Art. 9 
 
 
                          Rischio operativo 
 
  I gestori adottano un sistema di  gestione  del  rischio  operativo
atto a prevenire: i)  l'arresto  dell'operativita';  ii)  gli  errori
procedurali; iii) una riduzione della funzionalita' elaborativa;  iv)
la perdita di riservatezza e l'alterazione non autorizzata dei dati. 
  A tal fine, i gestori sono tenuti a  individuare  una  politica  di
gestione del rischio operativo che stabilisca  obiettivi  in  termini
di: a) availability (tempo in cui il servizio  e'  attivo  esclusi  i
fermi tecnici); b) reliability (numero massimo di interruzioni in  un
determinato periodo); c) recovery time (tempo massimo  entro  cui  il
servizio deve essere ripristinato dopo l'anomalia); d) recovery point
(istante di consolidamento  dei  dati  fino  al  quale  e'  garantita
l'integrita' degli stessi). 
  I gestori stabiliscono  altresi'  meccanismi  di  governo  tali  da
consentire  l'identificazione  e  la  valutazione   del   rischio   e
l'implementazione di strategie di risposta a incidenti  specifici;  i
gestori devono valutare il sistema di gestione dei rischi con cadenza
annuale attraverso esercizi di autovalutazione. 
  Il sistema di gestione del rischio operativo prevede  anche  misure
tecnico-organizzative  per  la  riduzione  della   probabilita'   del
verificarsi di  un  malfunzionamento  e  per  il  contenimento  degli
effetti del suo  impatto.  I  gestori  di  sistemi,  riconosciuti  di
importanza  sistemica,  sono  tenuti  a  osservare  le   disposizioni
specifiche in materia di continuita' operativa comunicate dalla Banca
d'Italia.