1

CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce)

Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA)

“L’assicurazione come trasferimento del rischio residuo: una soluzione sia tecnica

che economica, in sintonia con le disposizioni di Basilea 2”

2

•Basilea 2: nuove regole sulla gestione del rischio

•Basilea 2: azioni da intraprendere •Basilea 2: difficoltà di attuazione•Quale alternativa?•Perdite coperte dall’assicurazione•Coperture particolari•Costi delle coperture: calcolo del premio•La valutazione

AGENDA

3

Basilea 2: nuove regole sulla gestione del rischio

Definizione di indicatori per il calcolo della quota di riserva capitale, correlati al rischio operativo.

Rischio operativo rischio di perdite risultanti da inadeguatezza o fallimento di:

• processi interni• persone o sistemi• eventi esterni

Le Istituzioni Finanziarie devono identificare le fonti del rischio operativo per calcolare la riserva capitale richiesta e valutare l’opportunità di trasferire all’assicurazione il rischio residuo.

4

Basilea 2: azioni da intraprendere

Le Istituzioni Finanziarie devono:

Creare il responsabile della sicurezza ITAssegnare ruoli e responsabilità per la

gestione del rischio ITSviluppare soluzioni per la gestione real time

del rischioAttivare processi di gestione degli incidenti

transazionaliMisurare e testare i livelli di sicurezza

5

Basilea 2: difficoltà di attuazione

Perchè le Istituzioni Finanziarie hanno difficoltà ad attuare le azioni richieste?

Mancanza di skills adeguate Minacce nuove, non prevedibili e non

identificabiliSistemi di sicurezza informatica (firewall,

antivirus, ...) non “totalmente sicuri”

6

Quale alternativa?

Non tutti i rischi possono essere identificati e adeguatamente coperti con una riserva di capitale

Valutare l’opportunità di trasferire all’assicurazione il rischio residuo per coprire:

- la frode- le modificazioni e/o perdite di dati e programmi- le spese extra in caso di disaster recovery- l’interruzione del servizio a causa di attacchi DoS- la perdita di profitto- le spese di ricostruzione dell’immagine

7

Perdite coperte dall’assicurazione (1)

Frode informatica (compresa l’infedeltà dei dipendenti) somme di denaro sottrattevalori di beni mobiliari sottrattispese di analisi e ricercaModificazioni e/o perdite di dati e programmi ricostituzione dei dati rimessa in funzione dei programmi

è coperto il danno dovuto ad errore umano (errata manipolazione), ma non a difetto del software.

8

Perdite coperte dall’assicurazione (2)

Spese supplementari (compreso disaster recovery) Tutte le spese sostenute per cercare di evitare e/o

limitare l’impatto del sinistroInterruzione del servizio a causa di attacchi DoS Le spese sostenute per rimettere in funzione i sistemiPerdita di profitto Recupero del mancato utile della BancaSpese di ricostruzione dell’immagine Le spese sostenute dalla Banca per ristabilire la propria

immagine nei confronti di clienti e partners (comunicazione)

9

Coperture particolari

• Conseguenze di Virus (massimali limitati)

• Conseguenze di azioni ricattatorie (bombe logiche)

10

Costi delle coperture: calcolo del premio

Non ci sono sufficienti elementi statistici checonsentano di poter stimare il rischionell’ambito dei grandi numeri.

L’assicuratore calcola il premio e determina i massimali assicurabili e le franchigie, dopo un’ attenta analisi dei rischi ed un audit di sicurezza.

11

La valutazione

La valutazione dell’assicuratore tenderà principalmente ad analizzare:

L’organizzazione dei sistemi informatici Il controllo che i sistemi informatici esercitano

sull’attività della Banca Le politiche di sicurezza della Banca

E ciò per valutare la capacità della Banca a: conoscere e comprendere i propri rischi gestire i propri rischi secondo le necessità reagire in modo adeguato a situazioni impreviste ed a

nuovi rischi.

12

Grazie!

pgiudice @ clusit.it

349 776 8882