Manuale di sopravvivenza per i CDA
E’ di prossima uscita il libro “La sicurezza informatica e la normativa DORA: la visione del CDA”, realizzato in prossimità della partenza operativa della normativa Dora, un momento cruciale per tutte le aziende finanziarie sul mercato europeo.
Intervistiamo oggi l’autore del libro che abbiamo già avuto ospite di questa sezione libri in uscita sul mercato e che incidentalmente è anche il nostro Direttore.
BetaPress: Dottor Faletti, qualcuno he detto che lei se la canta e se la suona con queste interviste sul giornale dove lei è direttore, cosa risponde a quei lettori che lo hanno fatto?”
Corrado Faletti: in prima battuta direi che hanno anche ragione, ma ho la coscienza a posto perchè Betapress lascia spazio a tutti coloro che ci informano delle uscite di libri o di altre opere, e siamo solo contenti di poter divulgare il lavoro degli altri autori. Se poi mi dice che non è che ne pubblichiamo molti le posso rispondere che abbiamo pubblicato tutti quelli che abbiamo ricevuto.
Betapress: Benissimo, allora autori fatevi avanti, mandateci i vostri lavori. Comunque grazie per essere con noi oggi. La normativa DORA sta avendo un impatto significativo sulle istituzioni finanziarie. Lei, nel suo libro di prossima uscita, la definisce una grande opportunità, ma anche un rischio per chi non ne comprende appieno l’essenza. Può spiegarci meglio?
Corrado Faletti: Sì, DORA rappresenta un cambiamento epocale nel modo in cui le istituzioni finanziarie devono affrontare i rischi operativi e tecnologici. Tuttavia, il vero rischio è quello di interpretare questa normativa in modo burocratico, trasformandola in un semplice esercizio di conformità. Se le aziende si limitano ad acquistare servizi di consulenza o a delegare interamente l’analisi del rischio a terzi, perderanno l’essenza del messaggio che DORA cerca di trasmettere: la necessità di sviluppare consapevolezza e conoscenza del rischio all’interno del Consiglio di Amministrazione.
BetaPress: Nel suo libro, lei ha dedicato un capitolo al “Manuale di sopravvivenza per il CDA”. Questo titolo è curioso e piuttosto incisivo. Può spiegarci il significato e l’intento dietro questa scelta?
Corrado Faletti: Certo. Il “Manuale di sopravvivenza per il CDA” è un capitolo pensato per catturare immediatamente l’attenzione dei consiglieri e sottolineare quanto sia cruciale il loro ruolo nell’affrontare la normativa DORA. L’idea di “sopravvivenza” nasce dalla realtà che molti CDA si trovano spesso impreparati di fronte a sfide complesse come la resilienza operativa e la gestione dei rischi ICT. Questo manuale vuole essere una guida pratica, diretta e accessibile per aiutare i membri del Consiglio a orientarsi in un panorama normativo e tecnologico che può sembrare intimidatorio.
Ho scelto un approccio concreto, con esempi, istruzione per punti e consigli operativi, per mostrare ai consiglieri non solo cosa devono fare, ma anche perché e come farlo. L’intento è trasformare la normativa da un’imposizione a un’opportunità, permettendo ai CDA di diventare leader consapevoli e strategici, in grado di guidare le loro organizzazioni verso una vera resilienza operativa.
Questo capitolo riflette l’essenza del libro: non si tratta solo di conformità normativa, ma di dotare i CDA degli strumenti per esercitare una governance responsabile e lungimirante. In altre parole, la “sopravvivenza” di cui parlo non è solo normativa, ma anche reputazionale e strategica.
BetaPress: Parla di consapevolezza come obiettivo della normativa. Perché è così importante?
