Versione HTML di base
compliance, quale elemento integrante del sistema dei controlli interni. Tale funzione, istituita per la
prima volta proprio con le citate disposizioni, è preposta al presidio e alla gestione del rischio di incorrere
in sanzioni amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di
violazioni di norme imperative o di autoregolamentazione (rischio di compliance). Le disposizioni
stabiliscono i principali compiti e i requisiti qualitativi minimi della funzione di compliance, le
attribuzioni del suo responsabile, le interrelazioni con le altre funzioni aziendali (in particolare con la
funzione di controllo interno, c.d
. internal auditing
).
Tale funzione, preposta al controllo interno nelle banche, è disciplinata dalla legge e da un quadro di
norme regolamentari emanate dalla Banca d'Italia mediante apposite istruzioni, in particolare, le Istruzioni
di vigilanza in materia di "Organizzazione e controlli interni". Queste ultime richiedono alle banche di
dotarsi di sistemi di monitoraggio dei rischi aziendali e di verifica dell'affidabilità e della sicurezza, anche
dei sistemi informativi, istituendo indicatori di anomalie (c.d.
alert
) per orientare successivi interventi di
audit.
In assenza di disposizioni normative recanti obblighi in materia di tracciabilità delle operazioni bancarie
con riguardo sia all'an sia al quantum della conservazione dei file di log, si rileva che, nell'ambito della
discrezionalità riconosciuta alle banche nell'organizzare la funzione di compliance, tutte le banche
sottoposte ad attività ispettiva hanno ritenuto di implementare sistemi di controllo delle operazioni
dispositive con finalità di tutela del patrimonio dei clienti e dell'attività bancaria, ma solo alcune di esse
sono risultate in possesso di sistemi di tracciamento riguardanti anche operazioni di semplice
consultazione (
inquiry
) dei conti correnti o di altri rapporti contrattuali riferiti ai clienti. Anche in
quest'ultimo caso, a causa di tempi di conservazione dei file di log troppo ristretti, tuttavia non è stato
sempre possibile risalire ai dettagli di un'operazione di accesso ai dati posta in essere da un incaricato.
Al riguardo, nel prendere atto dell'assenza di disposizioni normative in tale ambito, si ritiene opportuno
prescrivere alcune misure in ordine a:
• "tracciamento" degli accessi ai dati bancari dei clienti;
• tempi di conservazione dei relativi file di log;
• implementazione di alert volti a rilevare intrusioni o accessi anomali ai dati bancari, tali da
configurare eventuali trattamenti illeciti;
4.2. Il "tracciamento" degli accessi ai sistemi e i tempi di conservazione dei relativi file di log.
4.2.1.
Tracciamento
delle
operazioni.
Al fine di assicurare il controllo delle attività svolte sui dati dei clienti e dei potenziali clienti da ciascun
incaricato del trattamento (quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e
le finalità del trattamento che è tenuto a svolgere) devono essere adottate idonee soluzioni informatiche.
Oltre alle misure minime di sicurezza, già prescritte dall'art. 34 del Codice nel caso di trattamento di dati
personali effettuato con strumenti elettronici (con particolare riguardo alla necessità di
"protezione degli
strumenti elettronici e dei dati rispetto a trattamenti illeciti […]"
di cui alla lett. e) del citato art. 34), è
necessario implementare misure idonee (art. 31 del Codice) che permettano un efficace e dettagliato
controllo anche in ordine ai trattamenti condotti sui singoli elementi di informazione presenti nei diversi
database
utilizzati.
Tali soluzioni comprendono la registrazione dettagliata, in un apposito log, delle informazioni
riferite alle operazioni bancarie effettuate sui dati bancari, quando consistono o derivano
dall'uso interattivo dei sistemi operato dagli incaricati, sempre che non si tratti di
consultazioni di dati in forma aggregata non riconducibili al singolo cliente.
In particolare, i file di
log
devono tracciare per ogni operazione di accesso ai dati bancari
effettuata da un incaricato, almeno le seguenti informazioni: