di Domenico Santececca

Gli eventi dell'11 settembre 2001 hanno evidenziato un sostanziale aggravamento dei rischi per la sicurezza dell'operatività dei mercati finanziari locali e globali. E hanno dimostrato come la sempre più stretta interdipendenza, a livello mondiale, delle componenti di un sistema complesso come quello finanziario fa sì che un atto distruttivo compiuto localmente possa ripercuotersi quasi come un'onda sismica, provocando interruzioni di servizio prolungate e malfunzionamenti tali da creare consistenti difficoltà nell'accesso ai mercati e ai servizi bancari.

IL RISCHIO? L'EFFETTO DOMINO

Ma all'orizzonte, a far dormire sonni poco tranquilli, non c'è solo la minaccia terroristica. Ci si mette pure la natura, o forse il caso. Un esempio? La necessità di disporre con continuità dei diversi fattori produttivi è stata confermata dalle esperienze compiute durante il black-out elettrico che il 28 settembre 2003 ha interessato l'intero Paese. In sintesi, è possibile affermare che il sistema bancario, nel suo complesso, ha reagito efficacemente al black-out. Tuttavia, l'evento ha messo in luce la necessità di rinforzare ulteriormente ogni azione utile a garantire la continuità di erogazione di energia elettrica, in particolare sui siti primari e secondari di elaborazione dei dati. L'operatività delle banche è infatti stata garantita nelle strutture centrali e nelle strutture periferiche dotate di gruppi di continuità, mentre nelle altre unità operative periferiche l'operatività è ripresa con il graduale ritorno dell'energia elettrica sull'intero territorio nazionale.

Proprio sulla spinta di tali circostanze, le Banche Centrali di numerosi Paesi, tra cui l'Italia, hanno avviato un processo di definizione, anche a livello normativo, delle misure da adottare per garantire la continuità di esercizio da parte degli operatori bancari e finanziari, sia a livello di sistema che di singolo operatore.

GLI ELEMENTI CRITICI

La continuità operativa del business (business continuity) è definita come l'insieme di "tutte le iniziative volte a ridurre a un livello ritenuto accettabile i danni conseguenti a incidenti e catastrofi che colpiscono direttamente o indirettamente un'azienda". Il suo mantenimento non può prescindere dalla disponibilità dei fattori che presentano aspetti di criticità nel garantire il funzionamento dei diversi processi aziendali: nel processo produttivo le risorse umane, con le loro competenze specifiche, sono un elemento critico, così come le tecnologie dell'informazione e delle telecomunicazioni, le infrastrutture fisiche, gli spazi di lavoro, l'energia elettrica.

L'improvvisa mancanza della disponibilità di uno di questi fattori può determinare drammatiche situazioni di blocco, con gravi perdite di natura sia economica sia di immagine. L'impegno necessario per fronteggiare queste situazioni dipende dalle numerose e complesse relazioni fra le diverse tipologie di risorse critiche sia della singola azienda, sia del sistema Paese. Nasce, infatti, il rischio concreto di una concatenazione di eventi e di un conseguente effetto domino sulla disponibilità dei diversi fattori produttivi fra loro interconnessi.

QUALCOSA SI STA MUOVENDO

Un workshop organizzato a fine settembre da ABI Lab, grazie anche alla partecipazione dei diversi enti e istituzioni che hanno il compito di contribuire a garantire la continuità operativa del sistema Paese, ha costituito un'occasione importante per presentare e confrontarsi su quanto finora è stato attuato in questa direzione, e su quanto è in corso di realizzazione per mantenere elevati i livelli di continuità e sicurezza.

L'analisi delle proposte e delle azioni intraprese a livello internazionale, evidenziando gli aspetti particolarmente cruciali, ha costituito la base per la definizione di un quadro normativo di riferimento e per la messa a punto di un piano di azione in grado di garantire il livello di sicurezza del settore bancario e finanziario.

Per conseguire quest'obiettivo, la Banca d'Italia ha emanato nel luglio del 2004 una specifica normativa per le banche e ha avviato una serie di iniziative con l'obiettivo di approntare le migliori modalità di intervento e di coordinamento in grado di garantire la continuità di servizio di sistema, con riferimento in particolare ai servizi vitali, il cui funzionamento dovrà essere assicurato dai principali Gruppi Bancari e dagli operatori di sistema.

L'AZIONE ABI-BANKITALIA

L'Associazione ha lavorato, di concerto con la Banca d'Italia, principalmente su tre linee di azione:

• l'identificazione di una metodologia condivisa e di soluzioni cooperative

• la diffusione della conoscenza sulla tematica

• il coinvolgimento di terze parti, tramite appropriati enti e istituzioni, che gestiscono infrastrutture critiche per la continuità del servizio bancario (per esempio, utilities, telecom operator).

