La digitalizzazione ha trasformato in modo sostanziale lo scenario operativo delle istituzioni finanziarie, rendendo la resilienza digitale un imperativo strategico: in questo contesto, il Regolamento DORA (Digital Operational Resilience Act), introdotto dall’Unione Europea, rappresenta un passo significativo verso il rafforzamento della resilienza operativa nel settore finanziario.

Il Regolamento DORA si propone di stabilire un quadro normativo per garantire che le entità finanziarie siano in grado di resistere incidenti operativi e minacce informatiche.

L’intelligenza artificiale generativa (o GenAI) emerge come un potente alleato in questo processo, offrendo strumenti e soluzioni innovative per affrontare le sfide poste dalla resilienza digitale.

Punti cardine del Regolamento DORA

Il Regolamento DORA (Digital Operational Resilience Act) è una normativa europea che mira a potenziare la resilienza operativa digitale degli enti finanziari nell’Unione Europea.

Il Regolamento è entrato in vigore il 6 gennaio 2023 e sarà vincolante a partire dal 17 gennaio 2025. Molte delle disposizioni saranno attuate gradualmente nel corso degli anni sulla base delle norme tecniche di regolamentazione che devono ancora essere sviluppate.

Il Regolamento DORA si rivolge a una varietà di attori nel settore finanziario. In particolare, l’ambito di applicazione include:

1. enti creditizi (banche e istituzioni finanziarie che forniscono servizi di credito);
2. compagnie di assicurazione (assicuratori che operano nel settore della previdenza e della protezione);
3. OICVM e FIA (organismi di investimento collettivo in valori mobiliari – OICVM – e fondi di investimento alternativi – FIA);
4. fornitori di servizi finanziari (entità che offrono servizi connessi ai prodotti finanziari, sia di tipo bancario che assicurativo);
5. fornitori di servizi ICT (fornitori esterni che offrono soluzioni tecnologiche e servizi digitali, essenziali per la resilienza operativa delle istituzioni finanziarie).

Il Regolamento si pone l’obiettivo di garantire che gli attori coinvolti siano in grado di gestire i rischi legati alla tecnologia e anche in grado di rispondere in modo efficace agli incidenti operativi, assicurando così un sistema finanziario più resiliente e sicuro.

In maggior dettaglio, DORA intende perseguire i seguenti macro-obiettivi:

1. Resilienza operativa: garantire che gli enti coinvolti siano in grado di affrontare e risolvere incidenti legati alla sicurezza informatica e garantire il servizio a fronte di altre interruzioni operative.
2. Regolamentazione unificata: armonizzare le norme relative alla resilienza digitale in tutta l’Unione Europea per evitare disparità tra gli Stati membri.

Tali macro-obiettivi sono declinabili nei seguenti presidi prescritti dal Regolamento:

1. La gestione dei rischi ICT: obbligo di implementare un framework robusto per la gestione dei rischi legati alle tecnologie dell’informazione e della comunicazione.
2. I test di resilienza: necessità di condurre test regolari per valutare la propria resilienza operativa rispetto a eventi avversi, anche simulando attacchi informatici.
3. Segnalazione di incidenti: è fatto obbligo di riportare in modo tempestivo gli incidenti significativi alle autorità competenti per permettere un rapido intervento.
4. Soluzioni di monitoraggio: obbligo di implementare sistemi di monitoraggio per rilevare e gestire in tempo reale le vulnerabilità operative.

La GenAI offre significative opportunità per supportare la compliance al Regolamento DORA, dal momento che tale tecnologia utilizza algoritmi avanzati per generare contenuti, analisi e soluzioni.

Ecco alcune aree in cui l’AI generativa può essere efficacemente impiegata in rifermento agli adempimenti DORA.

Supporto all’automazione della valutazione del rischio

Con riferimento al Risk Management, il Regolamento DORA prescrive che le entità implementino un framework completo di gestione del rischio ICT (Information and Communication Technology), che comprenda politiche e procedure per identificare, valutare e mitigare i rischi legati all’ICT (rif. art. 5).

L’articolo 7 stabilisce che deve essere messa in atto una governance chiara e una struttura di gestione del rischio, compresa la responsabilità per la gestione dei rischi ICT a livello di consiglio di amministrazione.

I rischi ICT devono essere costantemente valutati per identificare, analizzare e valutare i rischi potenziali che possono influenzare le operazioni e definire le misure di mitigazione attraverso piani di continuità operativa per garantire che le operazioni possano continuare nonostante le interruzioni ICT, includendo procedure di recupero e gestione delle crisi (rif. art. 8 e 9).

Le misure di mitigazione sono finalizzate a garantire la resilienza operativa che deve essere perseguita anche attraverso test regolari (rif. art. 10) e la creazione di report periodici sulla gestione dei rischi ICT, inclusi gli incidenti avvenuti, le misure adottate e le lezioni apprese (rif. art. 11). Tutto ciò richiede la necessità di assicurare risorse adeguate in termini di personale, tecnologie e strumenti per gestire i rischi ICT in modo efficace (rif. art. 12).

