La conformità normativa è legata strettamente alla governance del software, soprattutto in specifici settori come quello bancario e assicurativo in cui bisogna tenere conto dell’aspetto regolatorio e degli aggiornamenti a livello nazionale ed europeo che ne disciplinano l’operato.
In questo articolo vediamo come la software intelligence supporta banche e assicurazioni per quanto concerne la tracciabilità end-to-end e i recenti obblighi normativi.
Il ruolo della software intelligence in ambito finance
Le istituzioni finanziarie hanno infrastrutture tecnologiche stratificate nel tempo che devono rispettare gli aggiornamenti normativi. Da un lato ci sono le nuove direttive europee, come il Digital Operational Resilience Act (DORA), che chiede prove di resilienza per dimostrare di saper fronteggiare gli incidenti informatici e i rischi legati ai fornitori esterni lungo tutta la catena del software. Dall'altro l'EU AI Act, che accende un faro sui sistemi di intelligenza artificiale usati per il credito o le polizze, pretendendo rigorosi controlli e massima trasparenza.
A questo si aggiunge un dato strutturale. Molte grandi banche poggiano ancora su basi storiche in linguaggio COBOL e le assicurazioni gestiscono i processi principali attraverso sistemi monolitici nati anni fa. Quando le strutture sono così rigide, anche solo lanciare un nuovo prodotto può essere complesso. La Software Intelligence interviene proprio qui, offrendo una "mappa" per capire perché un’architettura è fragile e come ottimizzarla nel modo più efficace.
La tracciabilità end-to-end
In ingegneria del software “Requirements Traceability Management (RTM)” significa poter documentare e seguire l’intero ciclo di vita di un requisito, dalla richiesta normativa o funzionale fino al test e al deploy, cioè al rilascio in produzione. Nel mondo finanziario questo si traduce nella possibilità di dimostrare a soggetti come Banca d’Italia o CONSOB che una nuova regola è stata interpretata correttamente, tradotta in logica applicativa, verificata e rilasciata senza produrre effetti collaterali su altri sistemi.
Le piattaforme di software intelligence agevolano queste attività attraverso l’analisi semantica del codice e il parsing sintattico, tecniche che leggono il software sia nel suo significato funzionale che nella sua struttura formale. Il risultato sono matrici di tracciabilità bidirezionali e audit trail che collegano l’autore della modifica, il momento del cambiamento, il requisito di riferimento e l’impatto sul resto del repository. È su questa base che prende forma il concetto di compliance-as-code, di cui parleremo più avanti.
A questo si affianca il dependency mapping, cioè la rappresentazione delle relazioni tra microservizi, database, API e sistemi legacy. Le API, Application Programming Interface, sono i punti attraverso cui sistemi diversi comunicano tra loro. In un ambiente regolamentato, questa mappa è utile soprattutto per due ragioni.
- Consente l’analisi di impatto predittiva. Prima di rilasciare una modifica, si può simulare come si propagherà nell’architettura e intercettare possibili breaking changes, cioè incompatibilità che rischiano di interrompere il funzionamento di altri componenti.
- Aiuta a calcolare il blast radius durante un incidente, cioè l’estensione del suo raggio d’azione. Se emerge una vulnerabilità in una libreria open source, la mappa delle dipendenze consente di capire quali applicazioni sono esposte e dove intervenire per contenere il problema.
La sicurezza come parte del processo
Lo standard ISO/IEC 5055:2021, sviluppato dal Consortium for Information and Software Quality (CISQ), introduce metriche oggettive e automatizzabili per valutare la qualità strutturale interna del software lungo quattro dimensioni: sicurezza, affidabilità, efficienza delle prestazioni e manutenibilità.
La software intelligence applicata al codice di banche e assicurazioni si articola su tre livelli che lavorano in modo coordinato.
- SAST, Static Application Security Testing. È l’analisi statica del codice sorgente eseguita prima della compilazione. Serve a individuare pattern noti di vulnerabilità quando il costo di correzione è ancora relativamente contenuto.
- DAST, Dynamic Application Security Testing. È l’analisi dinamica dell’applicazione in esecuzione. Simula le tecniche di un attaccante per individuare falle che emergono a runtime, per esempio nella gestione delle sessioni, nelle configurazioni o nell’esposizione di endpoint sensibili.
- SCA, Software Composition Analysis. È l’analisi delle componenti software di terze parti, in particolare delle librerie open source. Serve a mappare le dipendenze presenti in un’applicazione, costruire la Software Bill of Materials (SBOM) e confrontare ogni componente con i database delle vulnerabilità note, come le Common Vulnerabilities and Exposures (CVE).
In ambito finance la SCA è particolarmente importante perché gran parte del software non è composto solo da codice scritto internamente, ma anche da componenti esterne che devono essere note, valutate e monitorate. C’è poi una frontiera più recente legata all’adozione dei coding assistant: quando il codice viene generato con il supporto dell’intelligenza artificiale, la domanda è se rispetta le policy di data privacy e gli endpoint autorizzati. Le piattaforme di software intelligence orientate alla compliance aiutano a verificare che il codice prodotto da un LLM, si connetta solo agli endpoint corretti e resti coerente con i vincoli architetturali previsti. Un microservizio di pagamenti, per esempio, non dovrebbe poter dialogare con un modulo di reportistica senza un’autorizzazione esplicita.
Infine, c’è il debito tecnico. Nelle istituzioni più stratificate è spesso il rischio operativo latente più diffuso.
L’intelligenza che aiuta la conformità
Accanto all’analisi del codice si stanno affermando anche piattaforme RegTech, tecnologie pensate per supportare i processi regolatori e di conformità, che usano l’intelligenza artificiale per leggere, automatizzare e ottimizzare attività oggi spesso ancora manuali.
Il loro contributo si articola su tre piani:
- Il primo è il regulatory horizon scanning, il monitoraggio continuo delle fonti normative con Motori di Natural Language Processing che selezionano gli aggiornamenti più pertinenti rispetto al profilo di rischio dell’istituzione.
- Il secondo è il collegamento tra policy e controlli. In questo caso l’AI aiuta a mettere in relazione nuovi requisiti normativi, policy interne, manuali operativi e, nei contesti più maturi, anche i controlli IT che devono recepirli.
- Il terzo è il monitoraggio transazionale supportato da Machine Learning. Modelli addestrati a riconoscere pattern ricorrenti nei dati che aiutano a distinguere con maggiore precisione un comportamento anomalo da una normale variazione operativa.
La sintesi è la compliance-as-code. Regole di privacy, restrizioni sui flussi finanziari e controlli antifrode diventano logiche eseguibili integrate nelle pipeline di Continuous Integration e Continuous Delivery o Deployment. La conformità entra direttamente nel ciclo di sviluppo e rilascio e diventa un attributo che può essere verificato in modo sistematico.
LogicLens AI
In Sourcesense lavoriamo da anni con banche, assicurazioni e grandi organizzazioni su sistemi software complessi e mission-critical. È in questo contesto che abbiamo sviluppato LogicLens AI: un agente che combina Generative AI e knowledge graph del software per trasformare codebase in oggetti interrogabili e comprensibili.
LogicLens AI ricostruisce le relazioni tra componenti, individua le dipendenze nascoste, restituisce mappe funzionali del codice e supporta i team — tecnici e non tecnici — nelle attività di problem determination, impact analysis e risk/compliance check.
Ti piacerebbe provare LogicLens AI nel tuo contesto? Contattaci per una demo e potrai testarlo gratuitamente per due settimane sul tuo codice.
