L’innovazione in banca. Cloud e ICT governance

Il sistema informativo della banca sta fronteggiando un impegnativo processo evolutivo dovuto ai nuovi servizi, alle nuove tendenze di mercato, all’avvento del cloud computing e delle altre tecnologie CAMS (cloud, analytics, mobile e social). Il panorama sta velocemente evolvendo verso l’interconnessione e l’esternalizzazione spinta con infrastrutture e architetture più performanti e flessibili

Il cloud computing rappresenta il nuovo modello di utilizzo e di distribuzione delle risorse ICT e propone soluzioni concrete ai problemi di flessibilità e complessità del sistema informativo (SI). Il settore bancario sta muovendo i primi passi nell’adozione del cloud computing (CC), capitalizzando anni di esperienza su temi quali la virtualizzazione, l’outsourcing e la sicurezza. Le banche vedono il CC come un innalzamento dei modelli di servizio in essere e valutano quali tipologie di carico computazionale far virare, favorendo applicazioni non core, nel rispetto delle policy di sicurezza.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

«Il nuovo modo di concepire il rapporto banca-cliente e le relazioni economiche della moderna società contemporanea hanno contribuito a un ulteriore step di sviluppo del progresso tecnologico in ambito bancario» – afferma Claudio Ruffini, presidente di Augeos. Rispetto alle passate fasi di innovazioni, appare chiaro come nel recente periodo ci sia stata una inversione radicale del tradizionale rapporto tra domanda-offerta. «Mentre prima – continua Ruffini – l’innovazione era offerta al cliente quale valore aggiunto del rapporto in essere, con l’avvento di Internet e della virtualizzazione si è assistito a una sempre maggiore preponderanza della domanda da parte dei clienti nella definizione dell’offerta, sfociata in primis nella cristallizzazione del concetto di banca elettronica e poi nella digitalizzazione dei prodotti e servizi».

Cloud computing

Il ricorso al CC permette, in effetti, di avere sempre in rete e dunque disponibili le informazioni necessarie grazie a sistemi di back-end, estremamente performanti, elastici, basati su standard aperti che favoriscono l’interoperabilità. L’attenzione si concentra in particolare sugli ambiti in cui tale approccio sembra in grado di apportare i maggiori benefici, ovvero all’elevata resilienza di strutture tecnologiche distribuite e alla possibilità di svincolarsi dalle logiche abituali anche dei costi. Per quanto riguarda lo sviluppo di mercato, l’Osservatorio del Politecnico di Milano stima che il 2014 si chiuda con un giro d’affari di 1,18 miliardi di euro e una crescita annua del 31%.

«La banca affronta una duplice sfida. La prima è quella di aprirsi all’esterno, mantenendo rigorosamente il possesso dei dati pregiati di cui dispone, la seconda è quella di portare sempre più la filiale a casa del cliente, con un ruolo proattivo che in precedenza le era sconosciuto» – evidenzia Guido Ciurli, account manager industry, finance e retail EMEA di Italtel. «Alla prima tendenza risponde, facendo ricorso all’uso del CC, dove nel cloud privato, e quindi sicuro, risiedono le informazioni mission critical, mentre attraverso un application store accessibile in cloud pubblico e che gira su data center di nuova generazione è possibile accedere alle informazioni utili al cliente». Italtel con la sua proposta di Value Added Broker si pone in questo ruolo di connettore tra cloud pubblico e privato. In un approccio in cui la banca voglia essere più smart, multicanale, snella, capace di offrire servizi di remote expert, la risposta arriva da un uso consapevole del webRTC che permette la comunicazione browser to browser. Embrace, la soluzione webRTC di Italtel, risponde a questo bisogno, permettendo una comunicazione sicura e graduale che amplifica il rapporto fiduciario tra il cliente e la banca.

«La tendenza, per quanto riguarda il CC per finance e banche, è in linea con quella generale del mercato: portare sul cloud tutti i sistemi che vengono gestiti internamente» ribadisce Nicola Uva, strategy e marketing director di ADP Italia. Per gli istituti di credito, ciò rappresenta un elemento di difficoltà legato alla gestione dei dati sensibili dei clienti, ma esistono tuttavia esperienze interessanti in cui emerge che nelle aree critiche, affidarsi al CC può costituire addirittura un beneficio. «Mi riferisco per esempio all’home banking – continua Uva – il cui servizio diventa più semplice e funzionale per il cliente e la banca può liberarsi di infrastrutture complesse che richiedono strumenti evoluti, performance, sicurezza e scalabilità». Se fino a qualche anno fa, essere sul cloud significava perdere il controllo di determinati processi – oggi – è possibile abbinare flessibilità, controllo e autonomia gestionale. ADP sta lavorando con diversi istituti italiani nell’area delle risorse umane con l’obiettivo di sviluppare il CC per agevolare una maggiore integrazione tra le persone. «Esistono progetti – conclude Uva – che proprio facendo leva sulla collaborazione e la comunicazione agevolano lo sviluppo di nuovi ed efficaci servizi al cliente».

