Dopo una prima fase di incertezza, oggi gli operatori finanziari vedono nel cloud l’abilitatore per eccellenza della trasformazione digitale e, quindi, un pilastro delle loro strategie di business. La flessibilità, l’agilità, la resilienza e il miglioramento del time-to-market del cloud costituiscono un’opportunità troppo importante per essere ulteriormente rinviata. Non stupisce che la stragrande maggioranza degli operatori si avvalga di servizi cloud a supporto del business.
Il (lento) percorso dei processi mission-critical verso il cloud
Nel mercato dei servizi finanziari c’è una differenza marcata tra i processi non-core e quelli su cui l’azienda basa il proprio business (mission-critical), che in ambito bancario sono identificati dall’espressione core banking. Se la prima categoria fa abitualmente uso di risorse e servizi cloud (piattaforme, applicativi SaaS…), nel segmento mission-critical l’evoluzione è più lenta e molti passi devono essere ancora effettuati.
Per approfondire il tema, abbiamo interpellato Eugenio Barozzi, Financial Services Cloud Sales Leader di IBM Emea, che ci ha confermato che la porzione di applicazioni e workload mission-critical in cloud è ancora limitata a un 10%-20% del totale. Tutto ciò, ovviamente, si riferisce agli incumbent del mercato (banche, istituzioni finanziarie, assicurazioni) e non tiene conto dei player dell’era digitale come le challenger bank e l’area fintech/insurtech.
“Le banche – ci spiega Barozzi – hanno un IT molto strutturato ed efficiente, con un’infinità di regole (e relativi controlli) già in-place, che consentono alle aziende di essere compliant con gli innumerevoli impianti normativi in vigore in ogni parte del globo. Andare a replicare, per una qualsiasi soluzione cloud, tutti i controlli, le regole e le implementazioni di sicurezza e compliance già esistenti e operative on-prem comporta investimenti importanti e tempi lunghi di realizzazione, che di fatto stanno rallentando l’adozione del cloud nei settori più regolati”.
Gli operatori del Finance possono quindi vivere una sorta di tensione tra un modello di business, che spinge verso soluzioni sempre più innovative e customer-centric, e l’esigenza di gestire al meglio l’esposizione al rischio, cosa che di fatto rallenta l’innovazione.
Ciò nonostante, il percorso verso il cloud è tutt’altro che precluso. Le banche stanno evolvendo, sia pur in modo più graduale e progressivo rispetto ad altri verticali: “La normativa non impedisce alle aziende di portare workload e applicazioni in cloud. Piuttosto, impone loro un’ampia serie di controlli, di regole e di vincoli da implementare: a titolo d’esempio si pensi al GDPR, ma anche a tutte le regole della European Banking Authority (EBA), a quelle di ABI e a tutto ciò che sta accadendo con DORA (Digital Operational Resilience Act della Commissione Europea, ndr)” spiega Barozzi.
Gli operatori finanziari devono quindi rispettare norme, procedure e adottare molte cautele, tra cui quelle relative all’integrazione con terze (e quarte) parti come gli ISV (Independent Software Vendor), i System Integrator e i fornitori di applicazioni SaaS. Estendere i controlli a tutto l’ecosistema che ruota attorno gli operatori finanziari è fondamentale per gestire in modo accorto il rischio e ridurre i profili di responsabilità.
Lo scenario è diverso, come prevedibile, per quanto concerne le imprese del mondo fintech e insurtech, che hanno nel DNA molto sviluppo verso il cloud nativo. Qui, l’adozione del cloud è un pilastro fondante del business; inoltre, queste aziende non hanno un backlog di applicazioni da far evolvere in chiave innovativa, né strutture e grandi investimenti da gestire al meglio.
