Riportiamo l'elenco ed i collegamenti delle relazioni presentate al corso di aggiornamento "La funzione di compliance nelle banche: aspetti organizzativi e procedurali" organizzato dalla Associazione per lo Sviluppo degli Studi di Banca e Borsa (ASSBB), in collaborazione con l’Università Cattolica  e l’Associazione Italiana Compliance (AICOM) che si è tenuto il 2 e 3 maggio 2007 a Milano, presso la Università Cattolica del Sacro Cuore. I link sono tratti dal sito di AICOM che ha pubblicato presso il proprio sito le relazioni presentate al convegno.

Il Garante per la protezione dei dati personali ha pubblicato il 23 maggio 2007 le "Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali". Si tratta di un provvedimento, che definisce principi e limiti che gli enti locali sono tenuti a rispettare quando, in particolare, pubblicano e diffondono i dati personali contenuti in atti e deliberazioni dai quali possono anche emergere delicate informazioni su condizioni di salute, handicap o situazioni di disagio di cittadini che concorrono all'assegnazione di alloggi popolari, assistenza e contributi,  ammissione di minori agli asili nido.

I principi

Nelle linee guida il Garante afferma innanzitutto che, prima di  pubblicare gli atti, renderli accessibili a terzi o metterli in rete, l'ente locale deve valutare se le finalità di trasparenza possano essere perseguite senza divulgare dati personali o attraverso modalità che permettano di identificare gli interessati solo se necessario. Negli atti poi devono comparire solo dati pertinenti e non  eccedenti rispetto alle finalità che l'ente intende raggiungere. I dati sensibili e giudiziari possono essere  diffusi solo se realmente indispensabili e se l'ente abbia adottato il regolamento previsto dal Codice sull'uso di questi dati. É sempre vietato diffondere informazioni sulla salute.

Il vice Direttore Generale di Consob Antonio Rosati è intervenuto al convegno annuale Assoreti: "Le Autorità di regolazione del mercato e le reti di promotori finanziari - Problemi e prospettive alla luce del quadro comunitario" del 19 maggio 2007 con una relazione dal titolo "Il sistema dell'intermediazione mobiliare italiano e la MiFID (pdf, 205 K). Riproduciamo la premessa e le conclusioni dell’intervento.

Premessa

Pubblichiamo la traduzione in italiano dell' Executive Summary del documento "IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance" (pdf, 1.4 M). Precedentemente sono stai pubblicati: l’indice (insieme ad una breve introduzione) e la prefazione.

Executive Summary

Obiettivi

"IT Control Objectives for Basel II" presenta  un framework completo e coerente per la gestione dell’information risk nel contesto di Basilea II. Il documento è indirizzato a due diversi target: i professionisti IT e gli esperti di servizi finanziari. Applicando il framework presentato in questa pubblicazione, le istituzioni finanziarie saranno in grado di adottare con successo i processi e controlli noti e condivisi nella comunità dell’Information Technology: gli obiettivi di controllo IT ed i processi di management presi in considerazione riguardano infatti il ruolo dell’Information Technology nella gestione dei rischi operativi e nelle relative attività che devono intraprendere i professionisti IT, gli internal auditor IT, gli IT risk manager e gli information security officer.
Il presente capitolo presenta una sintesi del rischio così come è inteso in Basilea II e mostra le relazioni fra i rischi operativi ed i rischi IT nonché l’approccio per la gestione dell’information risk.

Il 16 maggio 2007 ISACA  e l'IT Governance Institute (ITGI)  hanno pubblicato la prima bozza del documento "IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance" (pdf, 1.4 M). Si tratta di una linea guida per la gestione di rischi legati ai sistemi informativi nel contesto di Basilea II e dunque destinata alle istituzioni finanziarie che intendono seguire, per quanto riguarda i rischi operativi ed in particolare l’Information Technology, una approccio basato sulla mappatura dei processi aziendali e sull’individuazione i punti di controllo usando COBIT. Eventuali commenti alla bozza possono esere inviati, seguendo le indicazioni riportate nel documento stesso, entro il 18 giugno 2007.

(Traduzione in italiano di "The Psychology of Security", draft, di Bruce Schneier , versione del 28 febbraio 2007; la traduzione è di Agatino Grillo disponibile anche in formato pdf , 168 K)

Introduzione

La sicurezza è sia una sensazione sia qualcosa di reale. E le due cose non coincidono.
La sicurezza reale si fonda sulla matematica e riguarda le probabilità che si verifichino i possibili rischi e l’efficacia delle misure di protezione adottate. Possiamo infatti facilmente valutare quanto è sicura la nostra abitazione rispetto ai furti prendendo in considerazione fattori quali il tasso di criminalità del quartiere nel quale viviamo o la nostra abitudine di chiudere sempre a chiave la porta di casa. Possiamo anche calcolare con facilità la probabilità di essere assassinati in strada da uno sconosciuto o nella nostra abitazione da un familiare. Possiamo infine calcolare la probabilità di essere vittima di un furto d’identità. Dato un insieme abbastanza vasto di statistiche sugli atti criminali tutto ciò non è molto difficile: le compagnie assicuratrici lo fanno da tempo.
Possiamo anche calcolare di quanto un antifurto può aumentare la sicurezza della nostra casa o in che modo il blocco del nostro conto bancario ci proteggerà dal furto d’identità. Ancora una volta: data una quantità sufficiente di informazioni ciò è facile.

L’Institute of Internal Auditors, IIA,  ha pubblicato un nuovo numero di IT Audit (Vol. 10, 10 maggio 2007) il proprio magazine on line dedicato agli aspetti di audit della information technology.

Indice

• Closing the IT Audit Communication Gap di Jackie Bassett, Chief Executive Officer, BT Industrials Inc. 
• What Is Authentication? di Lakshmana Rao Vemuri, CISA Senior Security Consultant, Paladion Networks  
• Understanding the Risk Management Process di Mark T. Edmead, CISSP, CISA, President, MTE Advisors
• New Developments
• IT and Audit News 
• Tech Practices Update

Articolo già pubblicato in www.agatinogrillo.it
L'European Network and Information Security Agency (ENISA) ha pubblicato, lo scorso 25 aprile 2007, un documento dal titolo "Inventory and assessment of EU regulatory activity on network and information security (NIS)" (pdf, 317 K) che contiene la raccolta delle principali normative europee in ambito sicurezza delle informazioni.

Un contesto confuso

Il rapporto evidenzia che il contesto legale e normativo europeo è, al momento, incerto, incompleto e confuso e che questo influenza in maniera negativa la costituzione di una cultura europea della sicurezza e pone ostacoli allo sviluppo dei mercati legati alle nuove tecnologie.

L’8 maggio 2007, in occasione della presentazione, a Urbino, del volume del prof. Rainer Masera dal titolo "la Corporate Governance nelle banche", è intervenuto (pdf, 53 K) sul tema il dottor Antonio Finocchiaro, Vice Direttore Generale della Banca d’Italia. Riproduciamo, di seguito, i passi più salienti del suo intervento. Parole chiavi: legge sulla tutela del risparmio n. 262/05 , soft law, responsabilità amministrativa ex d. lgs. 231/2000, autodisciplina.

Il contesto di riferimento

Dalla fine degli anni novanta il legislatore ha operato con intensità per ammodernare il nostro diritto societario; con l’obiettivo di renderlo adeguato ad un contesto operativo caratterizzato da integrazione dei mercati, innovazione tecnologica, maggiore concorrenza; contesto che richiede, per le imprese, semplificazione delle procedure, flessibilità organizzativa, ampliamento degli spazi di autoregolamentazione.