Il processo di trasformazione digitale va inevitabilmente a incidere anche sulla funzione di compliance, chiamata a fronteggiare nuove esigenze di un sistema caratterizzato da clienti sempre più “social” e sempre meglio informati, dove si affacciano nuovi competitor e tecnologie innovative quali Analytics, Blockchain, IoT.
Un mondo in movimento accompagnato da normative (GDPR e PSD2) che talvolta anticipano il cambiamento, con impatti non trascurabili in termini di governance, di identificazione, valutazione e gestione dei rischi, nuove sfide tecnologiche derivanti anche dalla mole di informazioni da processare.
Sono queste le fondamenta dello studio “Compliance for digital: tra obblighi regolamentari e spinte all'innovazione” realizzato da Cetif in collaborazione con Crif e al quale hanno partecipato, nell’ultimo trimestre 2017, nove istituzioni (Assimoco, BPER, Cattolica Assicurazioni, Cargeas Assicurazioni, CNP Unicredit Vita, Credem, ITAS Mutua, Mediolanum e Reale Mutua Assicurazioni) che si sono confrontate in due tavoli di lavoro dedicati alla digital transformation, gli scenari regolamentari e gli impatti su compliance, governance e organizzazione; il confronto sui rischi e le opportunità del fenomeno e infine un focus sul trattamento dei dati, gli impatti e le novità del GDPR, in termini di ruoli, responsabilità e processi.
Dalla ricerca è emerso che mediamente, circa il 30% del budget IT Security sarà destinato al progetto d’implementazione GDPR. Gli investimenti informatici più rilevanti stanno riguardando attività di data mapping, software per la data loss prevention, anonimizzazione e simulazioni data breach. Fondamentale è il concetto di Customer Centricity: la digitalizzazione comporta gestire un sovraccarico informativo, offre la possibilità di tariffare secondo nuove informazioni e di targetizzare ulteriormente i prodotti e i clienti. In un’ottica in cui diventa quindi determinante trattare in modo corretto i dati dei clienti, restano tuttavia alcuni punti aperti quali la portabilità, la limitazione della conservazione e la minimizzazione degli stessi dati, così come stabilito dalla General Data Protection Regulation: principi generali del nuovo Regolamento in materia di privacy, su cui il gruppo di lavoro ha espresso elevato grado di difficoltà nell’applicazione. Resta un tema aperto anche quello della qualità e del valore dei dati e di come valutare la loro significatività, considerato anche il vincolo normativo in materia di protezione dei dati personali (GDPR). La Digital Transformation e l’innovazione in generale dovrebbero essere considerate dalle istituzioni finanziarie un fattore enabling piuttosto che disruptive, sebbene le stesse rendano necessario un cambio di paradigma della Funzione Compliance rispetto alla misurazione dei rischi, all’interno dei quali diventa fondamentale iniziare a considerare “il rischio di non fare”, come possibile ostacolo all’evoluzione della Funzione Compliance stessa e di tutto il Business.