UBISS utilizza una soluzione automatica di data mining, basata sul machine learning, per mappare i dati sensibili che vanno protetti
Filippo Finocchiaro è Head of IT Data Governance e Big Data & Analytics di UBISS. In questa veste è responsabile per il gruppo Ubi Banca della gestione del dato, che significa tutelare i diritti dell’interessato relativamente ai propri dati.
Da questo punto di vista, il GDPR punta i riflettori sui dati personali e sensibili di tre tipologie di attori: i clienti della banca, i fornitori e i dipendenti.
Il parco applicativo della banca risulta particolarmente ampio e variegato. Questo a causa della varietà di servizi offerti, per esempio mettendo a disposizione dei clienti canali digitali piuttosto che fisici, come le filiali o gli ATM (Automatic Teller Machine), cioè gli sportelli automatici inventati da John Sheperd-Barrow e da noi noti come Bancomat), visti i rapporti da curare con i molteplici fornitori e i dipendenti.
La data governance risulta, pertanto, complicata da gestire e un sistema basato sull’intelligenza artificiale è certamente una semplificazione notevole.
«Per questo ci siamo preoccupati di capire dove risiedono tutti questi dati, che sono stati catalogati in poco più di 50 tipologie, dal sesso di un cliente al codice fiscale di un fornitore e così via, e abbiamo deciso di dotarci di un sistema di discovery automatico, che, attraverso una trentina di regole parametrizzate, trova i dati in questione all’interno di circa 500 applicazioni», afferma Finocchiaro.
Il risultato della discovery, innanzitutto, permette ai responsabili dei sistemi informatici innanzitutto di capire su quali sistemi risiedono o transitano i dati e ottenere, così, la mappatura dei sistemi, o porzioni degli stessi, da proteggere.
«Dall’altro lato, sapendo dove sono i dati, siamo in grado di rispondere alle eventuali richieste dei fornitori, clienti o dipendenti diritti riguardanti i loro diritti sui dati. Per esempio, possono chiedere quali dati la banca possiede, che uso ne viene fatto, eccetera e noi sappiamo identificarle ed estrarle all’occorrenza».
Altro aspetto fondamentale è che questi sforzi effettuati per il GDPR sono complementari a quelli che la banca è impegnata a svolgere nella propria roadmap di data governance. La suddetta discovery consente, in altre parole, di arricchire le informazioni già mappate aggiungendo nuovi attributi ai dati stessi. Per esempio, un operatore può più facilmente vedere per quanto tempo può utilizzare un determinato dato, perché il record ne riporta anche il valore di redempion.
Certamente questi diritti erano già previsti e gestiti, ma con il GDPR e le sanzioni previste si sta assumendo una maggiore rigidità e gli stessi clienti sono più esigenti.
Poiché l’insieme di dati, sistemi che li utilizzano, servizi proposti dalla banca e proprietari diretti dei dati stessi è un insieme variabile, è necessario che la discovery sia effettuata periodicamente per mantenere aggiornata la mappatura dei dati e dei sistemi da proteggere e per essere il più rapidi possibili nel soddisfare le richieste degli interessati aventi diritto.
Uno dei vantaggi della soluzione è l’automaticità della soluzione, che consente di scoprire i dati “nascosti” in vecchi applicativi, magari quelli di cui manca la documentazione e manca la memoria storica di addetti che hanno lasciato l’azienda.
Gli argomenti trattati sono approfonditi in una monografia nel numero 104 di Direction.