Il sistema DORA (Reg. UE 2022/2554) introduce un numero determinato di adempimenti in termini di contenuti contrattuali esplicitamente richiamati dalla normativa come obbligatori, elencati in particolare nell’articolo 30, ma anche in qualche altro articolo del regolamento dell’Ue in pieno vigore dal gennaio 2025 e degli altri documenti di cui è composto il quadro normativo.

Ecco l’interazione fra DORA e Data Act nei contratti per la catena di fornitura ICT.

Contratti per la catena di fornitura Ict

Dal testo della normativa generale e dei documenti tecnici (RTS, tra cui in particolare rilevano in questa sede quelli dedicati ai fornitori – Reg. (UE) 2024/1773 – e ai sub-fornitori – Reg. (UE) 2025/532) deriva poi un elevato numero di elementi che potrebbero o meno essere richiamati in forma di obbligazione a carico del fornitore dai contratti proposti dall’entità finanziaria.

Generalmente riguardano obblighi di governance interna che la normativa impone all’entità finanziaria, ma il cui effettivo adempimento dipende da un servizio ICT affidato all’esterno (per esempio, l’obbligo in capo all’entità finanziaria di gestione della cifratura dei propri dati).

Le norme, che impattano in modo esplicito sul contenuto del contratto, non sono di tipo cogente, cioè non prescrivono in modo diretto la regola contrattuale, ma sono di tipo dispositivo.

Significa che, per la loro attuazione, richiedono che le parti – nell’esercizio della loro autonomia contrattuale – predispongano una o più clausole il cui contenuto sia rispettoso della norma, ma la cui articolazione può essere la più varia, rispecchiando il risultato della dinamica negoziale tra le parti.

I contratti col fornitore Ict

Normalmente la proposta contrattuale arriva dall’entità finanziaria – cui DORA attribuisce la relativa responsabilità -, che dovrebbe avere fatto un’attenta due diligence e valutazione preventiva delle proprie modalità operative per mappare con precisione quali degli obblighi espressi a suo carico dalla normativa, connessi alla governance interna, possono o magari devono (per questioni pratiche di operatività, di efficacia delle azioni) tradursi in clausole contrattuali che impegnino di conseguenza i fornitori dei servizi Ict di volta in volta interessati.

È quindi presumibile che lo schema contrattuale proposto ai fornitori rispecchierà non solo i contenuti minimi previsti esplicitamente dall’art. 30 (e dalle altre norme di DORA e della normativa integrativa e tecnica dirette esplicitamente in questo senso), ma anche gli elementi di volta in volta necessari per garantire di fatto all’entità finanziaria tutta la flessibilità necessaria ad adempiere ai propri obblighi di governance e di controllo di tutti i rischi ICT.

La proposta contrattuale quindi rappresenterà il coordinamento tra gli obblighi espliciti dell’entità finanziaria di normazione esterna (verso fornitori e subfornitori ICT) e quelli di normazione interna (regole di tipo organizzativo da tradurre in policy/procedure): quindi il necessario coordinamento comporterà anche la traduzione in clausole contrattuali di obblighi di governance interna che la legge pone a esclusivo carico dell’entità finanziaria.

Interazioni DORA – Data Act: servizi di trattamento dei dati

Per l’analisi dell’ecosistema DORA nell’ottica della contrattualizzazione delle relazioni tra entità finanziaria e catena di fornitura bisogna sottolineare un elemento importante legato alla definizione di “servizio di trattamento dei dati” del Data Act:

• Data Act, Art. 2, n.8: “«servizio di trattamento dei dati»: un servizio digitale fornito a un cliente e che consente l’accesso di rete universale e su richiesta a un pool condiviso di risorse informatiche configurabili, scalabili ed elastiche di natura centralizzata, distribuita o altamente distribuita e che può essere rapidamente erogato e rilasciato con un minimo sforzo di gestione o interazione con il fornitore di servizi”.

Dunque, il fornitore ICT dell’entità finanziaria che rientra nella definizione di “fornitore di servizi di trattamento dei dati” (per esempio, fornisce servizi cloud o edge), è soggetto a specifici obblighi legali diretti sanciti dal Data Act, tra cui:

• il rispetto di requisiti tecnici e organizzativi per garantire l’interoperabilità dei servizi e la portabilità dei dati trattati;
• obblighi di inserimento nel contratto con l’entità finanziaria di clausole contrattuali che consentano e regolino il passaggio da un fornitore all’altro di servizi di trattamento dei dati.

Le clausole contrattuali standard (SCCs)

Questi requisiti e obblighi oggi sono ulteriormente dettagliati e definiti dalle clausole contrattuali standard (SCCs) approvate il 19 novembre dalla Commissione Ue – non vincolanti e utilizzabili a piacere anche separatamente le une dalle altre -, che possono essere inserite nei Data Processing Agreement relativi ai servizi regolati dal capo VI (cloud switching) del Data Act.

