070406-bankit-bc-sistemica La Banca d’Italia ha pubblicato sul proprio sito (pdf [1] , 403 K) le disposizioni di vigilanza per la continuità operativa per gli operatori finanziari definiti "processi a rilevanza sistemica". I nuovi requisiti saranno applicati con gradualità con l’obiettivo di raggiungere la completa conformità entro 5 anni.

Cosa sono i processi a rilevanza sistemica?

I processi ad alta criticità nel sistema finanziario italiano che, per un "effetto domino", possono provocare il blocco dell'operatività dell’intera piazza finanziaria nazionale si concentrano nei sistemi di pagamento e nelle procedure per l’accesso ai mercati finanziari. Si tratta di un complesso strutturato di attività finalizzate all'erogazione dei seguenti servizi:

servizi connessi con i sistemi di regolamento lordo in moneta di banca centrale e con i sistemi di gestione accentrata, compensazione, garanzia e liquidazione degli strumenti finanziari;
servizi connessi con l’accesso ai mercati rilevanti per regolare la liquidità del sistema finanziario;
servizi di pagamento al dettaglio a larga diffusione tra il pubblico.

Tali processi sono denominati "processi a rilevanza sistemica" per la continuità operativa del sistema finanziario italiano.

Nuovi requisiti per gli intermediari soggetti

Nomina di un responsabile, anche di gruppo, per la gestione dei piani di continuità operativa.
Definizione degli scenari di rischio rilevanti per la continuità operativa dei processi a rilevanza sistemica che devono essere documentati e costantemente aggiornati; essi includono ipotesi di distruzioni fisiche su larga scala, a dimensione metropolitana o superiore, di infrastrutture essenziali dell’intermediario e di terzi nonché situazioni di crisi gravi anche non connesse ad eventi con distruzioni materiali (ad es. pandemie, attacchi biologici).
Siti di recovery: per i processi a rilevanza sistemica tali siti devono essere situati a congrua distanza dai siti primari in modo da assicurare un elevato grado di indipendenza tra i due insediamenti.
Tempi di ripristino: per i processi a rilevanza sistemica in caso di incidente il RTO (Recovery Time Objective) [nota 1] è contenuto entro le 4 ore; con riferimento ai sistemi informativi, sono considerate adeguate le soluzioni basate su architetture tecnologiche che effettuano la duplicazione in linea dei dati operativi in modo da eliminare o ridurre al minimo la perdita di informazioni (cioè RPO, Recovery Point Objective) [nota 2] pari o prossimo a zero).
Risorse: sono individuate e documentate le risorse – umane, tecnologiche e logistiche – necessarie per l’operatività dei processi a rilevanza sistemica. Occorre garantire – con misure organizzative, mediante accordi con terzi, con la duplicazione del personale o con altri provvedimenti documentati – la presenza nei siti di recovery, all’occorrenza, del personale necessario per l’operatività dei processi a rilevanza sistemica. Va evitata la concentrazione, nello stesso luogo e allo stesso tempo, del personale chiave.
Verifiche: sono effettuate, con frequenza almeno annuale, verifiche accurate dei presidi di continuità operativa dei processi a rilevanza sistemica. Viene assicurata la partecipazione attiva ai test di sistema organizzati o promossi dalle autorità, dai mercati e dalle principali infrastrutture finanziarie.
Comunicazioni alla Banca d'Italia: il piano di continuità operativa dei processi a rilevanza sistemica, inclusi gli adeguamenti e le integrazioni, viene prontamente trasmesso alla Banca d’Italia, Area Vigilanza creditizia e finanziaria.

Note

Per RTO (Recovery Time Objective) si intende il periodo di tempo necessario per ripristinare un processo e per riallineare la relativa base dati sul sistema di recovery assicurando la ripresa dell’attività nel nuovo ambiente operativo con un livello di servizio prestabilito.
Per RPO (Recovery Point Objective) si intende il periodo di tempo massimo che può intercorrere tra l'ultimo salvataggio dei dati e il momento di blocco del processo.