporate governance? - NOTE


1. La rilevanza “strategica” del rischio cibernetico nel settore finanziario

La materia della governance della sicurezza cibernetica [1] ha acquisito, negli ultimi anni, un’inedita rilevanza per effetto dei processi di digitalizzazione che hanno interessato l’organizzazione societaria, sotto la spinta delle opportunità dischiuse da nuove tecnologie come l’intelligenza artificiale e la blockchain [2]. Oltre alla vulnerabilità intrinseca del nuovo armamentario digitale d’impresa– in punto di integrità e di conservazione dei dati archiviati–, la mutata situazione geopolitica ha aggiunto nuove matrici di esposizione delle imprese europee ad attacchi cibernetici [3]. Come riconosciuto dall’OECD, il rapporto di dipendenza che si è andato a creare tra fattore tecnologico e conduzione dell’attività d’impresa fa sì che il tema della cibersicurezza trascenda l’ambito puramente tecnico per incidere sulla continuità operativa ed aziendale; nonché sulla tutela sociale, in caso di servizi o prodotti connessi al soddisfacimento di interessi rilevanti della persona [4]. In questa prospettiva, la sicurezza delle infrastrutture digitali, lungi da avere rilevanza meramente ancillare, diviene aspetto centrale, di rilevanza strategica per la sostenibilità lato sensu dei mercati contemporanei [5]. In via direttamente proporzionale al grado di interessamento del fenomeno di digitalizzazione, il settore finanziario è tra i settori più colpiti da attacchi informatici, insieme al settore IT e sanitario [6]. Il fatto che le attività finanziarie siano veicolate in misura sempre maggiore attraverso applicazioni fintech [7] e di decentralised finance [8] solleva nuovi interrogativi in relazione al rafforzamento della c.d. cyber resilience delle istituzioni finanziarie, ossia della capacità delle stesse di tutelare dati e sistemi digitali contro attacchi cibernetici e di riattivare tempestivamente le attività d’impresa in caso di un attacco ben riuscito [9]. Si tratta di una priorità di non facile realizzazione alla luce di alcuni tratti caratteristici del settore relativi, in particolare, i) all’alto grado di concentrazione del mercato finanziario stesso; e ii) all’aumentato ricorso a servizi digitali in regime esternalizzato con il coinvolgimento di soggetti non regolati. Per quanto concerne il primo profilo, basti ricordare che i [continua ..]


2. L’originalità del Regolamento DORA nel quadro regolatorio UE in materia di cybersecurity

Nel quadro così delineato, il regolatore europeo ha inteso fare della materia della cibersicurezza autonomo oggetto di regolazione settoriale. I rischi informatici sono infatti presi in considerazione nella Strategia per la finanza digitale [32], con cui la Commissione, recependo le indicazioni del ROFIEG [33], ha annunciato la necessità di appositi interventi regolatori volti a garantire parità di condizioni ai diversi operatori del settore finanziario nell’utilizzo delle nuove tecnologie. Gli obiettivi programmatici contenuti nella Strategia sono stati declinati, operativamente, lungo tre principali direttrici di riforma, relative alla predisposizione di una disciplina sulle cripto-attività contenuto nella proposta di regolamento c.d. MiCA [34]; alla definizione di un quadro normativo sulle infrastrutture di mercato basate sulla tecnologia di registro distribuito cristallizzato nel c.d. Regime Pilota [35]; ed infine all’elaborazione di più chiare regole in materia di resilienza operativa digitale nel sistema finanziario. A quest’ultimo riguardo, il Regolamento noto come Digital Operational Resilience Act (DORA) tratta la materia della sicurezza informatica da una prospettiva orizzontale: lo stesso predispone norme destinate esclusivamente alle imprese finanziarie, indipendentemente dall’attività svolta nello specifico e dal tipo di tecnologia impiegata [36]. La necessità di un intervento in questo senso origina dal riconoscimento del­l’insufficienza del quadro normativo generale ad oggi predisposto a livello dell’U­nione in tema di sicurezza cibernetica [37]. Non a caso, la prima direttiva NIS è stata riformata nel dicembre 2022 [38], al fine di ampliare l’ambito di applicazione delle norme in materia di sicurezza informatica nonché il novero dei soggetti responsabili lungo la filiera informatica. Dal canto suo, il c.d. Cybersecurity Act [39] istitutivo di un quadro di certificazione europea in materia di sicurezza informatica ha solo fornito norme quadro relative a un sistema europeo di certificazione della cibersicurezza [40] che l’ENISA sta progressivamente sviluppando attraverso il coinvolgimento degli stakeholders rilevanti [41]. Le discipline citate hanno come obiettivo la standardizzazione dei processi tecnici, organizzativi e di reporting volti a mitigare l’impatto di [continua ..]