Per realizzare più efficacemente questi interventi, per prima cosa l'ABI si è fatta carico di condurre una consultazione del sistema bancario riguardo all'ipotesi di normativa contenuta nella bozza delle Linee guida per la continuità operativa, a suo tempo diffusa da Banca d'Italia. Le osservazioni e i suggerimenti raccolti da un campione di 232 banche, rappresentative dell'88% del totale degli sportelli, hanno costituito la base per la realizzazione di un Position paper del sistema bancario sulle problematiche connesse alla business continuity. Inoltre, gli elementi raccolti hanno contribuito alla definizione dei principi ispiratori degli interventi dell'ABI sul tema della continuità operativa.

In particolare, l'Associazione ha condiviso con la Banca d'Italia la necessità di adottare un approccio normativo flessibile, basato sulla responsabilizzazione delle banche che agiscono nel rispetto di raccomandazioni ed orientamenti, focalizzando gli interventi sui propri processi critici. A ogni banca viene quindi richiesto di realizzare un "business continuity plan" o piano di continuità operativa che garantisca il corretto svolgimento degli interventi operativi e di controllo.

E' ANCHE UN PROBLEMA Dl COSTI

L'individuazione dei processi critici e delle soluzioni atte a mitigarne i rischi non può non avvenire sulla base di un'attenta analisi costi/benefici, tenendo conto delle necessità di contenimento dei costi operativi e di investimento che le banche si trovano oggi a dover fronteggiare. L'ottimizzazione dei costi operativi in corso da parte del sistema bancario impone peraltro un'attenta valutazione degli investimenti da effettuare, per massimizzarne l'efficacia in relazione ai rischi da mitigare e al loro possibile effettivo impatto sul business aziendale.

IN LINEA CON BASILEA

Il percorso indicato da Banca d'Italia, sulla tematica della business continuity, che le banche dovranno sviluppare per il 2006, presenta numerosi punti di contatto con l'approccio sui rischi operativi indicato dagli accordi di Basilea. Appare quindi opportuno che le banche, con interventi sinergici, affrontino il tema della continuità di servizio attraverso un'analisi unitaria dei rischi operativi e dei conseguenti potenziali impatti sul business, al fine di ottimizzare le soluzioni di mitigazione dei rischi e le azioni volte a soddisfare le richieste della normativa di vigilanza.

Per rendere più agevole il compito delle banche, l'ABI già nel 2003 aveva avviato un'iniziativa finalizzata alla definizione di una metodologia di realizzazione del piano di business continuity, evidenziando le diverse fasi progettuali necessarie per essere in linea con la normativa emanata dalla Banca d'Italia. La metodologia, diffusa a tutte le banche, è stata sviluppata con la collaborazione di ABI Lab, Centro di ricerca e sviluppo delle tecnologie per la banca, nell'ambito dell'apposito gruppo di lavoro costituito in ABI.

LA METODOLOGIA

Questa metodologia, che tiene anche conto delle esperienze maturate nel corso del black out del 28 settembre 2003, è autoesplicativa, e le sue indicazioni potranno essere applicate autonomamente dalle singole banche. I suoi contenuti mettono le banche in condizione di assolvere i loro compiti con maggiore efficacia. Vengono descritte e illustrate sotto il profilo metodologico e organizzativo le diverse fasi che devono essere attuate per avviare, realizzare e gestire il Piano di Continuità Operativa contemplando gli interventi minimi previsti dagli adempimenti che dovranno essere completati entro la fine del 2006.

Contestualmente l'ABI, avvalendosi dell'azione congiunta di ABI Lab e ABI Formazione, procederà alla predisposizione di un piano di formazione e di supporto alle banche per l'utilizzo della metodologia nel suo complesso. Il percorso formativo e il piano di assistenza sarà focalizzato sull'utilizzo della metodologia e sui tool che la supportano.

NUOVA NORMATIVA, NUOVA FORMAZIONE

La nuova Normativa della Banca d'Italia in tema di continuità operativa, nella quale vengono delineati i principi per una regolamentazione organica della materia, richiede agli intermediari l'estensione dei piani di continuità a tutti i processi critici dell'attività bancaria e l'applicazione di requisiti minimi a carattere metodologico e organizzativo per tutte le banche. Con lo scopo di sostenere l'azione delle banche, l'ABI, in collaborazione con ABI Lab e numerose associate, ha sviluppato un sistema di supporto per la realizzazione del Business Continuity Plan, costituito da un percorso metodologico strutturato che sarà diffuso tramite un sistema info-formativo, messo a punto con ABIFormazione, che prevede l'erogazione di moduli formativi differenziati per livello di approfondimento. I corsi di primo livello forniscono competenze trasversali relative all'intera metodologia mentre i corsi di secondo livello si concentrano su competenze specifiche, necessarie in modo particolare ai componenti del team di progetto.

Nell'ambito dei percorsi saranno disponibili in esclusiva strumenti operativi come:

(Ndr: ripreso dalla rivista Bancaforte di novembre-dicembre 2004)