Lo scenario in cui operano banche e istituti finanziari sta mutando molto rapidamente. Le trasformazioni innescate dai processi di digitalizzazione, dalla sempre maggiore concentrazione dei grandi gruppi, dalla comparsa dei nuovi operatori fintech e dalla rivoluzione green sono tutte state accelerate e amplificate dall’emergenza sanitaria. Un evento dirompente, che ha funto allo stesso tempo da elemento catalizzatore per l’evoluzione del settore e da affollato bacino di rischi ancora poco esplorati dai vari player. “Sicuramente la situazione che abbiamo vissuto ha accresciuto in tutti noi la consapevolezza della vulnerabilità di tanti dei sistemi su cui fa affidamento la nostra economia. Quello bancario è solo uno di questi, ma ben riflette l’impatto che la crisi pandemica ha avuto sul modo in cui si era abituati a vivere e a lavorare, oltre che sulle priorità che contraddistinguevano i concetti di continuità operativa e gestione dei rischi”.
A parlare è Claudio Ruffini, presidente e amministratore delegato di Augeos, software house specializzata nello sviluppo di piattaforme di Risk Management, Compliance e Reference Data orientate al mondo del Banking & Finance. “Il cambiamento in atto è testimoniato anche dal continuo aumento di incidenti informatici e attacchi cyber, che hanno avuto diversi picchi durante il primo lockdown. Un segnale evidente di come i criminali informatici abbiano approfittato della situazione, inizialmente affrontata, nella maggior parte dei casi, in maniera del tutto improvvisata”.
Who's Who
Fran Katsoudas
La pandemia ha quindi creato nuove situazioni di vulnerabilità che nel corso dell’anno il sistema ha imparato a gestire, facendo per l’appunto leva su una consapevolezza rispetto al tema della gestione dei rischi operativi e in particolare di quello cyber, che è diventato un fattore centrale non solo sul piano del risk management, ma per la sopravvivenza stessa delle banche. “Il nuovo scenario è però in continua evoluzione, e per questo va affrontato con metodo, strumenti e risorse all’altezza, sviluppando inoltre la capacità di governare in modo orizzontale un fenomeno estremamente complesso, quello della digitalizzazione ramificata del lavoro.
Metodo, strumenti e risorse: quali sono nello specifico?
Se parliamo di metodologie, in ambito bancario non c’è bisogno di inventare nulla di nuovo: si tratta piuttosto di applicare scrupolosamente quelle disponibili e consolidate. Sul fronte dei rischi informatici penso quindi allo standard Iso 27001, al modello Cobit 5 (Control Objectives for Information and related Technology, ndr) e al Cybersecurity framework del Nist (National Institute of Standards and Technology, ndr). Non vedo la necessità di interventi specifici al di là di alcuni adattamenti che prendano atto degli scenari di rischio che sono diventati più probabili, enucleando eventi che prima era sottovalutati. Un esempio per tutti? Fino al 2020 l’attenzione per il rischio pandemico era molto bassa. Oggi è considerato uno scenario da prendere in considerazione anche per il futuro.
Rispetto agli strumenti, occorrono piattaforme end-to-end che permettano di gestire un patrimonio informativo sempre più capillare e diffuso. Le soluzioni sul mercato non mancano, ma se non sono ben strutturate e gestite sul piano della governance in un sistema articolato di rischio risultano non efficaci, in quanto non usufruibili per contrastare le azioni degli attaccanti nei nuovi contesti operativi. Mi spiego: se prima i dipendenti lavoravano all’interno di un perimetro ben delineato, e comunque si riscontravano già tante falle, è facile immaginare cosa può succedere nel momento in cui i collaboratori operano in Smart Working, da casa. Senza contare che vengono a mancare tutti quei controlli visivi e i consigli dei colleghi che in qualche modo riuscivano a colmare alcune lacune. Servono quindi meccanismi di controllo automatici, che diano vita a un sistema in grado di reagire rapidamente, e che sia in qualche modo resiliente agli attacchi esterni e agli incidenti causati dai più svariati fattori. Per fortuna, da questo punto di vista, l’ultimo anno ha rappresentato per molte organizzazioni un importante test che, direi, ha dato esito positivo.
E le risorse? Dove bisogna indirizzarle?
Innanzitutto, se non ci sono competenze adeguate, bisogna formarle. Dopodiché è fondamentale prevedere piani di investimento per verificare che i processi siano in grado di reggere anche in una situazione completamente dematerializzata. Una procedura disegnata per funzionare in una situazione standard potrebbe subire stress in un contesto di lavoro da remoto e dare adito a rischi operativi del tutto imprevisti. I dirigenti con visione e capacità sanno perfettamente che è il momento giusto di investire in innovazione. Nel settore bancario, come in molti altri comparti, non si tornerà più indietro con l’esaurirsi dell’emergenza pandemica. Alla fine della crisi ci troveremo anzi ad aver fatto nel giro di qualche anno importantissimi passi in avanti, che con ogni probabilità avrebbero richiesto molto più tempo per essere compiuti. Basti pensare al tema della trasformazione del ruolo delle filiali: il Covid ha dato il colpo di grazia a un processo che si trovava già in uno stadio avanzato. Ma lo stesso si potrebbe dire per molte altre funzioni bancarie.