3. La responsabilità “finale” dell’organo di gestione in materia di sicurezza informatica

Con l’obiettivo del raggiungimento della piena integrazione dei rischi informatici nelle strategie societarie, il Regolamento DORA pone requisiti uniformi di governance dei rischi IT, dando concrete risposte normative alle indicazioni delle autorità europee di vigilanza [55], che avevano sottolineato la necessità di un superamento del quadro frammentario in materia di rischi connessi alle tecnologie dell’infor­mazione e della comunicazione (TIC) nel settore finanziario. L’approccio onnicomprensivo alla governance delle tecnologie proposto dal DORA è direttamente discendente dal sopra richiamato principio della responsabilità degli amministratori per la gestione del rischio cyber; un principio che si pone a garanzia della resilienza di tutte le funzioni tecnologiche integrate nel tessuto societario. È così superato il tradizionale metodo per “silos regolatori” [56], che ha sin qui orientato anche la regolazione settoriale delle tecnologie finanziarie, oggetto di previsioni speciali limitate a specifiche fattispecie tecnologiche. È il caso, ad esempio, delle disposizioni in materia di resilienza dei sistemi di high frequency trading di cui alla Mifid II, ove l’art. 17 ha richiesto alle imprese di investimento che effettuano negoziazione algoritmica di porre “in essere controlli dei sistemi e del rischio efficaci e idonei per l’attività esercitata volti a garantire che i propri sistemi di negoziazione siano resilienti e dispongano di sufficiente capacità”; di disporre “meccanismi efficaci di continuità operativa per rimediare a malfunzionamenti dei sistemi di negoziazione” e di provvedere “affinché i loro sistemi siano verificati a fondo e soggetti a un monitoraggio adeguato per garantirne la conformità” ai requisiti posti [57]. Anche la proposta MICAR sancisce simili obblighi di gestione dei rischi tecnologici in capo ai fornitori di servizi di cripto-attività che sono tenuti al rispetto dei requisiti normativi in materia di IT per mitigare i rischi di sicurezza, e alla messa a punto di adeguati sistemi di controllo interno e monitoraggio dei rischi [58]. Ancora, in materia di sistemi automatizzati per la valutazione del credito al consumo, la proposta di direttiva relativa ai crediti al consumo richiede ai fornitori di servizi di credito, in caso di trattamento [continua ..]