Inizialmente le istituzioni finanziarie sceglievano di adottare componenti in cloud solo per quelle aree funzionali che non potevano sviluppare internamente, soprattutto per ragioni normative. Oggi, invece, le banche chiedono di avere in CC anche aree funzionali complesse. «Tale cambiamento è dovuto sia al progressivo diffondersi di best practices sia all’aumento di fiducia verso i fornitori di servizi CC» – sottolinea Fabrizio Leoni, solution marketing manager di InfoCert. Alcune resistenze, però, non sono ancora del tutto superate. Pur scegliendo il full cloud, le banche chiedono che già in fase di offerta le architetture prevedano la possibilità di portare soluzioni e servizi in house, con l’idea di utilizzare l’opportunità dell’outsourcing per “testare” servizi innovativi in aree sperimentali, per poi eventualmente portarli all’interno. InfoCert da tempo lavora a fianco delle banche sviluppando soluzioni all’avanguardia e sembra aver ben compreso l’esigenza scegliendo la strada della totale trasparenza. «Di fatto, le banche che scelgono InfoCert – continua Leoni – pur affidandosi completamente a noi, hanno la possibilità di monitorare direttamente tutta la filiera del processo digitale, mantenendo di fatto il pieno controllo dei processi».

Fattori critici

Secondo Paolo Ridolfi, senior specialist di R1, «la crisi finanziaria degli ultimi anni che ha investito il settore bancario ha comportato necessariamente una riorganizzazione generale del comparto ICT». Obiettivi principali: la riduzione dei costi, la razionalizzazione e ottimizzazione dei sistemi, la necessità di fornire ai clienti servizi sempre maggiori e innovativi, semplici nell’utilizzo e soprattutto sempre disponibili. «Ecco quindi che il CC si è rilevato immediatamente una grande opportunità da sfruttare» – prosegue Ridolfi. «Le banche, così come le istituzioni finanziare, sono soggette alle normative della Banca d’Italia sia sull’outsourcing informatico, che sul CC». In effetti, l’applicabilità del CC in banca ha bisogno di alcune considerazioni su specifici punti, che al momento sembrano costituire dei fattori critici rispetto a un’adozione su larga scala e per le applicazioni core: 1) il rischio della possibile perdita di controllo delle informazioni e delle infrastrutture ICT; 2) la difficoltà di gestire risorse geograficamente distribuite e i tempi di latenza della rete; 3) le problematiche di sicurezza connesse alla condivisione di risorse tra differenti soggetti; 4) la compliance con le norme vigenti.

Leggi anche:  7 trend che stanno delineando il futuro della fiscalità

Essendo le banche e le istituzioni finanziarie soggette alle normative vincolanti di vigilanza della Banca Centrale Europea (BCE) e della Banca d’Italia nell’adozione del CC è indispensabile fare riferimento a queste. A partire dalla seconda metà del 2012, la Banca d’Italia ha sottoposto a consultazione pubblica il noto documento dal titolo “Disposizioni di vigilanza prudenziale per le banche, sistema dei controlli interni, SI e continuità operativa”, che ha prodotto interessanti risultati. In buona sostanza, le banche che ricorrono al CC devono presidiare i rischi connessi con le scelte che si vanno a compiere, mantenendo la capacità di controllo e la responsabilità sulle attività esternalizzate, nonché le competenze tecniche e gestionali essenziali per re-internalizzare, in caso di necessità, il loro svolgimento. L’ultimo aggiornamento alle disposizioni di vigilanza di Banca d’Italia ha fornito un’ulteriore spinta verso la completa conoscenza e controllo del SI e per assumere decisioni consapevoli e coerenti con gli obiettivi strategici aziendali. Nel documento, si legge che “nell’elaborazione del modello architetturale e delle strategie di sourcing, vanno considerate soluzioni tese a contenere il grado di dipendenza da fornitori e partner tecnologici (vendor lock-in), salvaguardando la possibilità di sostituire la fornitura con un’altra funzionalmente equivalente e prevedendo opportune exit strategies”. Nella scelta del fornitore, la banca deve effettuare un’appropriata due diligence, con specifico riguardo alla solidità finanziaria, all’economicità della fornitura, nonché alla maturità, diffusione e interoperabilità, in un adeguato orizzonte temporale, del servizio in esame. L’istituto deve poi porre particolare cautela nella valutazione di offerte di servizi di CC. Nel caso dell’acquisizione di servizi in community o pubblici, i maggiori rischi potenziali possono richiedere una più elevata complessità del sistema di controlli (auditing) da predisporre. Va valutata, infatti, nello specifico la capacità del fornitore di garantire il rispetto dei requisiti richiesti e di assicurare la piena ricostruzione degli accessi e delle modifiche effettuate sui dati, anche nel contesto di verifiche ispettive.

