Electronic Banking senza rischi

Carte a microcircuito, borsellino elettronico, phone banking, Internet banking e moneta virtuale sono sempre più diffusi. Per GESTIRE I RISCHI connessi a queste attività, la BRI ha fornito alle autorità di vigilanza e alle banche specifiche linee guida

di
Roberto Granati (A.B.I.)

Il progresso repentino dell'information technology, l'aumento delle dinamiche competitive (anche da parte di operatori non bancari), la necessità di recuperare efficienza, di meglio servire la clientela e di ricercare nuovi flussi reddituali sono i fattori principali che stanno spingendo le banche a esplorare le aree dell'electronic banking e della moneta elettronica. Il ricorso a queste nuove forme di attività, a fianco alla tradizionale intermediazione creditizia di raccolta e impiego, può indubbiamente fornire i suoi frutti in termini di rafforzamento competitivo, di aumentata redditività e di massimizzazione del valore economico delle banche.

A questo fine, risulterà di fondamentale importanza l'individuazione di quelle criticità necessarie a svolgere con successo attività quali l'electronic banking e la moneta elettronica, tra le quali, figura sicuramente una proficua gestione dei rischi ad esse connessi. E proprio l'electronic banking e la moneta elettronica, dato il ruolo via via crescente che assumeranno sia a livello di singole istituzioni di credito che a livello di sistema bancario nel suo complesso, hanno recentemente formato oggetto di un apposito documento da parte della Banca per i Regolamenti Internazionali (Bri).

Nel documento, denominato Risk Management for Electronic Banking and Electronic Money Activities, la Bri ha preso in esame quelli che ritiene essere i possibili rischi di tali attività ed ha fornito alle Autorità di vigilanza e alle singole banche linee guida atte a contribuire alla realizzazione di metodi per l'individuazione e la gestione dei rischi connessi all'electronic banking e alla moneta elettronica. La Bri ha puntato, da un lato, all'identificazione e alla ponderazione dei rischi di maggiore rilievo connessi all'electronic banking e alla moneta elettronica, dall'altro, al processo di valutazione, controllo e monitoraggio dei medesimi fornendo così alle banche un quadro di insieme all'interno del quale esse potranno scegliere di muoversi nella gestione di tali attività.

In particolare, tre sono gli aspetti attraverso i quali si delinea l'orientamento della Bri, vale a dire:

1. la definizione di electronic banking e di moneta elettronica;
2. l'analisi dei possibili rischi;
3. l'individuazione del processo di risk management.

ELECTRONIC BANKING
E MONETA ELETTRONICA
Questo primo aspetto è importante in quanto delimita l'ambito di riferimento dell'electronic banking e della moneta elettronica. E così, parafrasando la Bri, per electronic banking è da intendersi l'offerta, tramite canali elettronici, di prodotti e servizi bancari al dettaglio e di ammontare limitato."Nella definizione si tiene conto sia della tipologia di canali distributivi attraverso i quali viene erogata tale attività (reti chiuse o aperte, tipo Internet) che della modalità di accesso a tali canali da parte della clientela (terminali Pos, sportelli Atm, telefoni, personal computer e carte a microcircuito).

Con il termine moneta elettronica, pur risultando difficoltosa una sua puntuale definizione, la Bri si riferisce a "...meccanismi di pagamento del tipo stored value o prepagato, atti a eseguire pagamenti tramite terminali Pos, o su reti di computer aperte del tipo Internet e trasferimenti diretti tra due terminali".

Rientrano tra questi prodotti, da un lato, le soluzioni cosiddette hardware o card-based, tipo il borsellino elettronico e, dall'altro, le soluzioni cosiddette software o network-based, allorché si fa riferimento a forme quali digital cash(moneta virtuale).

ANALISI DEI RISCHI
Delimitata l'area di lavoro che si intende valutare, la Bri prende in considerazione quelle che ritiene essere le categorie di rischio più importanti in ordine all'electronic banking e alla moneta elettronica. L'attenzione della Bri non è tanto rivolta all'individuazione di quelli che possono essere i rischi bancari tradizionali (il rischio di credito, di liquidità, di interesse e di mercato), che pure rilevano per queste nuove attività e che vengono anche essi accennati, quanto piuttosto all'identificazione di rischi direttamente legati all'electronic banking e alla moneta elettronica. Questi ultimi rischi vengono annoverati dalla Bri in tre categorie:

  • rischio operativo;
  • rischio di "scadimento valoriale";
  • rischio legale.