3.1. Gli assetti adeguati alla resilienza operativa digitale

Poste queste premesse generali, il Regolamento DORA assegna all’organo amministrativo specifici doveri di conformazione dell’organizzazione societaria alla gestione dei rischi informatici. La nuova disciplina richiede innanzitutto alle entità finanziarie di predisporre un “quadro di gestione e di controllo interno che garantisce una gestione efficace e prudente di tutti i rischi informatici (…) al fine di acquisire un elevato livello di resilienza operativa digitale” [77]. L’individuazione e la gestione dei rischi relativi alle TIC è rimesso alle strategie delle imprese finanziarie e quindi, in prima battuta, all’organo di gestione [78]: il consiglio di amministrazione ha infatti l’obbligo di “mantenere un ruolo attivo e cruciale nel dirigere il quadro di gestione dei rischi relativi alle TIC e dovrà garantire il rispetto di una scrupolosa igiene informatica” [79]. Ciò avviene innanzitutto, attraverso l’istituzione da parte dell’organo di gestione di appositi assetti organizzativi, che presuppongano una chiara distinzione di “ruoli e responsabilità per tutte le funzioni connesse alle TIC” [80], e di “adeguati meccanismi di governance al fine di garantire una comunicazione, una cooperazione e un coordinamento efficaci e tempestivi tra tali funzioni” [81]. L’organizzazione definita in materia di sicurezza informatica dall’organo di gestione deve essere conforme al quadro per la gestione dei rischi relativi alle TIC di cui agli artt. 6-16 DORA, che ha il dichiarato obiettivo di “proteggere debitamente e adeguatamente tutti i patrimoni informativi e le risorse TIC (…), così da garantire che tutti i patrimoni informativi e le risorse TIC siano adeguatamente protetti contro i rischi, compresi i danneggiamenti e l’accesso o l’uso non autorizzati” [82]. Il quadro è completato dalla messa a punto di un processo di gestione degli incidenti connessi alle TIC, che deve assicurare “la segnalazione almeno degli incidenti gravi connessi alle TIC agli alti dirigenti interessati” nonché informare “l’organo di gestione almeno in merito a detti incidenti, illustrandone l’impatto e la risposta e i controlli supplementari da introdurre” [83]. Per la minimizzazione dei rischi TIC, le imprese finanziarie sono [continua ..]


3.2. I flussi “informativi” sui rischi cibernetici

Come parte degli assetti organizzativi sopra tracciati, il Regolamento DORA richiede all’organo amministrativo di istituire appositi canali di comunicazione con i ruoli competenti per l’IT [96]. L’informativa sui rischi cibernetici, anche quelli connessi alle terze parti, è integrata dall’obbligo di segnalazione da parte del personale di grado più elevato addetto all’IT all’organo di gestione in merito alle risultanze dei test sulla resilienza operativa digitale [97]. Inoltre, lo stesso consiglio di amministrazione deve essere informato, insieme agli alti dirigenti interessati degli incidenti gravi connessi alle tecnologie, nonché dell’impatto di questi, della risposta e dei controlli supplementari da inserire [98]. Per le società quotate, in virtù delle disposizioni del Codice di Corporate Governance, le procedure di gestione dell’informativa sui rischi di sicurezza informatica dovrebbero rientrare nella più ampia “procedura per la gestione interna e la comunicazione all’esterno di documenti e informazioni riguardanti la società (…)” [99] ed essere oggetto del regolamento che definisce, tra l’altro, procedure “per la gestione del­l’informativa agli amministratori” [100]. Gli assetti informativi così configurati mirano a garantire che gli amministratori siano adeguatamente informati in materia di sicurezza informatica in conformità al precetto generale di cui all’art. 2381, comma 5, c.c., che nel Regolamento DORA viene declinato come un vero e proprio dovere di vigilare sulla governance dei dati e più in generale degli strumenti tecnologici impiegati. In particolare, l’informativa sulle proprietà di resilienza operativa digitale dell’impresa dovrà fondare, a livello operativo, l’“agire” dell’organo di gestione in relazione alla elaborazione, e la revisione periodica, delle strategie d’impresa in materia di rischi cibernetici; nonché il monitoraggio dell’adeguatezza da parte del plenum degli assetti predisposti dall’organo delegato ex art. 2381, comma 2, c.c. Quest’ultimo, dal canto suo, sulla base dell’informativa ricevuta potrebbe riconsiderare, e se del caso modificare, la portata e il contenuto della delega, in conformità alla previsione di cui al terzo comma [continua ..]


