Proroga dei termini – Nuove disposizioni di vigilanza…

sul sitema dei controlli interni, sistema informativo e continuità operativa.

In data 3 luglio 2013 è stato pubblicato l’aggiornamento n. 15 della Circolare 263/2006 «Nuove Disposizioni di Vigilanza prudenziale per le banche» avente ad oggetto il Sistema dei Controlli Interni, il Sistema informativo e la Continuità operativa, con cui la Banca d’Italia ha dettato un quadro organico di disposizioni in cui trovano spazio sia elementi innovativi rispetto al passato sia una complessiva razionalizzazione delle previsioni vigenti.

In particolare, il Capitolo 7 definisce un quadro organico di principi e regole a cui deve essere ispirato il Sistema dei Controlli Interni, nel quale si collocano le regole sui controlli dettate all’interno di specifici ambiti disciplinari, secondo il c.d. modello «hub and spokes» (ad es., regole organizzative in materia di gestione di singoli profili di rischio, di sistemi interni di misurazione dei rischi per il calcolo dei requisiti patrimoniali, di processo ICAAP, di prevenzione del rischio di riciclaggio).

In tale quadro, viene enfatizzato il ruolo degli Organi Aziendali nel dotare le banche di un sistema dei controlli interni «completo, adeguato, funzionale e affidabile». Le disposizioni, infatti, richiedono ai Vertici Aziendali di porre attenzione alla definizione delle politiche e dei processi aziendali di maggiore rilievo, con specifico riferimento a quelli riguardanti la gestione dei rischi; la valutazione delle attività aziendali; l’approvazione di nuovi prodotti/servizi o dell’avvio di nuove attività, nonché dell’inserimento in nuovi mercati.

I Capitoli 8 e 9 introducono le seguenti novità:

– rivisitazione della disciplina sul sistema informativo, con particolare riferimento a (i) la governance e all’organizzazione del sistema informativo; (ii) la gestione del rischio informatico; (iii) i requisiti per assicurare la sicurezza informatica e il sistema di gestione dei dati; (iv) la definizione dei presidi di sicurezza per l’accesso a sistemi e servizi critici tramite il canale Internet, con riferimento ai quali devono trovare applicazione le Raccomandazioni della BCE in materia di sicurezza dei pagamenti in Internet.
– riorganizzazione delle disposizioni in materia di continuità operativa, con particolare riferimento a (i) la formalizzazione del ruolo del CODISE; (ii) la struttura per il coordinamento della gestione delle crisi operative della piazza finanziaria italiana presieduta dalla Banca d’Italia; (iii) definizione di un processo di rapida escalation da incidente a emergenza.
Le nuove disposizioni, entrate in vigore il 3 luglio 2013, prevedono le seguenti tempistiche di adeguamento (c.d. «data di efficacia»):
– 1° luglio 2014: disposizioni contenute nel Capitolo 7 (Sistema dei controlli interni), ad eccezione dei seguenti aspetti:
– linee di riporto dei responsabili delle funzioni aziendali di controllo di secondo livello (Risk Management e Compliance), con riferimento al quale la data di efficacia stabilita è il 1° luglio 2015;
– contratti di esternalizzazione di funzioni aziendali (Sezioni IV e V), che dovranno essere adeguati alla prima scadenza contrattuale e comunque entro il 1° luglio 2016;
– 1° luglio 2014: adeguamento alle disposizioni contenute nel Capitolo 9 (Continuità operativa).
– 1° febbraio 2015: adeguamento alle disposizioni contenute nel Capitolo 8 (Sistema informativo), incluse le raccomandazioni della BCE in materia di sicurezza dei pagamenti in Internet;
– 1° luglio 2016: adeguamento dei contratti di esternalizzazione del sistema informativo (Sezione VI).

Il percorso di adeguamento alle Nuove Disposizioni deve essere esplicitato nella Relazione che le banche sono tenute ad inviare alla Banca d’Italia entro il 31.12.2013; detta relazione deve contenere “[…] un’autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis), […] le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle [… ] disposizioni […]” . Entro la stessa data, le banche comunicano alla Banca d’Italia i contratti di esternalizzazione in essere alla data di entrata in vigore delle presenti disposizioni e la relativa durata.