Corrado Faletti: La consapevolezza è fondamentale perché un CDA che comprende i rischi informatici e operativi può prendere decisioni strategiche che vanno oltre la mera conformità normativa. DORA non si limita a richiedere che le istituzioni siano resilienti agli attacchi cyber o alle interruzioni operative; richiede che il CDA sia in grado di valutare i rischi, comprendere le vulnerabilità e adottare misure proattive. Questa capacità di comprensione non può essere delegata. Affidarsi interamente a consulenti esterni può produrre analisi tecnicamente corrette, ma se i consiglieri non sviluppano una conoscenza diretta del contesto e dei rischi, non saranno mai in grado di gestirli davvero.
BetaPress: Quindi, secondo lei, le aziende rischiano di spendere molto in consulenze senza raggiungere l’obiettivo?
Corrado Faletti: Assolutamente sì. È quello che temo e che ho voluto sottolineare nel libro. Le aziende stanno già allocando budget significativi per l’adeguamento a DORA, spesso rivolgendosi a consulenti esterni per l’analisi dei rischi ICT, la stesura di policy e la predisposizione di piani di continuità. Tuttavia, se il CDA non è coinvolto attivamente, queste spese rischiano di diventare un investimento sterile. La resilienza non è qualcosa che si può acquistare; è il risultato di una governance informata e partecipativa. Quando l’analisi del rischio è completamente delegata a terzi, il CDA perde l’occasione di comprendere realmente il proprio contesto operativo e, di conseguenza, di esercitare il proprio ruolo con efficacia.
BetaPress: È una critica forte. Perché crede che il CDA non stia assumendo il ruolo richiesto da DORA?
Corrado Faletti: Credo che il problema risieda in una mancata evoluzione della cultura della governance. I CDA spesso vedono i rischi tecnologici come una questione puramente tecnica, qualcosa che appartiene al CIO o al team ICT. DORA, invece, richiede che il rischio informatico venga trattato come una questione strategica, al pari di una fusione aziendale o di un cambio di mercato. Ma per farlo, i consiglieri devono essere formati, devono comprendere i concetti chiave della resilienza operativa e devono avere la capacità di leggere i dati relativi ai rischi. Questa formazione, purtroppo, è spesso trascurata.
BetaPress: Qual è, dunque, il messaggio principale che vuole trasmettere con il suo libro?
Corrado Faletti: Il messaggio è che DORA non è una normativa per tecnici, ma per leader. Il CDA deve diventare il centro nevralgico della gestione dei rischi, con una piena conoscenza di ciò che accade nei sistemi, nei processi e nei flussi operativi dell’azienda. Il libro offre strumenti pratici per aiutare i consiglieri a raggiungere questa consapevolezza, proponendo un percorso di apprendimento e una guida per strutturare una governance informata e proattiva. Il vero obiettivo di DORA è che i CDA diventino protagonisti della resilienza aziendale, non semplici osservatori passivi.
BetaPress: Per concludere, qual è il rischio maggiore se questo cambiamento culturale non avviene?
Corrado Faletti: Il rischio maggiore è duplice. Da un lato, le istituzioni continueranno a essere vulnerabili agli attacchi informatici e agli eventi operativi critici, perché la loro resilienza sarà costruita su basi fragili. Dall’altro, i CDA potrebbero trovarsi a rispondere direttamente di incidenti o mancanze, senza poter dimostrare di aver esercitato una supervisione adeguata. DORA non accetta alibi: chiede ai CDA di essere pienamente coinvolti. Se non lo faranno, non solo falliranno nel rispettare la normativa, ma comprometteranno la sicurezza e la fiducia di clienti, partner e stakeholder.
BetaPress: Grazie, Dottor Faletti, per la sua analisi così lucida. Il suo libro sembra essere una risorsa preziosa per aiutare i CDA a navigare in questa complessità.
Corrado Faletti: Spero che il libro possa davvero contribuire a creare una nuova cultura della resilienza e della governance, in cui i leader aziendali siano preparati e consapevoli delle sfide, ma anche delle opportunità che DORA rappresenta.
“Periferie Elettroniche: La gestione di un centro elettronico diffuso”