ICT governance

A questo punto, l’attenzione si riversa inevitabilmente sulla ricerca di un differenziale competitivo interno. Si rafforza, quindi, la pressione sui CIO (chief information officer), sulla gestione dell’ICT e del SI e sulla ricerca di integrazione tra applicazioni “legacy” e di nuova generazione, di flessibilità e di sicurezza. Robusti assetti di governance e affidabili sistemi di controllo interni costituiscono da sempre elementi essenziali per la sana e prudente gestione degli intermediari e per la stabilità del sistema bancario nel suo complesso. Il processo di analisi del rischio costituisce un importante strumento aziendale a garanzia dell’efficacia ed efficienza dei sistemi di protezione, permettendo di graduare le misure in funzione degli specifici rischi ravvisati nei diversi ambienti. In questa nuova ottica, diventa dunque fondamentale rafforzare la governance dei SI con nuove metodologie di gestione che superino i limiti della “navigazione a vista”. Diviene fondamentale creare un assetto strutturale e un contesto di governo del SI che lo rendano costantemente coerente con le esigenze aziendali anche in assenza di scenari evolutivi precisamente definiti. Un sistema di governance si compone di modelli e metodologie utili per fare in modo che il sistema informativo si adegui alle esigenze aziendali e del business.In particolare, sono funzionali all’ICT governance gli strumenti e le soluzioni tecnologiche in grado di: 1) standardizzare e unificare i processi e i servizi; 2) automatizzare i processi e i servizi; 3) prevedere e definire il corretto dimensionamento dell’infrastruttura a fronte di repentini cambiamenti organizzativi e di business; 4) misurare e monitorare livelli di servizio. Da questo punto di vista è quindi immediato pensare all’attuazione di standard quali ISO/IEC 38500:2008 per la “Corporate governance of information technology”. Le metodologie di supporto operativo al momento più efficaci sembrano invece essere COBIT (control objectives for information and related technology) e ITIL (IT infrastructure library), i framework per la ICT governance che con le nuove versioni sono state ampliate proprio per focalizzarne maggiormente le linee guida sul lato business e governance.

Leggi anche:  Pagamenti elettronici, al sicuro con un clic

Secondo Roberto Leone, security advisor e technology account manager di Sinergy, «l’elemento essenziale, da tenere nella massima considerazione, è la corretta comprensione di cosa sia il CC e quali rischi/opportunità comporti, per la banca e il suo ICT». Il CC non dovrebbe essere visto come semplice possibilità di “cost saving” o forma innovativa di outsourcing dei servizi. Integrare il sistema ICT bancario con una o più forme di CC richiede un’accurata valutazione preliminare non solo di costi e benefici, ma anche degli impatti e dei vincoli, attuali e prevedibili, sulla compliance e la sicurezza, elementi ormai centrali per la credibilità di ogni istituzione bancaria. «Di conseguenza – prosegue Leone – l’indicazione che forniamo ai nostri clienti è l’adozione di un framework di controllo che possieda le seguenti caratteristiche: integrazione della governance ICT nella governance della banca, copertura di tutti i processi e le funzioni che sovraintendono alla gestione delle informazioni aziendali, neutralità verso le tecnologie, integrazione di metodologie per valutare l’adeguatezza dei processi, possibilità di applicazione sull’intero ciclo di vita del progetto».