3.3. Nuove competenze degli amministratori e cultura del rischio digitale

Come rilevato in dottrina, per monitorare i rischi informatici e supervisionare l’esecuzione come la revisione degli accordi con i fornitori terzi, è opportuno che i membri dell’organo di gestione possiedano adeguate competenze in materia di digitalizzazione [115]. Una necessità che acquista nel DORA autonoma rilevanza normativa: il Regolamento richiede infatti agli amministratori delle istituzioni finanziarie di mantenere “attivamente aggiornate conoscenze e competenze adeguate per comprendere e valutare i rischi informatici e il loro impatto sulle operazioni dell’entità finanziaria, anche seguendo una formazione specifica su base regolare, commisurata ai rischi informatici gestiti” [116]. A tal fine, lo stesso organo di gestione è tenuto a stanziare e riesaminare periodicamente le risorse finanziarie per soddisfare le esigenze di resilienza operativa digitale dell’entità finanziaria, “compresi i pertinenti programmi di sensibilizzazione sulla sicurezza delle TIC e le attività di formazione sulla resilienza operativa digitale (…) nonché le competenze in materia di TIC per tutto il personale” [117]. Come è stato suggerito a livello di policy [118], questi programmi di formazione dovrebbero stimolare le conoscenze del consiglio di amministrazione e delle risorse pertinenti soprattutto in materia di c.d. financial data science. In linea con quanto già sancito dalle linee guida in materia di requisiti fit and proper emanati dalle autorità finanziarie [119], il DORA riafferma la presenza di esperti di tecnologia all’interno del consiglio delle società finanziarie quale standard di buona governance delle società finanziarie [120]. Da una prospettiva di mercato, il soddisfacimento di requisiti di idoneità tecnologica dei consiglieri appare tanto più necessario quanto più complessa è la rete di rapporti contrattuali della società con terze parti fornitrici di servizi IT: in aggiunta ai sopra ricordati interventi sul fronte organizzativo, la competenza in materia IT appare infatti un’arma primaria per ridurre l’asimmetria informativa e contrattuale caratterizzante i rapporti con i fornitori. Sul piano della governance, la competenza in materia informatica consente al consiglio di conoscere e comprendere le infrastrutture informatiche [continua ..]


4. Oltre il settore finanziario: la cybersecurity come materia di corporate governance?

Con il Regolamento DORA, il legislatore europeo inscrive i rischi di sicurezza cibernetica nel raggio di governance societaria delle imprese finanziarie, scandendone le relative procedure e responsabilità. Nel rispetto delle modalità dettate dalla legge, l’adattività delle strategie di governance offre il vantaggio di assicurare un controllo iterativo delle tecnologie adottate, in considerazione dei diversi attori coinvolti nella progettazione e nell’utilizzo degli strumenti tecnologici da cui originano i rischi informatici d’impresa. Concepita in termini di governance, la nozione di resilienza operativa digitale proposta dal DORA può essere interpretata come l’approdo normativo di un necessario cambio di paradigma, dalla compliance a una diversa logica di gestione funzionale dei rischi di sicurezza informatica. In definitiva, l’attrazione della gestione del rischio ICT nella sfera delle strategie gestorie delle entità finanziarie ai sensi del DORA suggerisce nuovi scenari di interazione tra corporate governance e regolazione digitale: da un lato, i requisiti posti a livello regolatorio in materia di cibersicurezza costituiscono dei limiti esterni alla discrezionalità del consiglio di amministrazione [126] nel disegnare le strategie di resilienza operativa digitale; dall’altro lato, viceversa, l’introduzione di specifici doveri e responsabilità degli amministratori in merito alla gestione dei rischi tecnologici impone un orientamento proattivo rispetto ai processi di digitalizzazione societaria da parte dell’organo di gestione di imprese finanziarie. In questa prospettiva, le regole organizzative e amministrative poste dal DORA appaiono costituire uno strumento rilevante per modellare, a livello di governance e sotto la diretta responsabilità degli amministratori, un quadro normativo in materia tecnologica ampiamente basato su principi (principle-based) e non ancora supportato, a livello di soft law, da codici di condotta o standard tecnici di guida per gli operatori. Se il principio di proporzionalità sancito dal DORA richiede di commisurare l’azione del consiglio in materia di cibersicurezza alla natura più o meno digitalizzata delle attività d’impresa, lo stesso potrebbe suggerire all’organo di gestione di andare oltre ai requisiti minimi fissati dal legislatore sì da soddisfare al meglio gli [continua ..]


NOTE