Il provvedimento della Banca D'Italia · coinvolgimento vertici aziendali visione integrata dei...

Il provvedimento della Banca D'Italia:Sintesi dei punti chiave

Romano Stasi

Segretario generale

ABI Lab – Centro di Ricerca e Innovazione per la BancaABI Lab – Centro di Ricerca e Innovazione per la Banca

• Nuove Disposizioni di Vigilanza Prudenziale di Banca d’Italia

– Principali elementi di attenzione per i capitoli 8 e 9

• Attività ABI Lab a supporto dell’adeguamento e della GAP Analysis

Agenda

115/04/2014

Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaAggiornamento Titolo V: struttura del documento

Capitolo 7: Il sistema dei controlli interni

• Sezione I: Disposizioni preliminari e principi generali

• Sezione II: Il ruolo degli organi aziendali

• Sezione III: Funzioni aziendali di controllo

• Sezione IV: Esternalizzazione di funzioni aziendali (Outsourcing) al di fuori del gruppo bancario

• Sezione V: Il RAF, il sistema dei controlli interni e l’esternalizzazione nei gruppi bancari

• Sezione VI: Imprese di riferimento

• Sezione VII: Succursali di banche comunitarie e di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci o in quelli inclusi in un elenco pubblicato dalla Banca d’Italia

• Sezione VIII: Informativa alla Banca d’Italia

Capitolo 8: Sistema informativo

• Sezione I: Disposizioni di carattere generale

• Sezione II: Governo e organizzazione del sistema informativo

• Sezione III: L’analisi del rischio informatico

• Sezione IV: La gestione della sicurezza informatica

• Sezione V: Il sistema di gestione dei dati

• Sezione VI: L’esternalizzazione del sistema informativo

Capitolo 9: Disposizioni in materia di continuità operativa

• Allegato A – Sezione I: Disposizioni di carattere generale

• Allegato A – Sezione II: Requisiti per tutti gli operatori

• Allegato A – Sezione III: Requisiti particolari per i processi a rilevanza sistemica

ABI Lab – Centro di Ricerca e Innovazione per la Banca 215/04/2014

� Principi di fondo della normativa:

� coinvolgimento vertici aziendali

� visione integrata dei rischi

� efficienza ed efficacia dei controlli

� applicazione delle norme in funzione della dimensione e della complessità operativa

� Principali elementi di novità – focus capitoli 8 e 9 � Definizione dei compiti e delle responsabilità degli organi aziendali con funzione di supervisione

strategica, gestione e controllo.

� Introduzione di una disciplina in materia di esternalizzazione delle funzioni aziendali e del sistema

informativo

� Con riferimento al capitolo 8 sui sistemi informativi, la disciplina è stata integralmente rivista, disciplinando:

� governance e organizzazione del sistema informativo

� gestione del rischio informatico

� requisiti per assicurare la sicurezza informatica e il sistema di gestione dei dati.

� presidi di sicurezza per l’accesso a sistemi e servizi critici tramite il canale internet, recependo le raccomandazioni della BCE in materia di sicurezza dei pagamenti in internet

� Con riferimento al capitolo 9 sulla continuità operativa, la normativa riorganizza le disposizioni

attualmente contenute in diverse fonti in un unico titolo del documento, introducendo le seguenti novità:

� ridefinisce le modalità di gestione delle crisi all’interno del sistema finanziario, definendo il processo di escalation

� formalizza il ruolo del CODISE, quale struttura di coordinamento presieduta da Banca d'Italia

Fon

te: F

on

te:

Co

mu

nic

ato

Sta

mp

a B

anca

d’I

talia

h

ttp

://w

ww

.ban

cad

ital

ia.it

/med

ia/c

om

sta/

20

13

/20

13

0703

_dis

p_v

ig.p

df

Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaAggiornamento Titolo V: principali evidenze


TEMPISTICHE DI ADEGUAMENTO

Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaVersione definitiva

Fon

te: F

on

te:

Co

mu

nic

ato

Sta

mp

a B

anca

d’I

talia

h

ttp

://w

ww

.ban

cad

ital

ia.it

/med

ia/c

om

sta/

20

13

/20

13

0703

_dis

p_v

ig.p

df

� Le disposizioni sono entrate in vigore il giorno di pubblicazione sul sito Internet della Banca d’Italia (3 luglio 2013)

� Secondo quanto riportato nella Circolare n.263 di Banca d’Italia, le banche:

� si conformano alle disposizioni inserite nel capitolo 8 entro il 1°febbraio

2015, in linea con quella fissata dalla BCE per le raccomandazioni in tema di pagamenti internet.

� si conformano alle disposizioni contenute nel capitolo 9 entro il 1°luglio

2014.

� adeguano i contratti di esternalizzazione del sistema informativo (Sezione VI) in essere alla data di entrata in vigore delle presenti disposizioni alla prima scadenza contrattuale e comunque entro tre anni dall’entrata in

vigore (1°luglio 2016).

� Entro il 31 gennaio 2014 i destinatari della disciplina:

� hanno inviato alla Banca d’Italia una relazione recante un’autovalutazione

della propria situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis). La relazione indica le misure da adottare e la

relativa scansione temporale per assicurare il pieno rispetto delle presenti disposizioni.

� hanno comunicato alla Banca d'Italia i contratti di esternalizzazione in

essere alla data di entrata in vigore delle presenti disposizioni e la relativa durata.


• INCIDENTE DI SICUREZZA INFORMATICA: qualsiasi evento che implica la violazione

(anche potenziale) delle norme e delle prassi aziendali in materia di sicurezza

informatica (es. frodi, malfunzionamenti, disservizi).

• GRAVE INCIDENTE DI SICUREZZA INFORMATICA: qualsiasi incidente di sicurezza informatica che comporti:

― perdite economiche elevate o prolungati disservizi per l’intermediario, oppure

― disservizi rilevanti sulla clientela e altri soggetti, in relazione al numero di clienti e controparti potenzialmente coinvolti e l’ammontare del rischio, oppure

― il rischio che la banca non possa più adempiere agli obblighi di legge o previsti dalla disciplina di vigilanza.

Tra i principali elementi di novità rispetto alla consultazione, si segnalano:

� il recepimento delle Recommendations for the security of internet payments emanate

dalla BCE il 31 gennaio 2013

� l’introduzione delle definizioni di

� la modifica della definizione di utente responsabile

la figura aziendale identificata per ciascun sistema o applicazione e che ne

assume formalmente la responsabilità, in rappresentanza degli utenti e nei

rapporti con le funzioni preposte allo sviluppo e alla gestione tecnica.

Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 8 – Sezione I – Disposizioni di carattere generale


Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 8 – Sezione II – Governo e organizzazione del sistema informativo


� Visibilità agli organi con funzioni di supervisione strategica e con funzione di gestione dei processi di gestione dell’ICT e della gestione dei sistemi informativi: è richiesta un’articolazione organizzativa della funzione ICT che abbia linee di riporto dirette con gli organi al livello dell’organo con funzione di gestione, per garantire l’unitarietà della visione generale e del rischio informatico

� Organizzazione del SI: la norma si pone l’obiettivo di chiarire i ruoli e le attività dei diversi organi aziendali e la loro relazione con un eventuale outsourcer cui sia affidata la gestione del sistema informativo, lasciando al contempo flessibilità organizzativa

� Indipendenza di giudizio della funzione di sicurezza informatica: sul fronte delle soluzioni tecniche, è importante che la funzione di sicurezza informatica mantenga indipendenza di giudizio rispetto alle funzioni operative nell’espletamento dei compiti assegnati. A tal fine, il dialogo interfunzionale dovrebbe essere improntato a favorire la sinergia delle rispettive competenze pur rispettando l’indipendenza nelle valutazioni

POSSIBILI LINEE DI AZIONE

� Assegnazione ruoli e responsabilità (OFSS, OFG, Sicurezza Informatica, Compliance ICT,

ICT Audit)

� Definizione flussi informativi e coinvolgimento organi e strutture competenti per

approvazione attività e controlli

� Definizione struttura organizzativa funzione ICT

PRINCIPALI EVIDENZE

� Coordinamento dei diversi attori coinvolti – Risk Management, Sicurezza Informatica, IT, Utente e, dove previsto, Audit

