Robotul Minerva ca: 
Digital Operational Resilience Act (DORA) se aplică nu numai entităților financiare, ci și furnizorilor critici pentru aceste entități care vor fi supravegheaţi chiar de la nivelul supraveghetorilor europeni, adică EBA, ESMA și EIOPA, a declarat Alexandru DOBREV, Șef serviciu Serviciul monitorizare a infrastructurilor pieței financiare, Direcția monitorizare a infrastructurilor pieței financiare și a plăților, Banca Națională a României, la Forumul România Digitală, organizat de Financial Intelligence.
Domnia sa a explicat: “Avem un nou regulament – Digital Operational Resilience Act (DORA) care intră în vigoare în 2025. Nu este ceva nou, cel puțin pentru infrastructurile pieței financiare, întrucât el se bazează pe unele standarde și orientări elaborate de BIS și de Banca Centrală Europeană, chiar începând cu anul 2016, doar că acum ajunge să fie aplicat sub forma unui regulament și să fie o cerință de supraveghere pentru toate tipurile de entități financiare.
DORA instituie de fapt un “level playing field”, asigură o mai bună conformare la cerințele de igienă digitală, o mai bună actualizare la amenințările existente. Ca o noutate majoră, DORA se aplică nu numai entităților financiare, ci și furnizorilor critici pentru aceste entități. Adică, chiar dacă furnizorii sunt firme din domeniul IT, securitate, telecomunicații, pentru faptul că furnizează servicii și sunt critice pentru industria financiară, acum vor intra în aria de supraveghere și vor fi supravegheate chiar de la nivelul supraveghetorilor europeni, adică EBA, ESMA și EIOPA. Se vor constitui echipe mixte de supraveghetori, inclusiv cu personal de la supraveghetorii financiari naționali. Și asta este o premieră.
Motivul pentru care se face acest efort – pentru că este un efort chiar și la nivel european, se estimează undeva la 100 de furnizori critici pentru probabil 10.000 de entități financiare europene – este tocmai digitalizarea, faptul că entitățile financiare au din ce în ce mai multă nevoie de procese digitale, de a oferi o experiență digitală pentru utilizatorii lor.
Vremurile în care omul trebuia să meargă la sucursală, să discute face to face și să semneze dosare pe hârtie sunt pe cale de dispariție, pentru că pur și simplu clienții nu mai acceptă astfel de inconveniente în viața lor normală și se așteaptă la o interacțiune digitală.
Este foarte greu pentru o bancă să facă onboarding digital pentru clienți, precum și să dezvolte in-house aplicații , în condițiile în care scopul unei bănci este să atragă depozite și să le investească, să dea credite în mod prudent.
Și vă dau un exemplu care mi s -a întâmplat foarte de curând. Am contactat o bancă digitală care mi-a spus că îmi oferă toate serviciile online. Am făcut identificare video, mi-au scanat cartea de identitate, am trecut de toate fazele în zece minute. Două zile mai târziu am primit un mesaj că mi-au reținut datele timp de cinci zile, dar că, din cauza GDPR, trebuie să le șteargă. Și că trebuie să reiau procedura.
Contează mult cu cine dezvolți serviciile digitale, pentru că sunt diverse niveluri de calitate ale dezvoltatorilor, dar oricum nu se așteaptă nimeni ca băncile însele sau alte entități financiare să dezvolte ele tehnologia. Toate se vor baza pe furnizori terți în mai mică sau mai mare măsură. Și atunci se pune foarte mult problema, dincolo de funcționalitatea aplicațiilor și a softurilor oferite, care este securitatea acestora și cine îți verifică că există așa această securitate. Dar această reglementare vine şi cu costuri”.
Întrebat care sunt competenţele BNR în aplicarea acestui regulament, domnul Dobrev a spus: “DORA pune responsabilitatea pe supraveghetorii financiari, prudențiali. Pentru că, până la urmă, impactul cheltuielilor cu securitatea cibernetică pe profitabilitatea entităților este major, dar vorbim de o măsură de siguranță, la fel ca și provizioanele de capital, ca și procedurile pentru acordarea unor credite în mod prudent. Partea de securitate digitală este la fel de vitală pentru buna funcționare a entității financiare.
Și atunci, Banca Națională, alături de ASF sunt cele două autorități care implementează DORA la nivel național și se ocupă de întregul domeniu DORA, inclusiv cu partea de testare. Vorbim de teste avansate, coordonate de autorități, ceea ce până nu demult nu exista. Adică fiecare entitate își alegea un furnizor de servicii de testare și primea un raport de test, dar nu mai participa un terț, o autoritate, ca să vadă dacă testul a fost bine făcut, dacă s- a urmărit o procedură, dacă rezultatele sunt într- adevăr relevante.
DORA prevede ca prima opțiune să fie o singură autoritate de coordonare a acestor teste. În cazul României, BNR are cea mai mare experiență pentru că avea deja implementat TIBER, cadrul voluntar de testare, și deja am făcut o serie de astfel de teste și atunci probabil că legea prin care se va implementa DORA va atribui Băncii Naționale acest rol în continuare de coordonare. Şi la nivel european, cam acelaşi lucru s-a întâmplat în toate statele – băncile centrale, în general, au adoptat acest cadru TIBER și tot ele sunt desemnate pe DORA să coordoneze în continuare testele. Repet, vorbim de un rol de coordonare, adică nu facem noi testele, noi doar ne asigurăm că se respectă metodologia de testare și că rezultatele, până la urmă, sunt relevante din punct de vedere al măsurilor care trebuie luate”.
Alexandru DOBREV a mai spus că infrastructurile financiare din România și băncile au investit, în general, foarte mult în protecția în perimetrul defensiv:
“Băncile, fiind supuse zilnic la atacuri de phishing și scanări de vulnerabilități, atacuri relativ mai low level, au investit extrem de mult în protecții și din punctul acesta de vedere stau bine. Când auziți de fraude făcute prin phishing, acolo sunt fraude la nivelul clientului care este indus în eroare prin astfel de metode. Nu o să găsiți astfel de atacuri de succes la nivelul entităților financiare”.
Mai sus regasiți o reprezentare vizuală a conținutului articolului, o clasificare automată și un sumar al acestuia! Preluarea informațiilor urmăreste promovarea și facilitarea accesului la informație, cu respectarea drepturilor de proprietate intelectuală, conform cu termenii și condițiile sursei (financialintelligence.ro).
