• +02 8739 6605
  • info@eps-italia.com

Tag Archives: elettronici

pagamenti sicurezza

Normativa sui pagamenti elettronici: cambiamenti per le banche

Le norme previste dalla Circ. 285/13 sono orientate verso la sensibilizzazione delle banche riguardo ai rischi per se stesse e per i propri clienti; queste tengono conto di quanto previsto dal D. Lgs. 231/2001 e delle norme sulla Privacy, sulla circolazione delle informazioni in ambito bancario, sul tracciamento delle operazioni bancarie, sulle misure e sugli accorgimenti prescritti ai titolari di quei trattamenti effettuati tramite strumenti elettronici, sulle attribuzioni delle funzioni di amministratore di sistema e su quanto previsto dal TU in materia di Sicurezza sul Lavoro.

L’EBA ha emanato gli “Orientamenti finali sulla sicurezza dei pagamenti via Internet”: sollecitano ad adeguarsi entro il 30 settembre, così da comunicare i cambiamenti messi in atto a Banca d’Italia entro il 31 ottobre.

Gli aggiornamenti n.15 e n.16 della Circ. 285/15 sono mirati a ridefinire il quadro normativo del sistema informatico; di conseguenza sono da revisionare:

  • Aspetti documentali, ovvero lo sviluppo della documentazione interna della banca;
  • Aspetti tecnici, cioè le analisi dei report forniti dai sistemi informativi interni o dall’outsourcer;
  • Esecuzione di test sui sistemi informativi volti a verificare il rispetto della legge.

In caso di verifica esterna, suggeriamo di facilitare la consultazione dei documenti tramite l’inserimento di capitoli specifici che descrivano l’organizzazione, il sistema dei controlli della banca, l’organizzazione dell’ICT e il presidio dei rischi informatici.

Invitiamo inoltre a svolgere un’attività di audit volta a evidenziare la situazione complessiva: talvolta le banche si affidano ai soli outsourcers, i quali garantiscono controlli SOLO a livello tecnologico.

Al fine di svolgere in modo adeguato i controlli previsti, consigliamo di considerare quelle norme emesse da COBIT, ISACA, ITCI (IT Compliance Institute), IIAA, oltre a quanto previsto in tema di sicurezza informatica da ISO 27002.

Segnaliamo, infine, che gli aspetti riguardanti la Continuità Operativa, affrontati all’interno del Cap.5 dell’Agg.15 della Circ. 285/13, devono risultare oggetto di una documentazione specifica interna alla banca: approfondiremo la questione nei prossimi articoli.

 

L’aggiornamento 16 della Circ. 285/13

Per risultare conformi alle disposizioni dell’Agg.16 della Circ. 285 “Disposizioni di vigilanza per le banche” di Banca D’Italia, dobbiamo mantenere e aggiornare una Policy di sicurezza informatica: questa deve essere approvata dall’organismo destinato alla supervisione strategica e comunicata sia al personale, sia alle terze parti coinvolte nella gestione delle informazioni o delle componenti del sistema informativo.

 

La Policy deve riportare:

  • Obiettivi del processo di gestione di sicurezza informatica, in modo che siano allineati con la propensione al rischio informatico definito a livello aziendale ed espressi in termini di esigenze di protezione e di controllo del rischio tecnologico;
  • Principi generali di sicurezza concernenti l’utilizzo e la gestione del sistema informativo da parte dei diversi profili aziendali;
  • Ruoli e responsabilità connessi alla funzione di sicurezza informatica, all’aggiornamento e alla verifica delle policy;
  • Quadro di riferimento organizzativo e metodologico, definito in maniera tale da garantire l’appropriato livello di protezione dei processi di gestione dell’ICT,;
  • Linee d’indirizzo per le attività di comunicazione, formazione e sensibilizzazione delle diverse classi di utenti;
  • Revisione delle norme interne, così da riconsiderare le conseguenze di eventuali violazioni da parte del personale;
  • Richiamo delle norme di legge e delle altre normative esterne, affinché risultino coerenti alla sicurezza di informazioni e risorse ICT.

Ricordiamo che la policy di Sicurezza informatica deve contenere quanto previsto dal documento “ABE – Orientamenti finali sulla sicurezza dei pagamenti via Internet”.

Infine, consigliamo di rivedere anche i seguenti documenti:

  • Procedura di gestione degli incidenti;
  • Procedura di gestione dei cambiamenti,

 

e di disporre di una Brochure da distribuire ai clienti, da riportare tra le risposte ABE.

 

Sara Ciprian

Enrico Ciprian

EM-Risk

Marketing
1

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi