«Τράπεζες προσέχετε σε ποιους δίνετε την εξωτερική ανάθεση υπηρεσιών πληροφορικής (outsourcing)» είναι το κεντρικό μήνυμα που στέλνει το ενημερωτικό δελτίο εποπτείας της ΕΚΤ, επισημαίνοντας επίσης ότι οι επενδύσεις σε ισχυρά μέτρα κυβερνοασφάλειας είναι υψίστης σημασίας για την προστασία των τραπεζών από τις αυξανόμενες απειλές στον κυβερνοχώρο.
Σε αυτό το πλαίσιο, η Ευρωπαϊκή Κεντρική Τράπεζα υποδεικνύει ότι η επιχειρησιακή ανθεκτικότητα είναι όλο και πιο σημαντική για την αντιμετώπιση των εξελισσόμενων προκλήσεων. «Ενώ οι τράπεζες στρέφονται προς λύσεις βασισμένες στο cloud για να διευκολύνουν την ευελιξία και την επέκταση των υποδομών πληροφορικής, η ΕΚΤ εντόπισε τρωτά σημεία στις στρατηγικές για την εξωτερική ανάθεση υπηρεσιών πληροφορικής και, ως εκ τούτου, παρουσίασε λεπτομερώς τα προσχέδια εποπτικών προσδοκιών και καλών πρακτικών της για την εξωτερική ανάθεση υπηρεσιών cloud», επισημαίνεται. Η λειτουργική ανθεκτικότητα εξηγείται, παραμένει στο μυαλό των Ευρωπαίων εποπτικών αρχών και οι προτεραιότητες της ΕΚΤ για την περίοδο 2025-2027 συνεχίζουν να τονίζουν την ανάγκη αποκατάστασης των ελλείψεων στην εξωτερική ανάθεση εργασιών, την ασφάλεια τεχνολογίας πληροφοριών και τους κινδύνους στον κυβερνοχώρο.
Συνολικά, η ανάλυση του 2024 δείχνει ότι οι τράπεζες βασίζονταν όλο και περισσότερο στην εξωτερική ανάθεση εργασιών (outsourcing). Τα στοιχεία δείχνουν ότι το μερίδιο των διοικητικών δαπανών για όλες τις υπηρεσίες εξωτερικής ανάθεσης έχει αυξηθεί από 6,8% σε 7,2%. Η εξωτερική ανάθεση υπηρεσιών ΤΠΕ (Τεχνολογία Πληροφοριών και Επικοινωνιών), ιδιαίτερα των υπηρεσιών cloud, συνέχισε να αυξάνεται. «Επομένως, παραμένει ζωτικής σημασίας οι τράπεζες να διαχειρίζονται σωστά τους κινδύνους και να συμμορφώνονται με την DORA για τη διαχείριση κινδύνων από τρίτους που απορρέουν από τις συμβάσεις τους για τις ΤΠΕ. Επιπλέον, δεδομένων των αυξημένων γεωπολιτικών εντάσεων, οι τράπεζες θα πρέπει να προσέχουν τους αυξημένους κινδύνους που προκύπτουν από την ολοένα και μεγαλύτερη προμήθεια υπηρεσιών ΤΠΕ από χώρες ή παρόχους που έχουν την έδρα τους εκτός της ΕΕ».
Στο πλαίσιο της αυξανόμενης γεωπολιτικής έντασης, αναφέρει το εποπτικό δελτίο, οι κίνδυνοι εξωτερικής ανάθεσης διαφέρουν ανάλογα με το αν οι υπηρεσίες παρέχονται από την Ευρωπαϊκή Ένωση (ΕΕ) ή από χώρες εκτός ΕΕ. Ένας αυξανόμενος αριθμός κρίσιμων υπηρεσιών παρέχεται από χώρες εκτός ΕΕ (+36%). Το ποσοστό των κρίσιμων συμβάσεων ΤΠΕ που ανατέθηκαν σε εξωτερικούς παρόχους που βρίσκονται σε χώρες εκτός ΕΕ (ιδίως στο Ηνωμένο Βασίλειο, τις Ηνωμένες Πολιτείες και την Ινδία) αυξήθηκε από 22% σε 27%. Αυτό σηματοδοτεί αυξανόμενη πολυπλοκότητα και διευρυμένο παγκόσμιο εύρος συμφωνιών εξωτερικής ανάθεσης, επισημαίνεται.
Δαπάνες εκατομμυρίων για Τεχνολογία Πληροφοριών και Επικοινωνιών
Σύμφωνα με τα στοιχεία που παρουσιάζονται στο εποπτικό δελτίο της ΕΚΤ, μεταξύ 2023 και 2024 οι τράπεζες αύξησαν κατά μέσο όρο τον προϋπολογισμό τους για την εξωτερική ανάθεση υπηρεσιών ΤΠΕ (Τεχνολογία Πληροφοριών και Επικοινωνιών) κατά 2,1%.
Στην ανάλυση του 2024, η μέση δαπάνη ανά σημαντικό ίδρυμα (SI) ανήλθε σε περίπου 83,9 εκατ. ευρώ, έναντι περίπου 82,2 εκατ. ευρώ το 2023. Σχεδόν όλες οι τράπεζες έχουν συμβάσεις για κρίσιμες λειτουργίες που βασίζονται σε cloud και κατά μέσο όρο μαζί ξόδεψαν 13,5% περισσότερα για την εξωτερική ανάθεση υπηρεσιών σε σχέση με το 2023. Στην ανάλυση του 2024, η μέση δαπάνη ανά σημαντικό ίδρυμα ήταν περίπου 57 εκατ. ευρώ, σε σύγκριση με το ποσό των 50,2 εκατ. ευρώ το 2023.
Τα προτιμώμενα μοντέλα ανάπτυξης και υπηρεσιών είναι το «δημόσιο νέφος (public cloud» και το «λογισμικό ως υπηρεσία (software as a service», ιδίως στο πλαίσιο των υπηρεσιών ΤΠΕ. Αυτές οι τάσεις αντικατοπτρίζουν μια ευρύτερη στροφή της τραπεζικής βιομηχανίας προς τον ψηφιακό μετασχηματισμό και την εξάρτηση από προηγμένες τεχνολογικές λύσεις.
