Happy hour ANSSAIF, Roma 11 maggio 2011

di Luciana Sympa - Prometeo Management Consulting (socio sostenitore ANSSAIF)

Libero dibattito sulla consultazione della Banca d'Italia sulle disposizioni attuative del d.lgs. 11/2010 in materia di servizi di pagamento
Durante l'incontro informale dell'11 maggio 2011 a Roma, in attesa delle disposizioni finali di Banca d'Italia, l'ANSSAIF ha dibattuto i due documenti di consultazione in tema di servizi di pagamento, esprimendo la sua soddisfazione e proponendo punti di miglioramento.

In una giornata particolare, in cui molti romani superstiziosi hanno lasciano la capitale per paura del terremoto (malgrado nelle carte dello studioso Raffaele Bendandi non compaiono mai né Roma né tantomeno l'11 maggio), i soci ANSSAIF, fiduciosi nella scienza che dichiara impossibile prevedere un sisma, hanno sfidato la superstizione per dibattere i loro principi, forti anch'essi di analisi e procedure sperimentate e consolidate in modo scientifico.
Erano presenti all'incontro oltre ai consiglieri romani ed al presidente dell'Associazione, alcuni membri del Comitato Scientifico.

Adeguati ed efficaci, ma è possibile fare di più e con gradualità

Durante il dibattito si è espressa piena soddisfazione per le indicazioni chiare ed opportune di Banca d'Italia, pienamente condivise dall'ANSSAIF.
Nel primo documento, "Attuazione del Titolo II del Decreto legislativo n. 11 del 27 gennaio 2010 relativo ai servizi di pagamento"  (qui in pdf) tre in particolare sono i concetti di particolare rilevanza in merito.

  1. La sicurezza non è un tema che va affrontato in modo a se stante ma in modo integrato nella gestione complessiva del Risk management.
  2. La sicurezza non è un problema "all'angolo" ma di primaria importanza e deve coinvolgere i vertici aziendali che devono acquisire una corretta consapevolezza della sua importanza;
  3. La sicurezza non va vista come un costo, ma come una leva per migliorare le attività di business e come leva concorrenziale.

Nel corso del dibattito è emerso che, con riferimento all'area dei pagamenti, sono possibili ulteriori passi avanti. Banca d'Italia, ad esempio, potrebbe dare indicazioni più puntuali al management, sia invitandolo ad un concreto e responsabile coinvolgimento nelle scelte in tema di sicurezza, sia prendendo a riferimento framework e standard internazionali già accreditati e testati da anni.
Collegarsi ad esperienze già consolidate consentirebbe una più chiara e concreta attuazione dei principi esposti, evitando dispersive frammentazioni.
In particolare nel dibattito sono stati portati ad esempio il framework di controllo CobIT e lo standard ISO/IEC 27001:2005 come due validi modelli di riferimento.
Nel secondo documento, "Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza" (qui in pdf), Banca d'Italia individua strumenti ad elevata affidabilità la cui utilizzazione consentirebbe di ridurre la responsabilità degli utilizzatori. 
Fissa inoltre gli importanti principi di:

  • accessibilità dei dati;
  • protezione dei dati;
  • certificazione dell'affidabilità da parte di un soggetto terzo qualificato. "Per lo svolgimento di tale attività i Vertici Aziendali del PSP devono designare un soggetto terzo indipendente e qualificato (assessor)".

Queste disposizioni sono di primaria importanza, ma sarebbe auspicabile che gli organismi di vigilanza indicassero in modo più preciso quali strumenti applicare consentendo una standardizzazione degli interventi e un abbattimento dei costi.

L'applicazione di queste disposizioni potrebbe poi essere effettuata per step, dando il tempo alle aziende di assorbire nella loro struttura, in modo graduale e non traumatico, queste disposizioni e le nuove modalità operative.

Visione integrata e standardizzazione: questa la giusta chiave di lettura della sicurezza

La sicurezza purtroppo viene spesso vista nelle aziende come un costo, non come una leva di miglioramento del business. Il management l'affronta ancora come una questione di secondo piano, non come asse portante dell'organizzazione.
Uscire da questa visione riduttiva e far comprendere i vantaggi di un sistema sicuro e certificato è nelle linea guida dell'attività dell'Associazione.
Con sistemi di pagamento sempre più virtuali, con utenti sempre più capaci e attenti alla sicurezza delle loro operazioni, offrire sistemi sicuri è un plus che farà sempre più la differenza nell'offerta di servizi. I clienti stanno già raffinando la loro domanda rivolgendo la loro attenzione ad aziende in grado di dare garanzie certe.
Facendo un paragone con il mercato BIO dove la tracciabilità e la bontà del prodotto sono sempre più considerate un valore dal cliente, una certificazione BIO traslata al mercato bancario, consentirebbe di soddisfare questo approccio più moderno e consapevole degli utenti.
I costi sicuramente verrebbero ripagati dai vantaggi, sia contro eventuali minacce di compromissione del business, sia come plus da offrire nel mercato dei servizi.
Coloro che, nella "supply chain",  risultano "compliant" rispetto ad una più stringente normativa potrebbero essere segnalati ai consumatori in modo opportuno (elenchi, vetrofanie, ecc.).
Gli standard già ci sono, come ad esempio la già citata ISO/IEC 27001:2005, in cui sono normati i requisiti dei sistemi di gestione della sicurezza delle informazioni (SGSI), affiancata ai "Code of Practice" della ISO/IEC 27002:2005 per un'efficace implementazione, gestione e monitoraggio del SGSI. Nell'ambito delle carte di debito e credito, lo PCI-DSS fissa delle regole ben precise per la protezione delle transazioni. Ma ulteriori spinte ad una maggiore protezione dei dati può venire dalla "tokenisation" che, come noto, non trasmette dati personali, ma bensì un codice valido solo per una transazione.
Gli strumenti e gli standard, quindi,  ci sono e vanno applicati.

Fare cultura: una necessità continua

L'ANSSAIF è impegnata da tempo nella diffusione del giusto approccio alla sicurezza delle informazioni e approfondisce queste tematiche con importanti analisi e studi di elevato contenuto scientifico.
Un osservatorio sullo stato di fatto in Europa in tema di sicurezza gli consente inoltre di porsi come punto di riferimento per gli enti e le aziende che si occupano di queste tematiche.
Sul fronte formativo, in collaborazione con la Università Campus Bio medico, ha organizzato il Corso di Alta Formazione in Sicurezza nel Sistema Finanziario, nell'ambito del Master in Homeland security, destinato a professionisti di ambito aziendale o consulenziali, direttamente o indirettamente interessati alla protezione del patrimonio aziendale.
Ultimamente, l'Associazione ha svolto un' indagine su un significativo campione di utenti per testare il grado di soddisfazione dei clienti finali riguardo ai sistemi di pagamento con carta di credito o di debito. Alla domanda relativa all'interesse per uno strumento più semplice, il 25,8% ha risposto di si.
Ad uno strumento più sicuro, è risultato interessato il 61,8%.
Il consumatore appare quindi soddisfatto della facilità d'uso della carta ed una forte percentuale vuole uno strumento più affidabile.
I giovani nella fascia di età tra i 18 e i 44 anni, è interessato ad usare un sistema di proximity mobile payment system, quali un cellulare o smartphone.

Link utili

Articoli collegati su www.compliancent.it

Chi è Luciana Sympa? 

Luciana Sympa

Luciana Sympa, redattrice del Gruppo 24 ORE, editoria di Settore, è consulente di Prometeo Management Consulting per gli aspetti relativi alla comunicazione d'impresa e al front office