Scegliere i carichi di lavoro giusti e il valore del modello ibrido
Come intraprendere, quindi, un cloud journey efficace in un settore fortemente regolato come questo? A livello strategico, l’elemento cardine è la corretta selezione dei carichi di lavoro (core) di portare in cloud, che dipende da diversi parametri come la complessità dell’operazione, i livelli di rischio e l’utilità per il cliente, tenendo sempre conto che il cloud non coincide con la sola dimensione pubblica.
Anzi, IBM è consapevole che non tutti i carichi di lavoro andranno in cloud e per questo ha sposato il paradigma ibrido. Scegliere le componenti che non espongono grandi rischi e, al tempo stesso, garantiscono benefici agli operatori in termini di innovazione è la prima grande sfida del percorso di modernizzazione del finance.
Il cloud journey nel Finance e il ruolo dei controlli
A livello operativo, la prima attività di un cloud journey allo stato dell’arte è la selezione delle regole, già operative on-prem, che si vogliono implementare anche in cloud. Infatti, ci spiega Barozzi, non tutte quelle disponibili on-prem servono necessariamente in cloud, o magari si ha bisogno di altre regole per la gestione della sicurezza o l’interazione con le terze parti.
Una volta implementato un framework corretto di controlli, che consente alla banca di analizzare il rischio, di essere avvertita di eventuali problemi e di disporre di mitigation path efficaci, si sceglie il percorso corretto per portare gli elementi tecnologici in cloud, che sia un carico di lavoro di tipo OpenShift, una modernizzazione del mainframe o anche un lift and shift. “In questo percorso, sviluppare e implementare in cloud tutta l’infrastruttura dei controlli comporta anche un anno, un anno e mezzo di lavoro, e solo successivamente si parte con la trasformazione dei workload”. Quando parlavamo di ostacoli alla trasformazione verso il cloud pubblico, intendevamo proprio questo.
Per essere compliant con un panorama normativo complesso e in continua evoluzione, tutto l’ambiente cloud, comprensivo di elementi infrastrutturali, servizi, applicazioni, architettura e workload lo deve essere. Non parliamo solo di controlli, ma anche di reportistica che attesti i controlli effettuati, gli esiti, come sono stati svolti i controlli, le debolezze eventualmente riscontrate e in che modo l’azienda le ha indirizzate.
Gli ambienti cloud “for financial services”
La complessità del tema e i costi connessi spiegano l’esistenza di ambienti cloud con caratteristiche ad hoc per la sicurezza, la conformità e la resilienza delle istituzioni finanziarie. Tali ambienti, tra i quali IBM Cloud for Financial Services, aggiungono ai controlli tipici di una solida piattaforma cloud un framework dedicato appositamente al Finance e comprendente. Nel caso di IBM, stiamo parlando di 7 focus area, per un totale di ben 280 controlli predefiniti che vanno al di là della normativa e degli standard più comuni (NIST, GDPR, PCI, SOC…) e riguardano la cybersecurity, la protezione avanzata del dato, l’access management e il configuration management.
La disponibilità di centinaia di controlli già esistenti, il continuo aggiornamento rispetto a norme in evoluzione, tecnologie di sicurezza ad hoc e un sistema avanzato di reportistica sono i principali benefici di un ambiente dedicato alla industry finanziaria.
Barozzi spiega che “Dopo aver analizzato con i clienti i controlli già in place (on-premise, ndr), effettuiamo una mappatura con quelli che abbiamo già disponibili in cloud, e regolarmente troviamo un 90%-95% di sovrapposizione. A volte, quel 5% che andrebbe realizzato ex novo era in realtà ridondante rispetto a ciò che serve davvero”.
Una cosa particolarmente interessante, in questo caso specifica della soluzione IBM, è che il framework alla base del Cloud For Financial Services non si applica unicamente all’ambiente di cloud pubblico IBM, ma anche a cloud privati e ibridi. Attraverso la soluzione IBM Cloud Satellite, che è financial services compliant, è infatti possibile estendere i controlli anche verso i cloud pubblici di altri provider.