Gli fa eco Danilo Romei, direttore commerciale new market di Software E Sistemi Avanzati (SESA), «il termine ICT governance assume diversi significati: scegliere e gestire cambiamenti; amministrare risorse tecnologiche e professionali; adottare metodologie di controllo e misurazione di servizi e progetti; ma soprattutto stabilire rapporti organizzativi tra direzioni business e IT». Inizialmente, per le istituzioni finanziarie, la sfida della migrazione verso il CC si riferiva soltanto alla privacy e alla residenza dei dati. Quindi alcuni istituti di credito non hanno approfittato della rivoluzione CC paventando rischi dovuti a scarsa sicurezza. «Tuttavia il CC consente un approccio ibrido di calcolo – prosegue Romei – che dà alle banche la possibilità di sfruttarne i vantaggi, mantenendo un approccio centralizzato all’ICT governance». Questa integrazione eterogenea assicura che la maggior parte delle operazioni ICT di un’impresa finanziaria possano essere mantenute fuori sede, senza cedere il controllo delle proprie risorse di dati. «Nonostante i noti pericoli e gli investimenti minimali, il CC rappresenta un’innovazione positiva per le banche, e ne modifica sensibilmente lo scenario finanziario – conclude Romei – abilitando i seguenti benefici immediati: riduzione dei costi, incremento di efficienza, elevato livello aziendale di standardizzazione ICT, scalabilità, interoperabilità con altre piattaforme di servizio, come il mobile, virtualizzazione dei dati». L’esperienza a riguardo, su clienti diversificati, maturata da SESA testimonia questi vantaggi. Ad esempio, un’organizzazione bancaria multinazionale del Nord America, con più di 100mila dipendenti, dal 2011 ha adottato con successo tale tecnologia con, attualmente, circa il 60% del portafoglio applicativo nel cloud ibrido, incrementando in maniera drastica la capacità organizzativa dell’intera impresa e abbattendo i costi di ICT governance del 20%.

Questione di approccio

«Fino a qualche tempo fa, il settore bancario si è sempre mostrato abbastanza indifferente nei confronti del cloud computing» – sostiene Gianluca Mazzotta, EMEA presales director di Veeam. Le soluzioni CC non erano ancora mature per le esigenze di questo settore, e la governance era sicuramente una delle aree non ancora efficacemente indirizzate dai vendor. «Recentemente – continua Mazzotta – gli scenari stanno però cambiando: il CC non per forza vuol dire esternalizzazione degli asset informatici, ma si tratta di un concreto modello di business e di conduzione del dipartimento ICT che può essere applicato anche internamente alla banca». È un modo per essere più rapidi e flessibili nell’intercettare le esigenze dell’utenza e per semplificare i processi interni. Il miglior approccio per gestire efficacemente un ambiente di CC ibrido è quello di utilizzare strumenti che permettano di percepire la parte del datacenter nel cloud esattamente come se fosse on premise, con totale trasparenza. Alcuni degli ultimi trend tecnologici, come quello del Software Defined Datacenter ad esempio, possono essere una risposta a questa esigenza.

«ITIL e COBIT per l’ICT governance sono semplicemente necessari» – afferma Mazzotta. Questo implica un coinvolgimento attivo di tutti i settori e processi nei confronti del dipartimento ICT e per ottenerlo bisogna passare attraverso un radicale processo di semplificazione. Di sicuro Veeam ha una proposizione di grande valore per questo settore. Grandi gruppi bancari europei si sono già affidati alla società, in quanto leader di soluzioni di Availability. Veeam evolve i classici concetti di backup, replica, disaster recovery (DR), e business continuity in una visione della data protection molto più elevata e più vicina all’utente in termini di accessibilità ed effettiva fruibilità. «Faccio un esempio concreto» – dice Mazzotta. «Il settore bancario è sottoposto a pesanti e vincolanti normative che impongono regolari test di DR. Questi test sono ben noti per assorbire una quantità di tempo e risorse estremamente elevata. Veeam è in grado di semplificare tali processi a tal punto da farli diventare una semplice commodity, una routine eseguita automaticamente con sistematica regolarità». E il sito di DR diventa improvvisamente un valore aggiunto, non più solo un necessario centro di costo.

Leggi anche:  Il futuro delle banche italiane: Digitalizzazione e Intelligenza Artificiale al servizio della Customer Centricity come driver di crescita

Secondo Dario Greco, key account manager di Reitek – banking, insurance e credit specialist, ci sono cinque trend principali alla base dell’adozione del CC e ICT governance. Questi sono: 1) aderenza ai processi di business e vicinanza ai clienti. Fattore predominante rispetto al passato, vengono privilegiate soluzioni verticali e misurabili in risparmi sui costi di gestione e/o incremento dei ricavi; 2) innovazione e multicanalità. Non solo estensione dei touchpoints fisici o virtuali ma anche aggiornamento dell’organizzazione interna; 3) interfaccia con sistemi legacy, replicabilità fra diverse aziende dello stesso gruppo ottimizzando le risorse; 4) sicurezza e compliance. Gli standard aziendali in termini ad es. di controllo degli accessi, tutela dei dati sensibili e tracciabilità delle operazioni sono inderogabili; 5) Management e controllo. Supporto all’evoluzione del business fornendo sia il modello pure cloud sia il private cloud».