Quanto sopra può essere efficacemente perseguito mediante un utilizzo appropriato delle tecnologie di GenAI.

L’uso della GenAI per la valutazione dei rischi operativi è un’area in crescita che offre numerosi vantaggi. L’AI generativa può analizzare enormi volumi di dati per identificare modelli di rischio e le vulnerabilità.

Utilizzando tecniche di apprendimento automatico, è possibile creare modelli predittivi che aiutino a valutare la probabilità di eventi operativi, come attacchi informatici o guasti sistemici.

Questa automazione non solo riduce il carico di lavoro umano, ma migliora anche l’accuratezza delle valutazioni, permettendo decisioni più informate e tempestive.

Ecco alcuni modi in cui la GenAI può supportare questo processo:

1. Analisi predittiva: GenAI può analizzare grandi quantità di dati storici per identificare modelli e tendenze che potrebbero indicare potenziali rischi operativi. Questo aiuta le aziende a prevedere e mitigare i rischi prima che si concretizzino.
2. Automazione del monitoraggio: utilizzando tecniche di machine learning, la GenAI può monitorare continuamente le operazioni aziendali in tempo reale, identificando anomalie o deviazioni dai normali standard operativi, che potrebbero segnare l’emergere di rischi.
3. Simulazione di scenari: la GenAI può generare scenari ipotetici per testare la resilienza di un’organizzazione di fronte a diversi eventi di rischio. Queste simulazioni possono aiutare nella pianificazione delle emergenze e nella preparazione a potenziali crisi.
4. Analisi dell’impatto: il modello può fornire valutazioni sull’impatto potenziale dei rischi identificati, consentendo decisioni più informate e priorità nell’affrontare i rischi più critici.
5. Miglioramento della comunicazione: GenAI può facilitare la creazione di report e presentazioni chiare sui rischi operativi, rendendo le informazioni più accessibili a tutti i livelli dell’organizzazione.
6. Supporto decisionale: l’AI può fornire raccomandazioni basate sui dati agli stakeholder su come affrontare determinati rischi, migliorando la qualità delle decisioni strategiche.
7. Formazione e consapevolezza: a questo livello, GenAI può supportare nella creazione di programmi di formazione personalizzati per sensibilizzare i dipendenti sui rischi operativi e sulle migliori pratiche per evitarli.

Test di resilienza, prevenzione e risposta agli incidenti

Un aspetto fondamentale nella valutazione del rischio e nell’assicurare un elevato livello di resilienza rispetto agli incidenti ICT ed operativi è la predisposizione di Scenari di simulazione che consentano di effettuare verifiche su casi specifici aderenti alla realtà operativa.

La capacità dell’AI generativa di simulare vari scenari consente alle istituzioni di condurre test di resilienza più efficaci. Attraverso la generazione di scenari realistici e complessi, le istituzioni possono prepararsi meglio agli incidenti operativi. Queste simulazioni possono essere utilizzate per formare il personale, testare le procedure di risposta e affinare le strategie di mitigazione del rischio.

In particolare, la GenAI può essere utilizzata per sviluppare modelli di machine learning in grado di identificare minacce avanzate persistenti (APT), che possono evolversi nel tempo e utilizzare tecniche sofisticate per infiltrarsi nelle reti.

La GenAI può migliorare le capacità di monitoraggio e rilevamento delle minacce, contribuendo a una risposta più rapida ed efficace agli incidenti. Attraverso l’analisi in tempo reale dei dati e l’identificazione di anomalie, le istituzioni possono attivare automaticamente protocolli di risposta e comunicare tempestivamente con le parti interessate. Questo approccio non solo riduce il tempo di inattività, ma migliora anche la resilienza complessiva.

L’intelligenza artificiale generativa (GenAI) sta emergendo come uno strumento fondamentale nella risposta agli incidenti di sicurezza. Nello specifico questa tecnologia può consentire le seguenti attività:

1. Analizzare i log di sistema e le anomalie di rete. Quando un potenziale incidente viene rilevato, l’AI può classificare automaticamente la gravità e il tipo dell’incidente, permettendo alle squadre di risposta di concentrarsi su quelli più critici.
2. Mettere in atto risposte automatizzate: ad esempio in caso di attacco DDoS (Distributed Denial of Service), GenAI può attivare automaticamente politiche di mitigazione, come il reindirizzamento del traffico o l’attivazione di firewall, riducendo il tempo di risposta e limitando i danni.
3. Analizzare grandi volumi di dati in tempo reale, identificando schemi che potrebbero indicare il vettore di attacco o le vulnerabilità sfruttate, fornendo così informazioni chiave alle squadre di risposta.
4. Generare report andamentali sugli incidenti, compresi i risultati delle indagini, le azioni intraprese e le raccomandazioni per il futuro, facilitando la revisione e l’apprendimento.
5. Fornire raccomandazioni basate sui dati relativi agli incidenti passati, suggerendo le migliori pratiche o le misure di contenimento più efficaci, aiutando le squadre di sicurezza a prendere decisioni più informate e tempestive. La formazione continua del personale è fondamentale per la resilienza digitale. L’AI generativa può essere utilizzata efficacemente per creare programmi di formazione personalizzati, simulando situazioni reali che i dipendenti possono allenarsi ad affrontare. Questi programmi possono aumentare la consapevolezza delle minacce e delle migliori pratiche, contribuendo a costruire una cultura della sicurezza all’interno dell’organizzazione.