� È importante prevedere una stretta collaborazione tra le funzioni preposte al governo della variabile informatica e la funzione di risk management/ORM

� La valutazione del rischio potenziale riguarda i nuovi progetti e le modifiche rilevanti al SI, mentre è prevista una valutazione integrativa per le procedure già in esercizio per le quali non è stata svolta l’analisi del rischio in fase di sviluppo

� Indipendenza e flessibilità dell’adeguamento rispetto alla struttura organizzativa definita dalla banca: i diversi attori potranno cooperare in modo funzionale agli obiettivi della normativa indipendentemente dall’assetto organizzativo definito

� Il ruolo dell’utente responsabile: è importante che nella valutazione del rischio e delle soluzioni di mitigazione sia garantito il giusto equilibrio tra il business e le figure con competenze tecniche

POSSIBILI LINEE DI AZIONE� Definizione obiettivi e metodologie di analisi del rischio informatico e correlazione con

l’analisi e la gestione del rischio operativo

� Identificazione della figura dell’utente responsabile

� Valutazione rischio potenziale/effettivo/residuo

Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 8 – Sezione III – L’analisi del rischio informatico


PRINCIPALI EVIDENZE

PRINCIPALI COMMENTI PROPOSTI IN FASE DI CONSULTAZIONE

� Promuovere una stretta collaborazione tra l’owner del rischio informatico e la funzione di risk

management/Operational risk management (ORM)

� Definire modalità strutturate per interagire con la funzione di risk management, al fine di integrare le valutazioni di carattere tecnologico nel più ampio processo di gestione e analisi del rischio operativo, così come metodologicamente definito da Basilea II e dalle prassi gestionali in campo ORM.

INDICAZIONI BANCA D’ITALIA

• Evidenziata l’importanza di una stretta collaborazione tra utente responsabile e la funzione RM

→ Utente responsabile: collabora all’analisi del rischio di uno specifico sistema di competenza, con l’obiettivo principale dell’individuazione dei presidi di sicurezza da applicare per ottenere un livello di rischio accettabile rispetto alle esigenze del business

→ Funzione di risk management : gestisce il rischio informatico con un’ottica di secondo livello.

� Condivisa l’opportunità di integrare le metodologie dei framework adottati e di sfruttare le

sinergie a livello operativo tra la funzione di risk management e il personale specialistico che collabora alle attività di analisi del rischio informatico.

� Non sono state fornite indicazioni di dettaglio sui modelli di valutazione del rischio e di reporting

da adottare.


Focus Sezione III – L’analisi del rischio informaticoInterazioni tra rischio informatico e rischi operativi

Fon

te: I

nte

rven

to B

anca

d’I

talia

-se

min

ario

AB

I Fo

rmaz

ion

e d

el 2

4 s

ette

mb

re 2

01

3

RELAZIONE TRA RAF e RISCHIO ICT


Correlazione Rischio Informatico – Rischio Operativo

� Sono esplicitate le attività in carico alla Sicurezza Informatica, che concorre, tra l’altro, al processo di analisi del Rischio Informatico

� È stata svolta l’opera di armonizzazione richiesta delle Disposizioni con altre normative già

emanate in materia, quali:

� le raccomandazioni BCE in materia di sicurezza dei pagamenti internet

� il Provvedimento dell’Autorità Garante per la Protezione dei Dati Personali in materia di circolazione delle informazioni e tracciamento delle operazioni

� le riflessioni in atto in materia di data e information governance

al fine di ridurre la complessità in fase di adeguamento e non creare disallineamenti operativi

� Analogamente a quanto indicato nel Capitolo 9 per quanto attiene la continuità operativa, viene prevista una procedura di escalation attraverso la quale valutare la gravità degli

incidenti di sicurezza informatica e individuare di conseguenza le funzioni a cui comunicare

l’incidente


� Processo di redazione e approvazione policy sicurezza informatica

� Gestione delle operazioni critiche

� Prevenzione/gestione degli incidenti di sicurezza informatica

� Interventi tecnologici per il presidio della sicurezza

Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 8 – Sezione IV – La gestione della sicurezza informatica


PRINCIPALI EVIDENZE

* B

anch

e, is

titu

ti d

i pag

amen

to, i

stit

uti

di m

on

eta

elet

tro

nic

a, P

ost

e e

tram

ite

app

osi

te c

lau

sole

co

ntr

attu

ali a

nch

e ag

li o

uts

orc

er c

oin

volt

i

OBIETTIVO GENERALE• Definire i requisiti minimi indirizzati a PSP*, Autorità di governo di schemi e sistemi di pagamento ed e-

merchant, da applicare nell’erogazione di pagamenti tramite cards, credit transfers, e-mandate ed e-money

STRUTTURA del DOCUMENTO• Le 14 Recommendations sono organizzate in 3 categorie:

• Controlli generali (Racc. 1-5);

• Controlli specifici e misure di sicurezza per i pagamenti internet (Racc. 6-11);

• Comunicazione con la clientela e customer awareness (Racc. 12-14);

composte da Key Considerations e Best Practices.

IMPATTI PER LE BANCHE• Secondo quanto previsto dai principi guida fondanti le raccomandazioni, sono previste le seguenti attività:

• Realizzazione di un assessment specifico dei rischi connessi all’offerta dei servizi di pagamento online (fornite indicazioni di carattere organizzativo e operativo);

• Introduzione di strumenti di strong authentication in fase di accesso ai servizi on line;• Implementazione di procedure efficaci in merito all’autorizzazione e monitoraggio delle transazioni per

identificare comportamenti anomali e prevenire le frodi;• Promozione di iniziative di sensibilizzazione della clientela.

TEMPI DI IMPLEMENTAZIONE

• A livello nazionale, le raccomandazioni sono recepite da Banca d’Italia e inserite nelle Nuove Disposizioni di

Vigilanza Prudenziale.

• La scadenza per il recepimento è prevista per il 1 febbraio 2015


Focus sulle Raccomandazioni BCE in materia

di sicurezza dei pagamenti Internet 1/2

FOCUS – LA DEFINIZIONE di STRONG AUTHENTICATION

• Uno degli elementi su cui è necessario puntare l’attenzione riguarda la definizione

adottata di “strong authentication” che include anche i requisiti di non-reusabilità e non

replicabilità di almeno uno dei mezzi utilizzati.

• Nella KC 7.1, sono stati al contempo elencati esplicitamente i casi in cui i PSP possono adottare misure alternative di autenticazione della clientela:

� pagamenti verso beneficiari sicuri, precedentemente inseriti in apposite white list;

� transazioni tra due account dello stesso cliente presso lo stesso PSP;

� trasferimenti all’interno dello stesso PSP giustificati dalla risk analysis;

� pagamenti di importi ridotti, come previsto nella PSD.

“Second, as a general principle, the initiation of internet payments as well as access to sensitive payment data

should be protected by strong customer authentication. For the purpose of this report, sensitive payment data are

defined as data which could be used to carry out fraud. […]

Strong customer authentication is a procedure based on the use of two or more of the following elements –

categorised as knowledge, ownership and inherence: i) something only the user knows, e.g. static password, code,

personal identification number; ii) something only the user possesses, e.g. token, smart card, mobile phone; iii)

something the user is, e.g. biometric characteristic, such as a fingerprint. In addition, the elements selected must

be mutually independent, i.e. the breach of one does not compromise the other(s). At least one of the elements

should be non-reusable and non-replicable (except for inherence), and not capable of being surreptitiously stolen

via the internet. The strong authentication procedure should be designed in such a way as to protect the

confidentiality of the authentication data”


Focus sulle Raccomandazioni BCE in materia

di sicurezza dei pagamenti Internet 2/2

� A livello aziendale viene prevista la definizione di uno standard di data governance, individuando ruoli e responsabilità delle funzioni coinvolte nel trattamento e la gestione dei dati

� Il processo di gestione dei rischi, la cui definizione è a cura dell’organo con funzione di gestione, comprende le fasi di identificazione, misurazione, valutazione, monitoraggio, prevenzione o attenuazione dei rischi connessi con la qualità dei dati

� È necessario documentare e presidiare le procedure inerenti la gestione e l’aggregazione dei dati, i processi di acquisizione di dati da information provider e le procedure di estrazione dei dati, di trasformazione, controllo e caricamento negli archivi centrali


� Definizione e approvazione standard di data governance

� Correlazione gestione dati con gestione rischi

Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 8 – Sezione V – Il sistema di gestione dei dati


PRINCIPALI EVIDENZE

Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 8 – Sezione VI – L’esternalizzazione del sistema informativo

� Outsourcing extragruppo: l’esternalizzazione completa o parziale del sistema informativo al di fuori del gruppo deriva da una scelta aziendale basata sull’analisi del rischio.

