Sommario:

1. La rilevanza “strategica” del rischio cibernetico nel settore finanziario - 2. L’originalità del Regolamento DORA nel quadro regolatorio UE in materia di cybersecurity - 3. La responsabilità “finale” dell’organo di gestione in materia di sicurezza informatica - 3.1. Gli assetti adeguati alla resilienza operativa digitale - 3.2. I flussi “informativi” sui rischi cibernetici - 3.3. Nuove competenze degli amministratori e cultura del rischio digitale - 4. Oltre il settore finanziario: la cybersecurity come materia di corporate governance? - NOTE

La materia della governance della sicurezza cibernetica [1] ha acquisito, negli ultimi anni, un’inedita rilevanza per effetto dei processi di digitalizzazione che hanno interessato l’organizzazione societaria, sotto la spinta delle opportunità dischiuse da nuove tecnologie come l’intelligenza artificiale e la blockchain [2]. Oltre alla vulnerabilità intrinseca del nuovo armamentario digitale d’impresa– in punto di integrità e di conservazione dei dati archiviati–, la mutata situazione geopolitica ha aggiunto nuove matrici di esposizione delle imprese europee ad attacchi cibernetici [3]. Come riconosciuto dall’OECD, il rapporto di dipendenza che si è andato a creare tra fattore tecnologico e conduzione dell’attività d’impresa fa sì che il tema della cibersicurezza trascenda l’ambito puramente tecnico per incidere sulla continuità operativa ed aziendale; nonché sulla tutela sociale, in caso di servizi o prodotti connessi al soddisfacimento di interessi rilevanti della persona [4]. In questa prospettiva, la sicurezza delle infrastrutture digitali, lungi da avere rilevanza meramente ancillare, diviene aspetto centrale, di rilevanza strategica per la sostenibilità lato sensu dei mercati contemporanei [5]. In via direttamente proporzionale al grado di interessamento del fenomeno di digitalizzazione, il settore finanziario è [continua ..]

» Per l'intero contenuto effettuare il login inizio

Nel quadro così delineato, il regolatore europeo ha inteso fare della materia della cibersicurezza autonomo oggetto di regolazione settoriale. I rischi informatici sono infatti presi in considerazione nella Strategia per la finanza digitale [32], con cui la Commissione, recependo le indicazioni del ROFIEG [33], ha annunciato la necessità di appositi interventi regolatori volti a garantire parità di condizioni ai diversi operatori del settore finanziario nell’utilizzo delle nuove tecnologie. Gli obiettivi programmatici contenuti nella Strategia sono stati declinati, operativamente, lungo tre principali direttrici di riforma, relative alla predisposizione di una disciplina sulle cripto-attività contenuto nella proposta di regolamento c.d. MiCA [34]; alla definizione di un quadro normativo sulle infrastrutture di mercato basate sulla tecnologia di registro distribuito cristallizzato nel c.d. Regime Pilota [35]; ed infine all’elaborazione di più chiare regole in materia di resilienza operativa digitale nel sistema finanziario. A quest’ultimo riguardo, il Regolamento noto come Digital Operational Resilience Act (DORA) tratta la materia della sicurezza informatica da una prospettiva orizzontale: lo stesso predispone norme destinate esclusivamente alle imprese finanziarie, indipendentemente dall’attività svolta nello specifico e dal tipo di tecnologia impiegata [36]. La necessità di [continua ..]

