Il più recente aggiornamento della circolare Bankit 285 rende obbligatoria l’attuazione degli orientamenti ABE sulla sicurezza dei pagamenti via Internet già previsti dalla circolare Bankit 263 il 2 luglio 2013. Le nuove norme prevedono un approccio risk-based, nuovi requisiti tecnici e organizzativi, nonché nuove specifiche scadenze per gli adempimenti richiesti, con l’obiettivo di garantire alla clientela un livello di protezione adeguato ai rischi da fronteggiare secondo rigorosi standard di sicurezza. Le nuove disposizioni sono state inserite in una nuova sezione del capitolo 4 “Il sistema informativo”, lasciando però la porta aperta alla futura regolamentazione di ulteriori attività o profili di rischio specifici.

Il 16° aggiornamento della circolare Banca d’Italia n. 285 del 2013 “Disposizioni di Vigilanza per le banche”, emesso il 17 maggio 2016, introduce alcune importanti novità nel Titolo IV – Capitolo 4 “Il Sistema Informativo”. Il nuovo testo contiene modifiche alla Sezione I “Disposizioni di carattere generale” e alla Sezione IV “La gestione della sicurezza informatica”, e introduce la nuova Sezione VII “Principi organizzativi relativi a specifiche attività o profili di rischio”.

Le sezioni modificate

Nella Sezione I le novità riguardano la rilevanza attribuita ai “rischi assunti in relazione alla prestazioni di servizi di pagamento tramite il canale Internet”, con particolare riferimento a:

• Esecuzione di pagamenti con carta;
• Esecuzione di bonifici;
• Emissione o modifica di mandati elettronici di addebito diretto (SDD, SEPA Direct Debit);
• Trasferimento di moneta elettronica tra due conti di moneta elettronica (es. carte prepagate, digital wallet e valute elettroniche come bitcoin).

Fra le fonti normative citate nella Sezione I vengono ora riportati gli “Orientamenti finali sulla sicurezza dei pagamenti via Internet” emanati dall’Autorità Bancaria Europea (ABE) il 19 dicembre 2014, che diventano ora il principale testo di riferimento esterno della circolare Bankit 285 per l’ambito dei pagamenti via Internet. Fra i destinatari della disciplina fanno eccezione le succursali di banche extracomunitarie aventi sede negli Stati indicati nell’Allegato A delle Disposizioni introduttive (Canada, Giappone, Svizzera e USA), che dovranno attenersi esclusivamente alle disposizioni della Sezione VII sempre in tema di servizi di pagamento via Internet.

Nella Sezione IV viene modificato il punto 3 “La sicurezza delle informazioni e delle risorse ICT” con l’inclusione dell’obbligo di “misure di protezione a livello fisico e logico, la cui intensità di applicazione è graduata in relazione alle risultanze della valutazione del rischio” con specifico riferimento alla classificazione attribuita alle risorse informatiche in termini di sicurezza. L’attuazione delle misure deve prevedere una distribuzione su diversi strati secondo l’ormai classico approccio della difesa in profondità (“Defense-in-Depth”).

Le misure dovranno comprendere:

• La segmentazione della rete di telecomunicazione;
• Il controllo dei flussi scambiati, in particolare fra domini con differenti livelli di sicurezza;
• Il presidio dell’accesso a sistemi e servizi critici tramite canali pubblici, principalmente Internet.

Le misure adottate dovranno essere presidiate in modo da soddisfare rigorosi requisiti di sicurezza e fornire un livello di protezione che sia adeguato ai rischi da fronteggiare, sempre con esplicito riferimento agli orientamenti ABE citati nella Sezione VII. Appare evidente come Banca d’Italia, nella definizione dei requisiti di sicurezza, abbia giustamente attinto ai requisiti dettati dall’ormai consolidato standard PCI DSS (Payment Card Industry (PCI) Data Security Standard, v3.1 – April 2015).

In questa sezione si fa chiaro riferimento ad un approccio risk-based, ovvero basato sulla valutazione del rischio e sulla classificazione come elementi di determinazione del grado di sicurezza richiesto e della profondità ed efficacia delle misure richieste.

