di Nadia Denisi
Avvocato e PhDLe priorità di vigilanza dell’SSM per il 2024-26 stabiliscono che le banche devono affrontare i rischi legati alle tecnologie dell’informazione e della comunicazione (ICT) e alla sicurezza derivanti dalla digitalizzazione dei servizi bancari. Ciò richiede, tra l’altro, che l’organo di gestione di una banca abbia una comprensione adeguata dell’evoluzione e della rilevanza di tali rischi, al fine di prendere decisioni adeguate e tempestive per gestirli.
Negli ultimi anni, tuttavia, la vigilanza in corso ha individuato carenze nelle conoscenze e nelle competenze collettive degli organi di gestione delle banche sottoposte a vigilanza in materia di ICT e rischi per la sicurezza. In questo contesto, la BCE e le autorità di vigilanza nazionali hanno collaborato allo sviluppo di una politica specifica per la valutazione delle conoscenze collettive dell’organo di gestione nel contesto delle valutazioni di idoneità e correttezza. La policy contiene diverse aspettative chiave che sono anche incluse nella bozza della Guida della BCE sull’aggregazione efficace dei dati e sulla segnalazione dei rischi.
La politica si basa su tre Key Principles:
- le aspettative non incideranno sull’applicazione delle disposizioni di legge nazionali o di altre normative europee, come l’imminente Digital Operational Resilience Act (DORA) dell’UE per il settore finanziario;
- le aspettative seguono il principio di proporzionalità, in quanto le dimensioni di una banca, la sua esposizione ai rischi ICT e di sicurezza e la posizione manageriale in questione dovrebbero essere tenute in debita considerazione in ogni nomina e nella relativa valutazione di idoneità e correttezza condotta dalla banca e dall’autorità di vigilanza;
- le aspettative si applicheranno caso per caso senza alcun automatismo, in linea con il principio del supervisory judgement.