» Per l'intero contenuto effettuare il login inizio

Con l’obiettivo del raggiungimento della piena integrazione dei rischi informatici nelle strategie societarie, il Regolamento DORA pone requisiti uniformi di governance dei rischi IT, dando concrete risposte normative alle indicazioni delle autorità europee di vigilanza [55], che avevano sottolineato la necessità di un superamento del quadro frammentario in materia di rischi connessi alle tecnologie dell’infor­mazione e della comunicazione (TIC) nel settore finanziario. L’approccio onnicomprensivo alla governance delle tecnologie proposto dal DORA è direttamente discendente dal sopra richiamato principio della responsabilità degli amministratori per la gestione del rischio cyber; un principio che si pone a garanzia della resilienza di tutte le funzioni tecnologiche integrate nel tessuto societario. È così superato il tradizionale metodo per “silos regolatori” [56], che ha sin qui orientato anche la regolazione settoriale delle tecnologie finanziarie, oggetto di previsioni speciali limitate a specifiche fattispecie tecnologiche. È il caso, ad esempio, delle disposizioni in materia di resilienza dei sistemi di high frequency trading di cui alla Mifid II, ove l’art. 17 ha richiesto alle imprese di investimento che effettuano negoziazione algoritmica di porre “in essere controlli dei sistemi e del rischio efficaci e idonei per l’attività esercitata volti a [continua ..]

» Per l'intero contenuto effettuare il login inizio

Poste queste premesse generali, il Regolamento DORA assegna all’organo amministrativo specifici doveri di conformazione dell’organizzazione societaria alla gestione dei rischi informatici. La nuova disciplina richiede innanzitutto alle entità finanziarie di predisporre un “quadro di gestione e di controllo interno che garantisce una gestione efficace e prudente di tutti i rischi informatici (…) al fine di acquisire un elevato livello di resilienza operativa digitale” [77]. L’individuazione e la gestione dei rischi relativi alle TIC è rimesso alle strategie delle imprese finanziarie e quindi, in prima battuta, all’organo di gestione [78]: il consiglio di amministrazione ha infatti l’obbligo di “mantenere un ruolo attivo e cruciale nel dirigere il quadro di gestione dei rischi relativi alle TIC e dovrà garantire il rispetto di una scrupolosa igiene informatica” [79]. Ciò avviene innanzitutto, attraverso l’istituzione da parte dell’organo di gestione di appositi assetti organizzativi, che presuppongano una chiara distinzione di “ruoli e responsabilità per tutte le funzioni connesse alle TIC” [80], e di “adeguati meccanismi di governance al fine di garantire una comunicazione, una cooperazione e un coordinamento efficaci e tempestivi tra tali funzioni” [81]. L’organizzazione definita in materia di sicurezza [continua ..]

» Per l'intero contenuto effettuare il login inizio

Come parte degli assetti organizzativi sopra tracciati, il Regolamento DORA richiede all’organo amministrativo di istituire appositi canali di comunicazione con i ruoli competenti per l’IT [96]. L’informativa sui rischi cibernetici, anche quelli connessi alle terze parti, è integrata dall’obbligo di segnalazione da parte del personale di grado più elevato addetto all’IT all’organo di gestione in merito alle risultanze dei test sulla resilienza operativa digitale [97]. Inoltre, lo stesso consiglio di amministrazione deve essere informato, insieme agli alti dirigenti interessati degli incidenti gravi connessi alle tecnologie, nonché dell’impatto di questi, della risposta e dei controlli supplementari da inserire [98]. Per le società quotate, in virtù delle disposizioni del Codice di Corporate Governance, le procedure di gestione dell’informativa sui rischi di sicurezza informatica dovrebbero rientrare nella più ampia “procedura per la gestione interna e la comunicazione all’esterno di documenti e informazioni riguardanti la società (…)” [99] ed essere oggetto del regolamento che definisce, tra l’altro, procedure “per la gestione del­l’informativa agli amministratori” [100]. Gli assetti informativi così configurati mirano a garantire che gli amministratori siano adeguatamente informati in materia [continua ..]

