060913-torquato-siccomp di Manlio Torquato, ANESC [1]
In questi giorni, in ambito bancario, si parla molto di "Compliance [2]".
Nell’aprile del 2005 la Bank for International Settlements (BIS [3]) ha pubblicato “Compliance and the Compliance function in banks” (pdf [4], 62 K); il tema è stato “prepotentemente” rilanciato da governatore della Banca D’Italia nelle sue considerazioni del 31 maggio 2006 (pdf [5], 83 K); infine il 25 agosto 2006 la stessa Banca d’Italia ha pubblicato sul proprio sito, in bozza, il “Documento di consultazione concernente la normativa di vigilanza in materia di conformità alle norme (Compliance)” (pdf [6], 145 K), qui [7] commentata, i cui contenuti erano già stati ampiamente anticipati nel convegno [8] dell’Associazione Italiana Compliance (AICOM [9]) del 28 giugno 2006.

Cos’è la Compliance?

La Compliance è il “governo di un processo trasversale di gestione del rischio volto a far sì che le procedure interne siano coerenti con la necessità di prevenire la violazione di norme di etero e autoregolamentazione” come riportato dal dott. Claudio Clemente di Banca d’Italia al convegno AICOM di cui sopra (ppt [10], 196 K).
Quindi “il rischio di non conformità alle norme è il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme di legge, di regolamenti, ovvero di norme di autoregolamentazione o di codici di condotta” (Banca d’Italia, “Documento di consultazione concernente la normativa di vigilanza in materia di conformità alle norme”, pdf [11], 145 K).
Ma quali sono le “norme di etero e autoregolamentazione” di cui tener conto?
Una recente indagine svolta da KPMG in tema compliance (Compliance Function nel settore finanziario, Stato dell’Arte, pdf [12], 304 K) e presentato al XX Convegno Nazionale dell’ Associazione Italiana Internal Auditors (AIIA [13]) riporta il seguente elenco di norme da tenere in considerazione:

Servizi di finanza
Antiriciclaggio
Conflitti di interesse
Gestione reclami
Requisiti patrimoniali
Altre istruzioni di vigilanza Bankit
Informazioni privilegiate
Market manipulation
Capital markets
Investimenti personali dei dipendenti
Rapporti tra strutture operative non comunicanti
Privacy
Usura
Centrali rischi
Sicurezza e 626
Trasparenza
Requisiti di professionalità

Compliance e sicurezza delle informazioni

L’ambito della Compliance sopra ipotizzato richiede la massima attenzione alla gestione degli aspetti di sicurezza. Tali aspetti non si riferiscono solo agli aspetti “tecnologici” ma richiedono una valutazione dei rischi di non conformità e dunque una valutazione della sicurezza dei “processi aziendali” trasversali alle norme sopra indicate.
Ritorna così il tema della “Security Governance” che per citare le parole del dott. Raoul Savastano di KPMG “si esplicita in una maggiore integrazione fra le varie funzioni deputate a gestire il rischio di natura operativa, all’interno della banca (o di qualsiasi altra organizzazione con complessità strutturali e organizzative analoghe): sicurezza, Privacy, Business Continuity, Compliance alla Legge sul risparmio o al D. Lgs. 231/01, etc hanno tutti degli aspetti in comune che devono essere gestiti con una matrice unitaria che parta dai processi dell’azienda stessa e successivamente declini sugli aspetti specifici della problematica. Solo in questo modo si può ottenere efficienza ed una reale visione integrata della gestione e dei presidi del rischio” (KPMG: nuove sfide per la sicurezza delle informazioni [14]).