Mantenere il controllo

Ma che cosa chiedono le banche e in particolare i CIO? La risposta è «la possibilità di scegliere tra servizi CC, sapendo che per un qualsiasi motivo (variazioni delle esigenze aziendali, policy, ubicazione, ecc.) possono apportare modifiche, limitando al massimo gli inconvenienti e l’impatto sull’attività» – spiega Roberto Patano, senior manager systems engineering di NetApp. La chiave per risolvere i problemi consiste nel mantenere il controllo su performance, protezione, governance e sicurezza dei dati, aspetti particolarmente impegnativi in ambienti cloud eterogenei. «La complessità – continua Patano – è un altro fattore inibitore per i CIO che stanno prendendo in considerazione una più stretta integrazione dei servizi cloud pubblici nei propri ambienti ICT». NetApp offre soluzioni a diverse aziende del settore. Fra queste risaltano: ING Direct, che ha sviluppato un progetto interessante sul fronte del time to market, e Dexia Crediop, una banca che opera nella finanza pubblica e di progetto. Quest’ultima usufruiva di servizi di facility management dei SI presso una server farm esterna agli uffici centrali di Roma. Con l’obiettivo di innalzare i livelli di efficienza e garantirsi risparmi sui costi, l’istituto ha deciso di portare in house l’infrastruttura ICT e la sua gestione.Per favorire il processo di innovazione e accelerare lo sviluppo interno della server farm, Dexia Crediop ha puntato su soluzioni di virtualizzazione e sul concetto di storage unificato promosso da NetApp, scegliendo un’infrastruttura storage della famiglia FAS, operativa su Fiber Channel e protocollo CIFS, affidando il facility management e la realizzazione di un sistema di DR alla società Tiscali, che ha fornito alla banca collegamenti di rete a 100 Mbit e un sistema di DR. «A livello di storage, Dexia Crediop è passata da un singolo ambiente di sviluppo a tre aree di lavoro distinte (sviluppo, collaudo, produzione) – conclude Patano – perfettamente replicate in cluster e copiate in backup, ottenendo maggiore rapidità nei test e in fase di collaudo applicativo, e gestendo più semplicemente le componenti software».

Giovanni Mocchi, vicepresidente di Zucchetti Group descrive brevemente un’altra esperienza significativa sviluppata con il Gruppo Banca Popolare di Milano, dove Zucchetti ha realizzato un progetto finalizzato a introdurre best practice operative sui processi di amministrazione del personale, gestione del costo lavoro e gestione delle risorse umane. «Con l’utilizzo della suite HR Infinity in modalità cloud – sottolinea Mocchi – è stato possibile ottimizzare sia tipiche attività amministrative, quali ad esempio l’elaborazione dei cedolini, sia gli strumenti di supporto alle decisioni manageriali”. Nel primo caso, particolare attenzione è stata riservata al portale HR, dando la possibilità al dipendente di accedere, in modo profilato e contestualizzato, alle novità e ai documenti di riferimento: cedolino paga, richiesta permesso, piano ferie. Per i manager, invece, sono stati predisposti degli appositi cruscotti di HR Analytics che consentono di verificare le attività del proprio dipartimento in tempo reale e di gestire con anticipo eventuali criticità. «Il Gruppo BPM – conclude Mocchi – è stato così in grado di sfruttare a pieno le performance degli applicativi HR in un’ottica di riduzione dei costi, miglioramento dell’efficacia e della qualità dei processi di amministrazione e gestione del personale, tanto da vincere il Premio Innovazione ICT 2014».

Nello scenario competitivo che caratterizza il sistema bancario, il vantaggio fondamentale è quindi costituito dalla capacità di mettere in atto un’efficace ICT governance prima ancora di adottare tecnologie e metodologie CC, per sviluppare un più elevato valore aggiunto. Tali scelte non si giustificano di per sé, ma si motivano solo in funzione dello stretto legame con il business e con le strategie e la cultura dell’impresa. Ricerca della flessibilità operativa, ICT governance, cloud computing, modello di business reattivo, sono condizioni necessarie per trasformare il veloce susseguirsi di cambiamenti in vantaggio competitivo. La grande opportunità risiede sempre, in definitiva, nella possibilità di combinare efficacemente la specifica competenza finanziaria con i nuovi strumenti e metodologie offerti dall’ICT.