» Per l'intero contenuto effettuare il login inizio

Come rilevato in dottrina, per monitorare i rischi informatici e supervisionare l’esecuzione come la revisione degli accordi con i fornitori terzi, è opportuno che i membri dell’organo di gestione possiedano adeguate competenze in materia di digitalizzazione [115]. Una necessità che acquista nel DORA autonoma rilevanza normativa: il Regolamento richiede infatti agli amministratori delle istituzioni finanziarie di mantenere “attivamente aggiornate conoscenze e competenze adeguate per comprendere e valutare i rischi informatici e il loro impatto sulle operazioni dell’entità finanziaria, anche seguendo una formazione specifica su base regolare, commisurata ai rischi informatici gestiti” [116]. A tal fine, lo stesso organo di gestione è tenuto a stanziare e riesaminare periodicamente le risorse finanziarie per soddisfare le esigenze di resilienza operativa digitale dell’entità finanziaria, “compresi i pertinenti programmi di sensibilizzazione sulla sicurezza delle TIC e le attività di formazione sulla resilienza operativa digitale (…) nonché le competenze in materia di TIC per tutto il personale” [117]. Come è stato suggerito a livello di policy [118], questi programmi di formazione dovrebbero stimolare le conoscenze del consiglio di amministrazione e delle risorse pertinenti soprattutto in materia di c.d. financial data science. In linea con quanto [continua ..]

» Per l'intero contenuto effettuare il login inizio

Con il Regolamento DORA, il legislatore europeo inscrive i rischi di sicurezza cibernetica nel raggio di governance societaria delle imprese finanziarie, scandendone le relative procedure e responsabilità. Nel rispetto delle modalità dettate dalla legge, l’adattività delle strategie di governance offre il vantaggio di assicurare un controllo iterativo delle tecnologie adottate, in considerazione dei diversi attori coinvolti nella progettazione e nell’utilizzo degli strumenti tecnologici da cui originano i rischi informatici d’impresa. Concepita in termini di governance, la nozione di resilienza operativa digitale proposta dal DORA può essere interpretata come l’approdo normativo di un necessario cambio di paradigma, dalla compliance a una diversa logica di gestione funzionale dei rischi di sicurezza informatica. In definitiva, l’attrazione della gestione del rischio ICT nella sfera delle strategie gestorie delle entità finanziarie ai sensi del DORA suggerisce nuovi scenari di interazione tra corporate governance e regolazione digitale: da un lato, i requisiti posti a livello regolatorio in materia di cibersicurezza costituiscono dei limiti esterni alla discrezionalità del consiglio di amministrazione [126] nel disegnare le strategie di resilienza operativa digitale; dall’altro lato, viceversa, l’introduzione di specifici doveri e responsabilità degli amministratori in merito [continua ..]

» Per l'intero contenuto effettuare il login inizio

[1] V. in particolare la letteratura d’oltreoceano, Larcker-Tayan, Governance Gone Wild: Epic Misbehaviour at Uber Technologies, in Stanford Closer Look Series– Corporate Governance Research Initiative, dicembre 2017, disponibile online all’indirizzo https://www.gsb.stanford.edu/faculty-research/publications/governance-gone-wild-epic-misbehavior-uber-technologies; Trautman-Ormerod, Cor­porate Directors’ and Officers’ Cybersecurity Standard of Care: the Yahoo Data Breach, in American University Law Review, 66, 2017, p. 1321 ss.; Trautman et al., Governance of the Internet of Things (IoT), in Jurimetrics, 60, 2020, p. 315 ss. E già Trautman-Altenbaumer-Price, The Board’s Responsibility for Information Technology Governance, in John Marshall Journal of Computer & Information Law, 29, 2011, p. 313 ss.  [2] Abriani-Schneider, Diritto delle imprese e intelligenza artificiale – Dalla Fintech alla Corptech, Bologna, 2021. V. Bianchini-Gasparri-Resta-Trovatore-Zoppini, Gli sviluppi tecnologici del diritto societario, in Quaderno giuridico Consob, 23/2022, disponibile online all’indirizzo https://www.consob.it/web/area-pubblica/abs-qg/-/asset_publisher/pWAo8NyvjOZ1/content/1413319/11973 e Magnuss Magnusson-Blume, Digitalisation and Corporate Governance, OECD Corporate Governance Working Papers n. 26, 2022, disponibile online all’indirizzo [continua ..]

» Per l'intero contenuto effettuare il login inizio