Le norme in ambito bancario – aspetti di sicurezza

Tornando al quadro delle “norme di etero e autoregolamentazione” una primissima ipotesi di attività/deliverable da “verificare” comprende:

Istruzioni di vigilanza

Banca d’Italia - Istruzioni di Vigilanza per le banche (aggiornato al 28 marzo 2006 - 11° Aggiornamento), Titolo IV, Sezione II, cap. 4. Sistemi informativi (zip [15], 166 K);

Banca d’Italia - Istruzioni di Vigilanza per gli Intermediari Finanziari iscritti nell'Elenco Speciale, Aggiornamento n. 6 del 15 ottobre 2002 (pdf [16], 76 kB)

Regolamento Banca d'Italia 29 gennaio 2002, Funzionamento dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento (CAI)– Allegato Sicurezza del Sistema Informativo (doc [17], 139 kB)

Antiriciclaggio

Antiriciclaggio - Decreto del Ministero Economia e Finanze 3/2/2006 n. 142, Art. 12, Protezione dei dati e delle informazioni (pdf [18], 66 K)

Privacy

Codice in materia di protezione dei dati personali [19] compresi gli allegati “B. Disciplinare tecnico in materia di misure minime di sicurezza” e “A.5. Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” .

A tali norme vanno aggiunte, ovviamente, i regolamenti relativi alla Business Continuity, agli adempimenti relativi alla nuova legge sul Risparmio [20], gli eventuali obblighi SOX eccetera.

L’obbligo di documentare e formalizzare

Per una efficace ed efficiente gestione del rischio di non conformità Banca d’Italia richiede alle banche:

una chiara e formalizzata individuazione e distinzione di ruoli e responsabilità ai fini della gestione del rischio, a tutti i livelli dell’organizzazione della banca;
l’istituzione di un’apposita funzione incaricata della gestione del rischio;
la nomina di un responsabile della conformità alle norme all’interno della banca;
la redazione e formalizzazione di un documento interno concernente la funzione di conformità che indichi responsabilità, compiti, modalità operative, flussi informativi, programmazione e risultati dell’attività svolta.

L’ultimo punto si rifà ad una tradizione ormai consolidata della prassi di vigilanza. Le già citate “Istruzioni di Vigilanza” (del 1999) richiedono esplicitamente che:

le politiche, gli standard e i controlli per tutti gli aspetti riguardanti l'IT siano definiti e documentati;
le procedure per l'approvazione e l'acquisizione sia dell'hardware sia del software, nonché per la cessione all'esterno di determinati servizi (outsourcing) siano formalizzate.

Il successivo “Regolamento Banca d'Italia” (del 2002) fa un passo in avanti e richiede (tra l’altro) di definire e governare un processo per la gestione della sicurezza del sistema informativo dell'archivio (Centrale d'allarme interbancaria - CAI). Nell'ambito di tale si devono intraprendere le seguenti azioni.

definire le politiche per la sicurezza del sistema informativo della CAI;
definire i confini del sistema informativo della CAI in termini di struttura organizzativa, collocazione fisica, risorse e tecnologie;
analizzare adeguatamente i rischi in modo da identificare le minacce alle risorse, le vulnerabilità e gli impatti sull'ente segnalante privato e quindi determinare il livello di rischio globale;
selezionare dall'elenco delle specifiche ISO/IEC 17799:2000(E) i controlli ritenuti appropriati;
redigere un documento che spieghi le ragioni che hanno portato alla scelta di ogni singolo controllo selezionato, in termini di risorse da proteggere a fronte di minacce e vulnerabilità. In questo documento si devono anche indicare le ragioni che hanno indotto all'eventuale esclusione di alcuni controlli fra quelli riportati nel richiamato elenco.

I passi identificati dai numeri 1), 2), 3), 5) devono essere, inoltre, opportunamente documentati.
Infine la normativa sulla Privacy, come noto, richiede la tenuta di un aggiornato documento programmatico sulla sicurezza (art. 34. del Codice) contenente (art. 19 del Disciplinare tecnico in materia di misure minime di sicurezza) idonee informazioni riguardo:

l'elenco dei trattamenti di dati personali;
la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
l'analisi dei rischi che incombono sui dati;
le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento(…);
la previsione di interventi formativi degli incaricati del trattamento (…);
la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.