Negli ultimi mesi, le entità finanziarie hanno lavorato intensamente per adeguarsi ai requisiti del Digital Operational Resilience Act (DORA), il regolamento dell’Unione Europea pensato per rafforzare la resilienza informatica del settore finanziario. Entro il 17 gennaio scorso, infatti, tutti gli operatori soggetti alla normativa hanno dovuto implementare un framework e una strategia di gestione del rischio ICT in linea con quanto previsto da DORA.
Mentre le organizzazioni finanziarie erano concentrate sull’attuazione dei programmi di conformità al DORA, l’Unione Europea ha introdotto un nuovo regolamento destinato a segnare una svolta: l’AI Act. In vigore dal 2 agosto 2024, questa normativa definisce un insieme di regole per garantire che i sistemi di intelligenza artificiale – soprattutto quelli considerati “ad alto rischio” – siano sicuri, affidabili e conformi ai più alti standard di tutela.
Sebbene i due regolamenti si riferiscano ad ambiti distinti, presentano numerosi punti in comune e perseguono un obiettivo condiviso: garantire la sicurezza delle nuove tecnologie. Le entità finanziarie dovrebbero pertanto prendere in considerazione gli obblighi derivanti dall’AI Act, che influenzano il framework di gestione del rischio ICT, e integrarli nei propri programmi di cybersecurity.
Cosa devono considerare le istituzioni finanziarie?
Per comprendere come interagiscono DORA e AI Act, immaginiamo un’entità finanziaria che adotta una soluzione di AI per la valutazione del merito creditizio o per la determinazione dei premi di assicurazione sanitaria. Questa tipologia di applicazioni è considerata ad alto rischio secondo l’AI Act (Allegato II). In questi casi, vi sono obblighi derivanti da entrambi i regolamenti che l’entità deve considerare e per cui deve prepararsi:
Conoscere i propri asset informativi
Una solida governance dei dati è la base per la conformità sia al DORA che all’AI Act. DORA richiede alle entità finanziarie di mappare gli asset ICT e informativi, in particolare quelli critici per le attività aziendali. Senza una chiara comprensione degli asset, non è possibile valutarne e mitigarne i rischi.
L’AI Act impone invece la mappatura dei dati che alimentano il sistema AI, l’implementazione di misure di sicurezza e la conformità al GDPR e alle norme dell’EBA in materia di concessione e monitoraggio dei prestiti. Una nuova direttiva sui prestiti al consumo introduce ulteriori requisiti sulla protezione dei dati. Ad esempio, per un sistema di credit scoring, è necessario tracciare dati su conti, storici dei pagamenti, utilizzo del credito e debiti residui. Una chiara visione degli asset informativi è il punto di partenza per garantire la conformità alle normative sull’utilizzo dei dati.
Valutare i rischi
DORA prevede una valutazione continua del rischio ICT e impone requisiti stringenti per la sua gestione. Parallelamente, l’AI Act richiede la valutazione dei rischi e degli obiettivi dei sistemi AI, per prevenire danni a utenti e infrastrutture. Nell’esempio del credit scoring, l’entità deve considerare i rischi digitali sia dal punto di vista del DORA che dell’AI Act: integrità e disponibilità dei dati, qualità dei dati, bias algoritmici, ecc. Tali aspetti sono fondamentali per la sicurezza, ma anche per garantire equità e rispetto dei diritti. Il sistema AI deve quindi rispettare gli standard di sicurezza e resilienza previsti da entrambi i regolamenti, integrando le valutazioni dei rischi ICT e AI.
Gestione del rischio nella supply chain
A causa della frammentazione dei fornitori, monitorare i rischi legati ai servizi di AI può essere complesso. DORA e l’AI Act prevedono regole stringenti per la gestione del rischio nella catena di fornitura. Con DORA, l’entità deve eseguire una due diligence ICT prima di contrattualizzare il fornitore della soluzione AI e gestire i rischi derivanti anche dai suoi subfornitori, di cui è responsabile. L’AI Act impone all’ente di utilizzare correttamente il sistema AI, monitorarne le performance e segnalare incidenti o rischi, anche se legati a fornitori terzi. È quindi fondamentale definire un framework di gestione del rischio dei terzi e pratiche di due diligence valide per entrambi i regolamenti.
Test e audit
Entrambi i regolamenti sottolineano l’importanza del monitoraggio continuo tramite test e audit. DORA richiede test di resilienza operativa digitale e audit regolari, mentre l’AI Act impone la validazione costante dei sistemi AI. Una soluzione di credit scoring deve essere testata per verificarne l’accuratezza e la tempestività in diverse condizioni operative. Questi test servono sia a rilevare eventuali vulnerabilità ICT, come previsto dal DORA, sia ad assicurare, come richiesto dall’AI Act, che il modello AI rimanga preciso e affidabile nel tempo.
Trasparenza e responsabilità
Due principi cardine delle normative digitali più recenti, a partire dal GDPR, sono trasparenza e accountability. Le entità finanziarie che utilizzano soluzioni di credit scoring devono applicare questi principi anche per la conformità al DORA e all’AI Act. DORA impone trasparenza nei processi di gestione dei rischi ICT e negli incidenti che possono impattare il sistema AI, mentre l’AI Act richiede trasparenza nell’utilizzo del sistema stesso. In entrambi i casi, l’entità è chiamata a rispondere. È quindi essenziale mappare, documentare, aggiornare e rendicontare tutti i processi ICT e AI, con una governance solida che permetta di rispettare questi principi.
Costruire una roadmap integrata tra DORA e AI Act
DORA e AI Act rappresentano due leve fondamentali per rafforzare la postura di sicurezza delle organizzazioni. Tuttavia, per raggiungere una vera resilienza informatica e garantire la conformità, è importante considerarli non come obblighi separati ma come elementi complementari di un unico framework. L’integrazione sin dalle fasi iniziali può risultare complessa.
In Sopra Steria, riteniamo che questa visione debba essere già parte della roadmap degli istituti finanziari. Per questo abbiamo sviluppato una strategia completa, dalla definizione all’implementazione, per consentire ai nostri clienti di:
- adottare un approccio normativo integrato;
- rafforzare la governance e la gestione del rischio ICT, integrando i requisiti di AI e DORA;
- sviluppare la documentazione e le procedure di due diligence, condurre audit e gestire il rischio di terze parti;
- definire una strategia di testing della resilienza e supportarne l’attuazione.
Il nostro approccio pratico è frutto del lavoro di un team multidisciplinare che unisce competenze in compliance e cybersecurity, valorizzando strumenti, framework e soluzioni già implementati in numerosi progetti legati al DORA.
Vuoi ricevere i nostri aggiornamenti sul mondo della tecnologia e suggerimenti su come digitalizzare il tuo business?
ISCRIVITI ALLA NOSTRA NEWSLETTER