E poi c’è l’open banking…
È senz’altro una delle questioni più rilevanti. La spinta che, anche a livello normativo, sta subendo il mercato ha portato a una parcellizzazione delle tradizionali funzioni bancarie. Fino a pochissimi anni fa avevamo a che fare con organizzazioni monolitiche che si occupavano di un’infinità di task. Con i nuovi sistemi di pagamento, assistiamo alla nascita di una moltitudine di nuovi attori sempre più specializzati in ciascuna delle varie fasi che compongono le operazioni finanziarie. Di conseguenza, il cliente si troverà di fronte a un bivio: usufruirà di un numero crescente di servizi non più rivolgendosi a un unico referente, ma a diversi provider, oppure continuerà a servirsi presso un unico soggetto, il quale però, dietro le quinte, si concentrerà su pochi core business esternalizzando molte funzioni specialistiche.
Questo concetto è centrale: una corretta gestione del rischio connesso alle attività delle terze parti e alle esternalizzazioni, peraltro già pienamente affrontata dalla normativa, rappresenterà un fattore critico di successo nell’era dell’open banking. La sfida è comprendere il modo in cui tutti i temi con cui ormai abbiamo familiarizzato, dai rischi informatici a quelli legati alla privacy e alla data protection, si evolveranno in un sistema parcellizzato. Le banche hanno tutta la convenienza a capire esattamente il modo in cui le funzioni di risk management saranno condivise, all’occorrenza cedute e, soprattutto, controllate.
Qual è la contropartita se non si prendono le dovute precauzioni?
Nel mondo che si sta venendo a creare, diventerà sempre più centrale il ruolo di chi detiene il rapporto col cliente finale: lungo la catena del valore, saranno questi soggetti a tenere il coltello dalla parte del manico. L’esternalizzazione, quindi, porterà alle banche che vogliono mantenere quel vantaggio grandi benefici dal punto di vista dell’efficientamento del sistema e, quindi, della razionalizzazione dei costi. Ma far transitare i servizi all’esterno dovrà comportare un aumento consistente delle attività sul piano della gestione del rischio. Se si punta esclusivamente al contenimento dei costi, senza monitorare in modo accurato tutti i processi esternalizzati, si andrà incontro alla creazione di numerose falle di cui non si avrà la minima contezza. Non solo. In caso di incidenti, le banche dovranno sostenere in prima persona le sanzioni pecuniarie previste dai regolatori. Gli organi di controllo sono stati molto chiari in questo senso: il rischio rimane in capo a chi gestisce il rapporto con cliente.
Tutto ciò come si riflette sull’attività di aziende come Augeos: quale sarà il prossimo cambio di paradigma?
Percepisco in generale una grossa opportunità, perché le banche, come detto, hanno acquisito maggiore consapevolezza nell’ultimo anno. A differenza del passato, l’innovazione non arriva solo sulla spinta del regulator, ma nasce dalla necessità di sfruttare al meglio le opportunità offerte dal mercato e di tenere sotto controllo minacce che metterebbero a rischio l’esistenza stessa dell’azienda. Gli istituti hanno fatto proprio il concetto che dietro una corretta analisi del rischio c’è una buona comprensione dei processi. E questo è un ottimo stimolo anche per migliorarne l’efficienza. In linea con questo assunto, Augeos sta sviluppando nuovi moduli per affrontare con sempre maggiore efficacia le sfide di cui abbiamo parlato, allo stesso tempo completando e arricchendo i moduli dedicati alla gestione del risk management tradizionale con l’implementazione di tecniche di intelligenza artificiale.
Per i prossimi anni prevediamo che le banche – e le aziende in generale – dovranno governare tematiche che nascono da esigenze di natura strategica, e che riguardano l’impatto che la rivoluzione green avrà sul modo di fare impresa. Si tratta chiaramente di uno scenario di lungo termine, ed è anche per questo che il mondo bancario non lo sta ancora valutando. Ma direi che è inevitabile: presto o tardi l’impronta sociale e ambientale prodotta dall’attività delle organizzazioni economiche rientrerà a pieno titolo tra i rischi operativi o di compliance, e saperli gestire in modo corretto vorrà dire tutelare il business oltre che, come già avviene oggi, godere di vantaggi sul piano reputazionale.