Sicurezza

La sicurezza interviene per evitare che avvenimenti, non voluti o inattesi, possano determinare una compromissione delle caratteristiche di riservatezza, integrità o disponibilità dei dati oppure provocarne l'interruzione o il degrado dei livelli di servizio attesi, compromettendo il regolare svolgimento dell'operatività e del business aziendale.

Particolare rilevanza per Iccrea Banca è garantire la sicurezza (business continuity) ed il pronto ripristino dell'operatività in caso di guasti, malfunzionamenti ed impedimenti vari, argomenti oggetto di attenzione da parte delle Autorità di vigilanza.

In un mondo sempre più a portata di mouse, dove la possibilità di operare in un sistema finanziario globale rientra tra le attività ordinarie della banca e dei suoi clienti, l'assicurazione circa il perfetto funzionamento dei servizi offerti ricopre infatti un ruolo prioritario.



Un sistema di fasi continue e iterattive a servizio delle BCC

Iccrea Banca ha realizzato il proprio sistema di continuità operativa che, conformemente a quanto stabilito da Banca d'Italia con le disposizioni del 4 novembre 2004 (Linee guida per la continuità di servizio delle infrastrutture qualificate dei sistemi di pagamento) e in linea con le politiche definite dal C.d.A., si sviluppa attraverso una sequenza continua e iterativa delle fasi:

Analisi dei requisiti di continuità

Viene analizzato l’impatto (economico, normativo, di immagine) di predefiniti scenari di disastro su tutti i processi aziendali, individuando fra l’altro i requisiti di sicurezza espressi in termini di tempi di ripartenza (cosiddetto RTO) e massimo intervallo temporale di perdita dati (cosiddetto RPO).

Definizione e continuo aggiornamento delle strategie per la continuità

Vengono progettate e realizzate le misure tecnologiche ed organizzative idonee a garantire una adeguata capacità di resistenza ai previsti scenari di disastro. Dette misure sono articolate in quattro principali sottosistemi: DRP per le tecnologie informatiche (siti alternativi per l’elaborazione dati); HRRP per le risorse umane (gestione delle risorse chiave); ORP per la logistica (servizi generali e gestione degli spazi di lavoro); EARP per i rapporti con i soggetti esterni (procedure di comunicazione, raccordo e coordinamento). Per i processi vitali e critici sono anche definite misure organizzative più specifiche (cosiddette procedure amministrative di recovery) che comprendono, ove possibile, misure di contingency (procedure da applicare in attesa del recovery).

Sviluppo e gestione di procedure di risposta agli incidenti

Sono state dettagliatamente documentate le modalità di rilevazione degli incidenti, di gestione delle fasi di recovery e di ritorno alla normalità per ogni condizione specifica di disastro da gestire.

Esercizio e continua revisione del sistema

Sono state definite misure idonee ad assicurare il mantenimento nel tempo delle funzionalità del sistema realizzato tramite una continua opera di revisione critica e adeguamento all’evoluzione delle necessità del business.

Più in dettaglio, Iccrea dispone di due siti, primario e secondario, con diverso profilo di rischio (sismico, idrogeologico …) distanti circa 12 km e interconnessi attraverso sistemi informatici e fibre ottiche ridondate, capaci di garantire l’aggiornamento degli archivi presenti, nei due siti, in modalità sincrona (RPO uguale a zero). I siti sono dotati di infrastrutture di servizio opportunamente ridondate per l’alimentazione elettrica, per il condizionamento, per il controllo accessi e di spazi attrezzati per lo svolgimento di funzioni amministrative. 

Dato il particolare ruolo di Istituto Centrale della Categoria delle Banche di Credito Cooperativo, il sistema è sottoposto a un robusto piano di test annuali che coinvolgono tutte le componenti del sistema di continuità (tecnologie, logistica, risorse umane, rapporti con soggetti esterni) oltre che le principali strutture esterne di servizio e raccordo con le Banche di Credito Cooperativo. 

Dal punto di vista organizzativo l’Iccrea si è dotata di:

  • una struttura che assicura la gestione del BCP e dei relativi sottosistemi (tecnologie, logistica, risorse umane, …), tramite la puntuale assegnazione delle connesse responsabilità di gestione e sviluppo;
  • un comitato di indirizzo e controllo per le tematiche “Sicurezza e Continuità Operativa”, presieduto dal VDG vicario e composto dai responsabili delle aree di business oltre che dei responsabili dei sottosistemi del BCP e della revisione interna; 
  • un comitato preposto alla gestione della crisi.

L’intero sistema è certificato conforme allo standard UNI EN ISO 22301:2014 (certificato n°45390 rilasciato dall’ente certificatore CSQA), oltre ad essere sottoposto ad attività sistematiche di verifica da parte della Funzione di Internal Audit.



Informazioni finanziarie per la continuità operativa

Banca d'Italia, nella sezione pubblica del proprio sito, ha realizzato un'area nella quale raccoglie le informazioni sulla continuità di servizio della Piazza Finanziaria Nazionale.

In tale contesto, sono riportate informazioni sulle attività condotte dallo specifico gruppo di lavoro (CO.DI.SE.), i collegamenti alle normative emesse dalle funzioni di vigilanza ed inoltre è possibile, tramite il seguente link, raggiungere le sezioni pubbliche dei siti rilevanti per la continuità operativa del settore finanziario nazionale (CONSOB, banche, infrastrutture, Protezione civile, ecc.): 

Sito ufficiale Co.di.se Banca d'Italia