Il rischio operativo è definito come quel rischio legato all'incertezza, in termini temporali e di valore, di perdite potenziali per la banca dovute a inefficienze operative nei processi e nelle funzioni interne.
Secondo la Bri, tre sono i fattori da tenere presente nell'analisi di questa tipologia di rischio: la sicurezza; il disegno, la realizzazione e la manutenzione dei processi; il cattivo uso dei prodotti e servizi da parte della clientela.
Per quanto concerne la sicurezza, l'accento va posto sui controlli di accesso dall'esterno ai sistemi bancari (ad esempio, il rischio di essere soggetti ad attacchi da parte degli hacker) e sulle possibilità di subire danni da parte del personale della stessa banca, sia sotto il profilo dell'errore umano che della frode vera e propria. Per il disegno, la realizzazione e la manutenzione dei processi, il riferimento è per tutte le problematiche che possono derivare da deficienze nel funzionamento del sistema stesso, legate, ad esempio, a rallentamenti, interruzioni oppure all'obsolescenza della tecnologia adottata. Infine, vi è il rischio del cattivo uso dei prodotti e servizi da parte della clientela, che può essere sia involontario che intenzionale (per quest'ultimo, ad esempio, il riciclaggio di denaro).
Il rischio di scadimento valoriale (reputational risk) è quel rischio legato alla possibilità che si verifichi un significativo riflesso pubblico negativo per la banca che determina, a sua volta, una perdita notevole per la medesima in termini di clientela e di finanziamento. Questa categoria di rischio può essere dovuta ad azioni che creano un'immagine pubblica negativa della banca oppure che comportano una perdita di fiducia o credibilità nella stessa da parte dell'opinione pubblica.
Il rischio legale è definito come il rischio derivante da violazioni o dalla mancanza di conformità con leggi, norme e regolamenti oppure dalla poca trasparenza in merito ai diritti e ai doveri legali delle controparti in una transazione.

Da ultimo, la Bri sottolinea anche l'opportunità di valutare adeguatamente i rischi di tipo cross-border, in quanto le attività di electronic banking e di moneta elettronica sono basate su una tecnologia che, per sua stessa natura, è destinata ad ampliare la portata geografica delle banche e della clientela.

RISK MANAGEMENT
Una volta definito l'ambito di riferimento e puntualizzati i rischi principali ad esso associati, l'ultimo tassello da posizionare è la messa a punto di un efficace processo di risk management che agisca da supporto a una proficua operatività delle banche. La Bri individua tre elementi portanti nella definizione del processo di risk management, che sono:

  • valutazione del rischio;
  • gestione del rischio;
  • monitoraggio del rischio.

La valutazione del rischio, che deve essere un'attività continuativa nel tempo, è il primo passaggio da effettuare e si articola in tre fasi diverse. La prima riguarda l'individuazione analitica dei rischi e possibilmente anche una loro quantificazione. La seconda concerne la determinazione di un certo livello di risk tolerance da parte della banca. Nell'ultima fase si esegue invece un paragone tra il livello di risk tolerance e la portata del rischio e ciò al fine di accertare se l'esposizione al rischio della banca rientra nei suoi limiti di tolleranza.

Definiti gli aspetti inerenti la valutazione, il passaggio successivo è dato dalla realizzazione di tutte quelle misure che consentono un'adeguata gestione e controllo del rischio. Si può dire che questa fase costituisce la parte operativa o implementativa di quanto è stato definito nella fase di valutazione.

Vi è poi la fase di monitoraggio del rischio, che si esplicita, da un lato, attraverso essenzialmente i test e la sorveglianza dei processi e, dall'altro, ricorrendo a periodiche revisioni dell'operato generale delle attività di electronic banking e di moneta elettronica.

Infine, e analogamente a quanto riferito nell'analisi dei rischi connessi all'electronic banking e alla moneta elettronica, anche nella realizzazione del processo di risk management vanno presi in esame i rischi cross-border.

Quanto delineato costituisce, a parere della Bri, un utile punto di partenza per inquadrare l'electronic banking e la moneta elettronica e per individuare e gestire i rischi ad esse connessi, aspetti di particolare rilievo per le singole banche per la loro gestione aziendale, ma anche per le Autorità di vigilanza per la conduzione dell'attività di sorveglianza sul sistema bancario nel suo complesso.

(Ndr: ripreso dalla rivista Bancaforte di settembre-ottobre 1998)