La nuova sezione introdotta

La nuova Sezione VII è dedicata ai “principi organizzativi relativi a specifiche attività o profili di rischio”, una destinazione generica che lascia intendere la futura inclusione di ulteriori ambiti oltre all’unico attualmente disponibile, ovvero quello della sicurezza dei pagamenti via Internet. Qui viene ribadita l’obbligatorietà dei requisiti riportati negli “Orientamenti finali sulla sicurezza dei pagamenti via Internet” dell’ABE, rimettendo alla scelta di ciascun istituto se adottare anche le “Migliori prassi” (MP 1-13) di cui all’Allegato 1 del medesimo documento.

In questa sezione viene espressamente citata l’applicazione delle misure secondo il principio di proporzionalità in considerazione della dimensione e della complessità operativa, della natura dell’attività svolta e della tipologia dei servizi prestati, pur nel rispetto degli obblighi specifici e in linea con l’impostazione generale della disciplina in materia di controlli interni e gestione dei rischi.

I nuovi adempimenti richiesti

Alla luce delle nuove disposizioni inserite, vengono imposti alle banche specifici presidi di natura fisica, logica e organizzativa, con l’obiettivo di

“ridurre il rischio di frodi e assicurare una corretta gestione delle informazioni sensibili detenute dalla banca”.

Fra i presidi da adottare vengono citati, in particolare:

• La riduzione del rischio di frodi;
• La corretta gestione delle informazioni sensibili secondo gli standard dell’Orientamento n. 7 del testo ABE;
• Modalità rafforzate di verifica dell’identità del cliente, ovvero misure di autenticazione forte (cosiddetta strong authentication) per:
  • l’avvio di operazioni di pagamento;
  • l’accesso ad informazioni sensibili;
• L’introduzione di limiti ai tentativi di login o accesso ad aree riservate;
• L’introduzione di limiti alla durata delle sessioni di lavoro;
• Appositi meccanismi di monitoraggio dell’operatività (cosiddetti di transaction monitoring) al fine di prevenire, identificare, segnalare e bloccare eventuali operazioni fraudolente.

Più in generale, le banche sono chiamate a:

• accrescere il grado di protezione offerto alla propria clientela,
• assicurando la disponibilità di informazioni accurate e tempestive su:
  • Le tecnologie in uso;
  • Le loro modalità di utilizzo;
  • Gli strumenti di tutela disponibili in caso di frode.

Tutti questi aspetti dovranno essere specificamente inseriti nei contratti con il chiaro obiettivo di garantire la massima trasparenza nei confronti della clientela.

Come già detto, le migliori prassi illustrate negli orientamenti ABE non hanno natura vincolante, sebbene Banca d’Italia evidenzi

“la possibilità per le banche di tenerne conto nella definizione delle modalità di attuazione delle disposizioni in esame”.

Le nuove scadenze imposte

Le nuove disposizioni impartite con il 16° aggiornamento della circolare Bankit 285 sono entrate in vigore il 21 maggio 2016 (giorno successivo a quello di pubblicazione sul sito informatico di Banca d’Italia) e le banche dovranno adeguarsi agli obblighi imposti entro il 30 settembre 2016.

Quattro mesi possono sembrare un po’ pochini, ma il richiamo agli orientamenti ABE sulla sicurezza dei pagamenti via Internet era già stato incluso fin dal 2 luglio 2013 nel 15° aggiornamento della circolare Bankit n. 263 del 27 dicembre 2006 “Nuove disposizioni di vigilanza prudenziale per le banche”.

In aggiunta, le banche dovranno adeguare tutti i contratti in essere alla data di entrata in vigore delle presenti disposizioni alla prima scadenza contrattuale utile, includendo tutti gli obblighi previsti.

Infine, entro il 30 ottobre 2016 le banche dovranno trasmettere alla Banca Centrale Europea o alla Banca d’Italia una relazione sugli interventi effettuati sulla struttura organizzativa e di controllo, nonché sui sistemi informativi, al fine di assicurare il rispetto degli obblighi introdotti con il 16° aggiornamento della circolare Bankit 285. La relazione dovrà essere approvata dall’Organo con Funzione di Supervisione Strategica (OFSS), tipicamente il Consiglio di Amministrazione.

Ettore Guarnaccia