In data 7 marzo 2022, è stato diffuso tramite comunicato stampa un “Richiamo al rispetto delle misure restrittive adottate dalla UE in risposta all’aggressione militare russa in Ucraina” a cura, congiuntamente, di Banca d’Italia, CONSOB, IVASS e Unità di Informazione Finanziaria per l’Italia (“UIF”).

Le suddette Autorità hanno infatti ritenuto opportuno richiamare l’attenzione dei rispettivi soggetti vigilati, innanzitutto, per assicurare il pieno rispetto delle misure restrittive decise dall’Unione Europea – mediante Regolamenti e Decisioni – a seguito dell’attacco militare della Russia in Ucraina, ricordando che tali misure sono vincolanti nella loro totalità e sono direttamente e immediatamente applicabili in ciascuno degli Stati membri. Di conseguenza, i soggetti vigilati sono tenuti a rispettarle, e a mettere in atto i controlli e i dispositivi necessari, monitorando costantemente l’aggiornamento delle misure in questione.

Tali misure, consistenti sostanzialmente, tra l’altro, in restrizioni finanziarie e alle relazioni economiche, nonché in una serie di divieti (ad esempio, di effettuare operazioni con la Banca centrale russa e con la Banca centrale della Bielorussia), sono consultabili sui seguenti siti:

Le predette Autorità hanno ricordato che andranno tenute altresì in considerazione le indicazioni fornite dalla UIF con il Comunicato del 4 marzo 2022 ai fini dell’adempimento degli “obblighi di comunicazione delle misure di congelamento applicate nei confronti dei soggetti designati”.

Oltre a ciò, colpisce il fatto che le Autorità sopra citate hanno ritenuto opportuno dedicare particolare attenzione anche ai rischi informatici conseguenti al conflitto bellico; in particolare, i soggetti vigilati sono stati inviati a prestare la “massima attenzione” al rischio di attacchi informatici, a intensificare le attività di monitoraggio e difesa in relazione a possibili attività di malware e ad adottare tutte le misure di mitigazione dei rischi che si rendano necessarie.

A tal proposito, i soggetti vigilati dovrebbero considerare attentamente i piani di continuità aziendale (business continuity plan) e garantire il corretto funzionamento e il pronto ripristino dei backup; in tale ambito, è stata sottolineata l’importanza di garantire la separazione dell’ambiente di backup da quello di esercizio, valutando la possibilità di prevedere soluzioni di backup offline (ossia che non siano fisicamente o logicamente collegati alla rete) dei sistemi e dei dati essenziali. Viene anche raccomandato ai soggetti vigilati di prestare attenzione nel continuo agli aggiornamenti forniti dal Computer Security Incident Response Team – Italia.

In questo contesto, è doveroso ricordare inoltre che le Funzioni di Internal Audit, nel proprio ruolo di presidio sul sistema di controllo interno e di gestione dei rischi, non possono prescindere dal prestare particolare attenzione agli aspetti legati all’Information Technology e assolvere ai propri compiti di assurance attinenti al sistema informativo aziendale (ICT audit).