Rischio ICT nelle banche: il Comitato di Basilea richiama governance, resilienza operativa e controllo delle terze parti
Il Comitato di Basilea ha pubblicato il rapporto “Information and communication technology (ICT) risk management: range of practices”, dedicato alle pratiche di gestione del rischio ICT nel settore bancario.
Il documento si concentra su un profilo particolarmente rilevante per banche, intermediari e autorità di vigilanza: gli incidenti ICT non malevoli, ossia quegli eventi che non derivano necessariamente da attacchi cyber intenzionali, ma che possono comunque compromettere la continuità delle attività critiche e la qualità dei servizi erogati alla clientela.
Si tratta di un punto di attenzione sempre più importante. La trasformazione digitale del settore bancario, la crescente dipendenza da infrastrutture tecnologiche complesse, l’utilizzo di servizi cloud, l’esternalizzazione di attività critiche e l’integrazione di nuove tecnologie rendono il rischio ICT una componente essenziale del più ampio sistema di gestione del rischio operativo.
Il rapporto evidenzia che gli incidenti ICT non malevoli possono avere impatti significativi sui servizi bancari. Tra le cause più ricorrenti vengono richiamate le carenze nel change management, le debolezze nella progettazione, nello sviluppo e nel testing dei sistemi, i problemi di capacità e performance e i fallimenti operativi di fornitori esterni.
Il change management rappresenta una delle aree più delicate. Modifiche a sistemi, configurazioni, applicazioni o infrastrutture, se non adeguatamente autorizzate, testate e monitorate, possono determinare disservizi anche rilevanti. La complessità crescente degli ambienti ICT, spesso caratterizzati dalla compresenza di sistemi legacy, architetture moderne e servizi di terze parti, rende indispensabile rafforzare i presìdi di controllo prima, durante e dopo il rilascio delle modifiche.
Il Comitato di Basilea richiama, in particolare, l’importanza di procedure formalizzate, approvazioni preventive, valutazioni di rischio, piani di rollback, test in ambienti quanto più possibile simili alla produzione, verifiche post-implementazione e tracciabilità delle modifiche. Tecniche come rilasci progressivi, canary release, feature flag e strategie di contenimento dell’impatto possono contribuire a ridurre il rischio di interruzioni estese.
Un secondo profilo riguarda la qualità dei processi di sviluppo e testing. Requisiti ICT non adeguatamente definiti, ambienti di test non coerenti con quelli di produzione, controlli insufficienti sul ciclo di vita del software e difetti non rilevati possono generare malfunzionamenti difficili da correggere e tempi di ripristino prolungati. Per questo assumono rilievo il project management, il secure coding, le verifiche sul codice, il dependency mapping e l’integrazione dei controlli di resilienza fin dalla fase di progettazione.
Il rapporto dedica inoltre attenzione alla business continuity e al disaster recovery. Le banche sono chiamate a testare in modo sistematico la capacità di continuità dei servizi critici, includendo scenari come guasti di rete, indisponibilità di data center, blackout, problemi di data recovery, indisponibilità del personale e interruzioni presso fornitori tecnologici. Non basta disporre di piani documentati: occorre verificarne concretamente l’efficacia, anche attraverso simulazioni, esercitazioni e test su scenari realistici.
Centrale è anche il tema dell’incident management e problem management. Le banche più mature adottano processi strutturati per classificare gli incidenti, attivare escalation, contenere gli impatti, comunicare con gli stakeholder, individuare le cause radice e tracciare le azioni correttive. Il rapporto segnala inoltre una crescente integrazione tra incident management, problem management e change management, così da ridurre la probabilità che gli stessi problemi si ripetano nel tempo.
Un ulteriore ambito critico è rappresentato dalle terze parti. La dipendenza da fornitori tecnologici, cloud provider, data center e altri prestatori di servizi ICT può generare rischi di concentrazione e vulnerabilità lungo la catena di fornitura. Il Comitato di Basilea richiama l’importanza di una gestione rafforzata del rischio di terze parti, basata su due diligence, monitoraggio continuo, audit, clausole contrattuali adeguate, obblighi di notifica, portabilità dei dati, exit strategy e valutazione delle dipendenze indirette.
La sfida non riguarda solo i fornitori diretti, ma anche le cosiddette nth parties, ossia i subfornitori e gli ulteriori livelli della catena tecnologica. La limitata visibilità su tali relazioni può rendere più complesso comprendere dove si trovino i punti di concentrazione e quali siano i possibili effetti a cascata in caso di interruzione.
Il rapporto affronta anche il ruolo dell’automazione, dell’intelligenza artificiale e degli strumenti di monitoraggio avanzato. AI e machine learning possono supportare la rilevazione predittiva di anomalie, l’analisi delle cause, il miglioramento della copertura dei test e la gestione dei cambiamenti. Tuttavia, il Comitato evidenzia la necessità di mantenere un adeguato livello di controllo umano, soprattutto nelle decisioni critiche e nei contesti caratterizzati da elevata complessità.
La gestione del rischio ICT viene quindi rappresentata come un tema non solo tecnico, ma organizzativo e di governance. Il board e il senior management devono essere coinvolti nella definizione delle strategie ICT, nell’approvazione delle policy, nella determinazione della propensione al rischio, nel monitoraggio degli indicatori chiave e nell’allocazione delle risorse necessarie.
In questo senso, il rapporto si inserisce in un percorso più ampio di rafforzamento della resilienza operativa digitale, particolarmente rilevante anche nel contesto europeo segnato dall’applicazione di DORA. Per banche e intermediari, il presidio del rischio ICT richiede un approccio integrato, in grado di collegare tecnologia, processi, funzioni di controllo, fornitori, continuità operativa e cultura del rischio.
La conclusione è netta: gli incidenti ICT non malevoli possono essere altamente disruptivi e incidere sulla stabilità operativa delle banche. Prevenirli e gestirli efficacemente richiede framework robusti, responsabilità chiare, competenze adeguate, test continui, controllo delle terze parti e capacità di apprendere dagli eventi già verificatisi.
Il rischio ICT è ormai una componente strutturale della governance bancaria e della resilienza del sistema finanziario.
Fonte: Comitato di Basilea, “Information and communication technology (ICT) risk management: range of practices”, giugno 2026.
