                               Art. 11 
 
                          Rischi operativi 
 
  I gestori adottano un sistema di  gestione  del  rischio  operativo
atto a prevenire: i)  l'arresto  dell'operativita';  ii)  gli  errori
procedurali; iii) una riduzione della funzionalita' elaborativa;  iv)
la perdita di riservatezza e l'alterazione non autorizzata dei dati. 
  A tal fine, i gestori sono tenuti a  individuare  una  politica  di
gestione del rischio operativo che stabilisca  obiettivi  in  termini
di: a) disponibilita' (tempo in cui il servizio e' attivo, esclusi  i
fermi tecnici); b) affidabilita' (numero massimo di  interruzioni  in
un determinato periodo); c) tempo di ripristino (tempo massimo  entro
cui il servizio deve essere ripristinato dopo l'anomalia);  d)  punto
di ripristino (istante di consolidamento dei dati fino  al  quale  e'
garantita l'integrita' degli stessi). 
  I gestori individuano inoltre le operazioni critiche e le attivita'
sottostanti e adottano misure  adeguate  a  proteggerle  da  attacchi
cyber, a individuare tali attacchi, a rispondervi  e  a  ripristinare
l'operativita'. Tali misure sono testate regolarmente. 
  I gestori stabiliscono  altresi'  meccanismi  di  governo  tali  da
consentire l'identificazione e la valutazione dei  rischi  operativi,
inclusi  quelli  cibernetici,  l'implementazione  di   strategie   di
risposta a  incidenti  specifici  e  l'innalzamento  del  livello  di
consapevolezza  dei  partecipanti  circa  i   rischi   connessi   con
l'attivita'; i gestori devono valutare il  sistema  di  gestione  dei
rischi con cadenza annuale attraverso esercizi di autovalutazione. 
  Il sistema di gestione del rischio operativo prevede  anche  misure
tecnico-organizzative  per  la  riduzione  della   probabilita'   del
verificarsi di  un  malfunzionamento  e  per  il  contenimento  degli
effetti  del  suo  impatto,  inclusa  l'adozione  di  un   piano   di
continuita' operativa e di disaster recovery adeguati al  profilo  di
rischio del sistema e  alla  tipologia  e  complessita'  dei  servizi
offerti. La Banca  d'Italia  valuta  l'adeguatezza  delle  misure  di
continuita' operativa adottate dai gestori  di  sistemi  avendo  come
riferimento i criteri in allegato al presente provvedimento.