Ai sensi del Regolamento Dora, i rischi Ict, derivanti dal ricorso a fornitori terzi, costituiscono a tutti gli effetti una componente integrante di tutti i rischi Ict, cui sono esposte le entità finanziarie che, nel proprio quadro di gestione degli stessi, sono tenute a definire una strategia apposita, in particolare per quello che riguarda i servizi Ict a supporto di funzioni essenziali o importanti.

Policy per disciplinare la governance di tutti i servizi Ict

A tal fine, è prescritta l’adozione di una policy per la gestione dei fornitori terzi di servizi Ict che, oltre a disciplinare il ciclo di vita delle forniture, definisca i ruoli e le responsabilità interne per l’approvazione, la gestione, il controllo e la documentazione degli accordi contrattuali per l’utilizzo di servizi Ict a supporto di funzioni essenziali o importanti.

Va però rilevato che, nella prassi, esigenze di chiarezza e di uniformità hanno ben presto suggerito l’adozione di policy volte a disciplinare la governance di tutti i servizi Ict.

Nella gestione dei rischi Ict, derivanti dal ricorso a fornitori terzi, sono coinvolti, in modo verticale e trasversale: l’organo di gestione, le funzioni di controllo e le funzioni operative delle entità finanziarie. Ciascuno di essi, per ambito di competenza, contribuisce a presidiare tali rischi lungo tutto il ciclo di vita delle forniture Ict.

Il monitoraggio degli accordi

È inoltre richiesta l’assegnazione di un ruolo per monitorare gli accordi conclusi con i fornitori terzi di servizi Ict, ovvero la designazione di un dirigente di rango elevato quale responsabile della sorveglianza sulla esposizione al rischio derivante dagli accordi conclusi con i fornitori terzi di servizi Ict e sulla documentazione pertinente, al fine di realizzare i relativi adempimenti in modo
coordinato e di riportare periodicamente l’esito all’organo di gestione e alle funzioni di controllo.

Specifici presidi di gestione del rischio

Sotto altro profilo, il Regolamento prevede l’implementazione di specifici presidi di gestione del rischio che, nel corso del ciclo di vita delle forniture, vedono il contributo di funzioni di controllo ed operative, la cui attività si estrinseca nella valutazione di due diligence del fornitore, nell’analisi dei rischi della fornitura, effettuati ex ante (anche attraverso le funzioni esperte di sicurezza informatica e di continuità operativa, oltre che con i controlli di secondo livello svolti dalle funzioni di risk e di compliance).

I presidi contrattuali

È poi prescritta l’adozione di specifici presidi contrattuali, che la norma declina in un insieme di condizioni minime che devono essere presenti nei contratti per servizi Ict e, in particolare, per quei servizi Ict che supportano funzioni essenziali o importanti.

Tra le altre, spiccano le condizioni relative al livello dei servizi, alla sicurezza delle informazioni, alla continuità operativa, all’ubicazione dei dati e alla localizzazione dei servizi, ai diritti di audit che devono essere garantiti tanto all’entità finanziaria, che all’Autorità di vigilanza, ai diritti di risoluzione (e relative cause) e alle strategie di uscita e, non ultimo, all’utilizzo dei subfornitori da parte dei fornitori diretti.

Il Regolamento delegato (2025/532)

Quest’ultimo aspetto è oggetto di uno specifico Regolamento delegato (2025/532), che definisce gli elementi che l’entità finanziaria deve considerare nel caso di subappalto di servizi TIc, a supporto di funzioni essenziali o importanti.

Nello specifico, il Regolamento definisce le responsabilità dell’entità finanziaria, i presidi che la stessa deve adottare, anche a livello contrattuale, per gestire il rischio derivante dalla catena di fornitura, gli obblighi e i requisiti del fornitore diretto e quelli specifici del subfornitore.

Un elemento di particolare attenzione è l’autovalutazione che l’entità finanziaria deve effettuare prima di consentire al proprio fornitore di ricorrere alla subfornitura, assicurandosi, tra l’altro, di possedere risorse sufficienti per monitorare i rischi informatici derivanti dal ricorso a subfornitori, di avere valutato l’impatto dell’eventuale inadempimento del subfornitore sulla propria resilienza operativa digitale e sulla propria solidità finanziaria, nonché i rischi derivanti dalla localizzazione del potenziale subfornitore e quelli di concentrazione.

La conformità alle condizioni contrattuali e ai requisiti normativi deve poi trovare puntuale riscontro nel monitoraggio continuo delle performance dei fornitori, sia per indirizzare tempestivamente le azioni di rimedio eventualmente necessarie, sia per tracciare un quadro periodico complessivo sull’esposizione al rischio da fornire alle funzioni di controllo e all’Organo di gestione.

Il registro delle informazioni

Le informazioni più rilevanti relative alla gestione dei fornitori ICT lungo tutta la catena di approvvigionamento devono essere inserite nel registro delle informazioni.

Si tratta di uno strumento che consente all’entità finanziaria di avere una vista complessiva dei rischi derivanti dai servizi Ict, di supportare le Autorità di vigilanza nello svolgimento delle proprie attività di controllo, e di fornire alle Autorità europee di vigilanza un’ampia comprensione delle dipendenze delle entità finanziarie dai fornitori di tali servizi ai fini della gestione quadro di sorveglianza dei fornitori critici.

L’impianto e la manutenzione del registro delle informazioni, i cui requisiti sono definiti da apposita normativa tecnica, è un’attività molto complessa che ha richiesto, e richiede, un notevole impegno da parte delle entità finanziarie, non ultimo quello di individuare e definire i ruoli che attengono alla sua gestione sia sotto il profilo operativo, che sotto il profilo della responsabilità della sua conformità, nel continuo, a standard di qualità, correttezza e coerenza dei dati e delle informazioni.

L’obiettivo è la resilienza operativa digitale

L’attuazione dei presidi imposti dal Regolamento Dora alle entità finanziarie, e da ultimo anche agli intermediari ex art. 106 TUB, nella gestione dei rischi e dei fornitori ICT richiede, quindi, un intervento strutturato e sistematico che ha imposto sforzi significativi tanto all’entità finanziaria che ai fornitori, tenuti ad operare secondo un preciso modello organizzativo, volto a garantire oltre che la resilienza operativa digitale dell’entità finanziaria, anche la solidità e la tenuta del sistemaì finanziario nel suo complesso.