Da giugno, mese di pubblicazione sulla Gazzetta Ufficiale, e per i prossimi due anni, un nuovo provvedimento del Garante della privacy terrà occupati i responsabili della Compliance, i Cio e i manager dell’It governance e dell’It security delle banche italiane e delle società a loro collegate. Parliamo del provvedimento n. 192 che contiene “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”. Un atto che impone – entro 30 mesi dalla pubblicazione sulla Gazzetta Ufficiale – l’adozione di una serie di misure per tracciare tutti gli accessi – anche a scopo di consultazione (e quindi non solo di movimentazione di denaro) – alle informazioni bancarie della clientela. L’iniziativa si è resa necessaria a seguito del ricevimento di segnalazioni (spesso direttamente da parte di clienti delle banche), relative a inquiry e a comunicazioni a terzi di informazioni riservate per scopi diversi. Fra questi spiccano le ricerche sui rapporti bancari dei coniugi nel corso di separazioni giudiziali, ma non si possono escludere nemmeno anomalie finalizzate anche a frodi più gravi.
L'articolo continua alla pagina seguente
*BRPAGE*
Del provvedimento e del suo impatto a livello It si è discusso durante un "Breakfast con l'analista" che Zerouno ha organizzato giovedì 20 ottobre in collaborazione con Attachmate. All’incontro hanno partecipato diversi responsabili It, governance e sicurezza di importanti banche e di altre istituzioni finanziarie. Tutte alle prese con la necessità di comprendere a fondo le implicazioni del provvedimento sui processi organizzativi, sui contratti con i fornitori di servizi e sulle evoluzioni tecnologiche.
Ecco alcuni dei punti più importanti emersi nel corso della presentazione di Gabriele Faggioli, docente del Mip del Politecnico di Milano (che ha anche commentato una ricerca europea commissionata da Attachmate) e della tavola rotonda che ha coinvolto tutti i partecipanti.
Il resoconto completo e dettagliato dell'incontro sarà pubblicato nei prossimi giorni.
1. Il provvedimento del Garante della Privacy sulla tracciabilità dell’accesso ai dati bancari ha un impatto molto maggiore di quello relativo agli amministratori di sistema.
2. Poiché il Garante prevede misure che riguardano tanto i titolari del trattamento dei dati personali (le banche) quanto le società strumentali che, per la fornitura dei propri servizi accedono ai dati dei clienti bancari, il provvedimento ha implicazioni anche in relazione ai rapporti contrattuali fra le banche e gli outsourcer e può prevedere che queste ultime siano designate responsabili del trattamento e interessate dalle prescrizioni.
3. Particolari problematiche emergono anche rispetto alla circolazione delle informazioni fra filiali della stessa banca, banche diverse dello stesso gruppo e altre società che appartengono al cosiddetto “perimetro” di un gruppo bancario. Incluse, in molti casi, anche società finanziarie, di bancassicurazione e società di outsourcing localizzate in Italia e all’estero.
4. Il provvedimento prevede misure definite “opportune”, che possono essere applicate da subito, e “obbligatorie”, da mettere in atto entro 30 mesi. Il periodo potrebbe sembrare lungo, ma in realtà abbraccia solo due cicli di budget per le organizzazioni It delle banche.
5. Alcune delle misure previste configurano una forma di controllo dell’attività del dipendente e, in quanto tali, devono essere condivise e implementate in accordo con le organizzazioni sindacali o – laddove queste non ci siano – comunicate gli ispettorati del lavoro territoriali.
6. Le banche sono realtà caratterizzate dalla presenza di architetture e applicazioni eterogenee. La raccolta di dati di tracciamento e il loro consolidamento in log comuni richiede uno sforzo notevole di integrazione. Per facilitare questo compito, evitando di rimettere mano ai codici delle applicazioni, è possibile implementare strumenti non invasivi, che registrano le “conversazioni” tra i client delle applicazioni da monitorare e i server direttamente dalla rete. Un esempio è Luminet di Attachmate, che consente, inoltre, di ricercare e rivedere step by step gli accessi, memorizzati in file di log che, come previsto dal Garante, dovranno essere conservati per un periodo non inferiore ai 24 mesi dalla data di registrazione.