� Previsione di exit strategies: potrebbe apparire complessa nelle realtà di più piccole dimensioni, per cui andrebbe vista come capacità della banca di poter definire adeguatamente con l’outsourcer

� flussi informativi

� livelli di servizio

� policy di sicurezza

� clausole di recesso

� Outsourcing infragruppo: alla luce delle operazioni di razionalizzazione delle attività all’interno dei gruppi bancari che ha portato alla creazione di società strumentali, le previsioni in materia di esternalizzazione si applicano solo al caso di affidamento di attività all’esterno del gruppo


� Analisi criteri di esternalizzazione

� Analisi requisiti contratto di fornitura di Sistemi e Servizi ICT


PRINCIPALI EVIDENZE

� Il documento integra diverse normative già esistenti in un unico quadro, un capitolo all’interno del quale sono inserite, in un allegato, le nuove disposizioni. Più in dettaglio:

Capitolo 9: Disposizioni in materia di continuità operativa

• Allegato A – Sezione I: Disposizioni di carattere generale

• Allegato A – Sezione II: Requisiti per tutti gli operatori

• Allegato A – Sezione III: Requisiti particolari per i processi a rilevanza sistemica

STRUTTURA DEL CAPITOLO

destinatari della nuova disciplina

nuove definizioni e terminologie

precedentemente disciplinata nel 2007

precedentemente disciplinata nel 2004

Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 9 – Integrazione del tema della continuità operativa


PRINCIPALI EVIDENZE

� Viene infatti previsto, a differenza del testo precedente, che in caso di incidente si comunichi quanto accaduto e le relative conseguenze che hanno impattato la banca alle strutture preposte alla dichiarazione dello stato di emergenza.

� Per molte realtà, tuttavia, sarà

necessario del tempo per recepire questa novità.

� La principale novità delle nuove Disposizioni è l’introduzione del tema dell’Incident Management nella normativa, che raccoglie un’esigenza nata già in alcune banche per ottimizzare l’efficacia del Business Continuity Plan e oggetto di molte progettualità.

Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 9 – Integrazione fra Incident e Crisis Management


PRINCIPALI EVIDENZE

� Le previsioni relative ai processi a rilevanza sistemica si applicano solo ad alcuni

soggetti, caratterizzati da particolare rilevanza per il mercato.

� A seguito dell’emanazione delle nuove Disposizioni, ci si attende un nuovo flusso di

comunicazioni nominative che confermi i soggetti tenuti all’osservanza di tali requisiti.

Soggetti

2 … N

1

3

…

N

2

XX

XX

X

X X

X

Se

rviz

i

1 3

� Per maggiore chiarezza, Banca d’Italia indicherà a ciascun operatore i processi a rilevanza sistemica di pertinenza.

Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 9 – Processi a rilevanza sistemica


PRINCIPALI EVIDENZE

� È stata introdotta una novità nella modalità di valutazione dei tempi di

ripartenza: in particolare il rispetto dei tempi prefissati decorre dalla

dichiarazione dello stato di crisi. Questo rappresenta una discontinuità forte

con impatti procedurali, che richiederà alle banche di lavorare sui processi

decisionali per potersi adeguare.

� Tale previsione riguarda normativamente i soli processi a rilevanza sistemica.

� Per una maggiore chiarezza espositiva, sono state inserite nella normativa delle definizioni dei diversi tempi contemplati dalle Disposizioni.

� È stato disciplinato il caso di blocco dei processi a rilevanza sistemica degli altri operatori che determinano a cascata il blocco dei processi a rilevanza

sistemica della banca. Il tempo di ripartenza per questi ultimi è di due ore.

Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 9 – Tempi di ripristino


PRINCIPALI EVIDENZE

� Aggiornamento del piano di continuità operativa: in carico all’Organo con funzione di gestione, è rilevante aggiornare il piano di CO alla luce delle innovazioni dal punto di vista organizzativo, tecnologico e infrastrutturale. Il responsabile del piano di CO è incaricato di verificare l’adeguatezza del piano con cadenza almeno annuale.

� Revisione dell’analisi di impatto: alla luce di quanto previsto dalle Nuove Disposizioni, risulta strategica un’attenta e dettagliata attività di revisione della Business Impact Analysis.

� Fornitori critici: è in atto un notevole sforzo da parte delle banche per coinvolgere i fornitori critici in un processo di condivisione e scambio di informazioni. Questo ambito si conferma complesso da portare a termine.

Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 9 – Ulteriori spunti


PRINCIPALI EVIDENZE

Il questionario di Gap AnalysisCapitolo 8 – Il sistema informativo


Agenda

2115/04/2014

• Nuove Disposizioni di Vigilanza Prudenziale di Banca d’Italia

– Principali elementi di attenzione per i capitoli 8 e 9

• Attività ABI Lab a supporto dell’adeguamento e della GAP Analysis

� Realizzazione di un documento con osservazioni e commenti a supporto della lettura e della

comprensione del testo delle disposizioni, al fine di evidenziare i principali punti da considerare in

fase di adeguamento e i relativi impatti.

1. Redazione di un COMMENTARIO

Output 1: Foglio

di lavoro

Output 2:

Documento di

sintesi

Ma

teri

ale

dis

po

nib

ile

su

l p

ort

ale

AB

I La

b


Le attività a supporto dell’analisi delle disposizioniCommentario e foglio di lavoro

ABI Lab – Centro di Ricerca e Innovazione per la Banca 23

A seguito degli ultimi incontri e discussioni sul tema, è stato revisionato il commentario, diffuso al gruppo di lavoro nel mese di novembre. È disponibile, sul portale ABI Lab, la versione definitiva.

Nel documento sono inserite tutte le disposizioni presenti nella Circolare 263: alcuni degli aspetti di novità sono stati approfonditi e commentati da chi ha partecipato all’attività di prima stesura del documento.

Ringraziamo i partecipanti al tavolo di lavoro che hanno contribuito alla realizzazione del commentario attraverso l’invio di commenti e feedback che sono stati raccolti e integrati da ABI Lab.


Il commentario alle DisposizioniLa versione finale

� A supporto della realizzazione dell’attività di gap analysis, può essere utile individuare i principali filoni progettuali di adeguamento e le attività previste per ciascuno di essi.

2. Individuazione MACRO FILONI PROGETTUALI

I MACRO PROGETTI INDIVIDUATI

� I Macro Progetti individuati verranno ripresi e analizzati nelle slide successive riguardanti il questionario

di Gap Analysis (pubblicato sul sito di Banca d’Italia) per considerazioni specifiche su singoli item.

Ma

teri

ale

dis

po

nib

ile

su

l p

ort

ale

AB

I La

b


Le attività a supporto dell’analisi delle disposizioniI filoni progettuali di riferimento

Ma

teri

ale

dis

po

nib

ile

su

l p

ort

ale

AB

I La

b


Ambiti di aggregazione progettualeCapitolo 8


Ambiti di aggregazione progettualeCapitolo 9

Ma

teri

ale

dis

po

nib

ile

su

l p

ort

ale

AB

I La

b

CLASSIFICAZIONE DELLE MINACCE

Scenario*

Minaccia

*5 scenari individuati: Cause organizzative – Errori umani –

Guasti tecnici – Atti intenzionali – Eventi esterni disastrosiL2 correlati

Asset

Fon

te: S

icu

rezz

a in

tegr

ata

in b

anca

, AB

I Lab

, 20

07


Approfondimento su gestione del rischio di sicurezzaCorrelazione tra minacce – rischio informatico – rischio operativo

Il provvedimento della Banca D'Italia · coinvolgimento vertici aziendali visione integrata dei...

Documents

Transcript of Il provvedimento della Banca D'Italia · coinvolgimento vertici aziendali visione integrata dei...