Uno dei vantaggi di essere nel direttivo del CLUSIT è la rassegna stampa gentilmente fornita da L’Ippocastano. Adesso comprende anche articoli relativi alla sicurezza presi dalla stampa locale, dai quali riesco a farmi un’idea più chiara dell’andamento di certi fenomeni. Ad esempio, l’andamento delle frodi informatiche (sempre più frequenti), il grado di assimilazione della normativa sui dati personali eccetera.
Questa volta però, una notizia di altro genere, che sembra interessare solo marginalmente la sicurezza ICT.
Sul Resto del Carlino di mercoledi 10 c’è un articolo che dice che la Banca Popolare dell’Emilia Romagna propone un prodotto (prestito?) per le PMI chiamato Finprogex “seguendo i parametri di Basilea2. In pratica, il costo del danaro sarà commisurato al rating (‘il giudizio di valore’) dell’azienda, e quindi il grado di rischio per il finanziamento sarà in capo non solo all’istituto bancario, ma anche e soprattutto all’azienda che deciderà di usufruirne.”
Basilea2 è un’accordo internazionale, in pratica un regolamento bancario relativo alla gestione del patrimonio. Io me ne sono iteressato, come molti consulenti di sicurezza ICT, per l’aspetto di gestione del rischio operativo. Per farla breve (e approssimativa, non essendo il mio campo), le banche sono tenute ad accantonare parte del proprio patrimonio per fare fronte ad eventi imprevisti e dannosi. Quanto devono accantonare? Dipende anche da quanto è buona la gestione del rischio: se il rischio è ben gestito (e ben mitigato), devono accantonare meno. Una delle fonti di rischio è la possibilità di frodi tramite il sistema informativo, e qui è la parte di cui mi sono occupato: se la gestione della sicurezza del sistema informativo è buona, il rischio è più basso ed è necessario accantonare meno capitale. In pratica, investendo in sicurezza le banche “liberano” del capitale da investire, e quindi hanno convenienza nel curare la sicurezza dei loro sistemi. Un’altra fonte di rischio sono i prestiti: se il rischio che i clienti non restituiscano i soldi è alto, allora l’accantonamento è maggiore. Per intenderci, il tipo di problema dei mutui subprime negli USA (solo che, se ho ben capito, in quel caso le banche hanno gestito il rischio trasferendolo su dei fondi…). E qui finalmente si arriva al punto. Per ridurre il rischio, le banche sono interessate ad offrire i finanziamenti ad aziende a basso rischio. Le aziende quindi dovrebbero essere valutate in funzione del rischio, ed ottenere tassi migliori se il loro rating è migliore.
Di questo ultimo aspetto mi ero interessato circa un anno fa, nell’ambito della preparazione di un convegno da parte di un socio CLUSIT, ma sembrava che fosse ancora solo teoria: da nessuna delle bacnhe che avevo interpellato avevo avuto notizia di prodotti che tenessero realmente conto di un rating di questo tipo. Questo nonostante se ne parli da tempo, mi pare di aver partecipato ad un seminario al riguardo già nel 2005. La notizia sarebbe quindi che adesso questi prodotti cominciano ad esserci. Non ho idea se questo sia il primo, ma come sempre quando uno si muove, poi gli altri si muovono a ruota.
Cercando su Internet, si trovano diverse pagine dedicate a questo tema. Ho trovato ad esempio questa delle Banche di Credito Cooperativo. Ovviamente sta già nascendo tutto un mercato di prodotti per la valutazione, di consulenti, di prodotti di valutazione e autovalutazione…