Integrazione della GenAI nel quadro normativo DORA

Per trarre il massimo beneficio dall’AI generativa nel contesto del Regolamento DORA, le istituzioni finanziarie dovrebbero considerare alcuni aspetti chiave:

1. Compliance ed etica: è fondamentale che l’implementazione di soluzioni basate su GenAI rispetti le normative vigenti in materia di protezione dei dati e privacy, garantendo un uso etico e responsabile delle tecnologie.
2. Formazione continua: investire nella formazione del personale per garantire che sia in grado di utilizzare efficacemente gli strumenti di GenAI è essenziale. Le competenze digitali devono essere integrate nei programmi di sviluppo professionale.
3. Collaborazione interdisciplinare: la resilienza digitale richiede una collaborazione tra diversi dipartimenti, tra cui IT, sicurezza, compliance e rischi. La GenAI può fungere da ponte tra queste aree, facilitando la condivisione delle informazioni e migliorando la coesione.
4. Monitoraggio e aggiornamento: è essenziale monitorare continuamente le prestazioni degli strumenti di GenAI e aggiornare i modelli in base a nuove minacce e vulnerabilità. Un approccio agile e reattivo è necessario per affrontare un panorama di rischio in continua evoluzione.

Mentre ci si dirige verso un futuro sempre più digitale, le istituzioni finanziarie devono rimanere vigilanti e pronte a adattarsi. L’AI generativa continuerà a evolversi e a migliorare, portando con sé nuove opportunità e sfide.

È fondamentale che le organizzazioni investano non solo nella tecnologia, ma anche nella cultura aziendale e nella formazione, per garantire che tutti i membri de vari team coinvolti siano equipaggiati per affrontare le sfide future.

Inoltre, l’adozione di un approccio proattivo alla gestione del rischio, supportato da strumenti intelligenti e analisi predittive, aiuterà le istituzioni non solo a prevenire gli incidenti, ma anche a rispondere in modo efficace e rapido in caso di crisi.

Con la giusta combinazione di tecnologia, persone e processi, le istituzioni possono affrontare il futuro con maggiore sicurezza e resilienza.

Conclusioni

Il Regolamento DORA rappresenta un passo fondamentale verso il rafforzamento della resilienza digitale nel settore finanziario europeo. La GenAI offre soluzioni innovative e pratiche per aiutare le istituzioni ad indirizzare le prescrizioni di questo regolamento, migliorando la gestione del rischio, la simulazione di scenari, la risposta agli incidenti e la formazione del personale.

Adottare un approccio integrato alla GenAI non solo consentirà alle istituzioni finanziarie di conformarsi agli adempimenti stabiliti dal Regolamento DORA, ma fornirà anche un vantaggio competitivo in un settore in rapida evoluzione. L’adozione di tecnologie avanzate per la gestione del rischio non è più una scelta, ma una necessità per garantire la sicurezza operativa e la fiducia dei clienti.

Le istituzioni finanziarie hanno già avviato programmi per esplorare e implementare soluzioni GenAI, collaborando con esperti di settore e fornitori di tecnologia per massimizzare i benefici.

Tali programmi riguardano essenzialmente gli ambiti dei processi di business ma, in molti casi, non sono ancora pienamente indirizzati ad accelerare il supporto alla crescita in termini di resilienza e analisi del rischio operativo orientata alla prevenzione degli incidenti.

La creazione di un ambiente di apprendimento continuo e l’apertura all’innovazione saranno cruciali per navigare con successo nel panorama normativo e tecnologico in evoluzione.

In sintesi, l’integrazione della GenAI nella gestione del rischio operativo non solo supporta la conformità al Regolamento DORA, ma rappresenta anche un passo significativo verso una maggiore resilienza e sicurezza nell’era digitale.

Bibliografia

1. Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (Testo rilevante ai fini del SEE).
2. International Organization for Standardization (ISO). (2018). “ISO/IEC 27001:2018 – Information technology — Security techniques — Information security management systems — Requirements”
3. IEEE (2024). “A Comprehensive Survey: Evaluating the Efficiency of Artificial Intelligence and Machine Learning Techniques on Cyber Security Solutions”.
4. Gartner. (2024). “Cybersecurity and AI: Enabling Security While Managing Risk”.
5. World Economic Forum (2022). “Digital resilience: Building the economies of tomorrow on a foundation of cybersecurity”.
6. NIST. (2020). “Framework for Improving Critical Infrastructure Cybersecurity.” National Institute of Standards and Technology.
7. MacKinsey & Company (2024) “Risk AI and resilience in European banking”.