Scopo delle SCCs è fornire agli operatori strumenti pronti all’uso adeguati ad attuare gli obiettivi del Data Act, e nello specifico garantire il diritto dei clienti di passare da un fornitore di servizi di trattamento dei dati a un altro, e l’equità, ragionevolezza e non discriminatorietà dei relativi accordi contrattuali.

L’ambito di applicabilità è molto ampio: nella pratica, “se il servizio è digitale, multi-tenant/on-demand e scalabile, tipicamente rientra nella definizione di “servizio di trattamento dei dati”.

Trattamento di dati

Insomma, rientrano nella regolamentazione del Data Act non solo public cloud ed edge computing, ma molti altri servizi che usano pool condivisi di risorse.

Parallelamente, per quanto riguarda DORA, qualunque fornitore che eroga quei servizi a un’entità finanziaria è un “Ict third-party service provider”. Se supporta funzioni essenziali o importanti, scattano a carico dell’entità finanziaria gli oneri contrattuali e di monitoraggio (incident reporting, audit, sub-outsourcing, exit, testing eccetera).

È evidente come questi obblighi del fornitore di servizi ICT che rientrano nella categoria “trattamento di dati” del Data Act operino sinergicamente con DORA, supportando l’adempimento di obblighi essenziali dell’entità finanziaria previsti da DORA (primo fra tutti, la garanzia della possibilità di migrare presso un altro fornitore in condizioni di piena interoperabilità dei servizi e portabilità dei dati trattati).

Interazioni DORA – Data Act: servizi correlati

il Data Act prevede anche obblighi a carico dei fornitori di servizi correlati ai
prodotti connessi: Data Act, Art. 2, n. 6: “«servizio correlato»: un servizio digitale diverso da un servizio di comunicazione elettronica, anche software, connesso con il prodotto al momento dell’acquisto, della locazione o del noleggio in modo tale che la sua assenza impedirebbe al prodotto connesso di svolgere una o più delle sue funzioni o che è successivamente connesso al prodotto dal fabbricante o da un terzo al fine di ampliare, aggiornare o adattare le funzioni del prodotto connesso”.

In pratica, servizi collegati funzionalmente con il prodotto connesso, in modo tale che l’assenza del servizio impedirebbe al prodotto connesso di svolgere una o più delle sue funzioni.

Si tratta precisamente di obblighi:

• di trasparenza e informativa pre-contrattuale all’utente (ai sensi del Data Act: “persona fisica o giuridica che possiede o ha diritto di usare un prodotto connesso o ricevere un servizio correlato”. Nel nostro caso, in primis l’entità finanziaria)
• e di progettazione del servizio in modo da garantire all’utente l’accessibilità by design ai dati generati dal servizio.

Obbligo di trasparenza del fornitore (Data Act art. 3.3)

In caso di “servizio correlato” il relativo fornitore è un potenziale titolare dei dati (“data holder”): “una persona fisica o giuridica che ha il diritto o l’obbligo, conformemente al presente regolamento, al diritto applicabile dell’Unione o alla legislazione nazionale adottata conformemente al diritto dell’Unione, di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio correlato che ha reperito o generato nel corso della fornitura di un servizio correlato” (Data Act, art. 2 n. 13).

Titolare dei dati ai sensi del Data Act

Ossia, è titolare dei dati ai sensi del Data Act chi ha un titolo giuridicamente valido (il diritto o l’obbligo, nascenti dalla legge o da un contratto) di utilizzare i dati o di metterli a disposizione di terzi.

Sebbene il Data Act si applichi tanto ai dati non personali quanto a quelli personali, per l’uso e la condivisione di questi ultimi sarà però sempre necessaria la ricorrenza di una base giuridica e degli altri requisiti per un lecito trattamento ai sensi del GDPR.

A questa figura del titolare dei dati il Data Act impone l’obbligo di fornire all’utente, prima della conclusione del contratto:

• informazioni chiare e comprensibili sull’utilizzo che ne farà;
• informazioni che includono la natura, il volume stimato e la frequenza di raccolta dei dati, le modalità di accesso/reperimento, i metodi di archiviazione e la durata della conservazione, e le finalità per le quali il titolare dei dati intende eventualmente utilizzare i dati prontamente disponibili.

Modelli contrattuali standard (Mct)

Anche in questo ambito la Commissione Ue è intervenuta, creando modelli contrattuali standard (Mct) – non vincolanti – per regolare tutte le possibili relazioni tra le varie parti identificate dal Data Act nel contesto generale dell’accesso e utilizzo dei dati generati da prodotti connessi e servizi correlati, e dunque anche quelli tra utente (“user”) di prodotti connessi e servizi correlati e titolare dei dati (“data holder”).

Deve essere chiaro che il concetto di utilizzo dei dati oggetto di informativa precontrattuale da parte del titolare dei dati è estremamente ampio e variegato, e comprende anche quanto necessario per l’esecuzione del contratto con l’utente e delle attività a ciò correlate (per esempio, amministrative, contabili), per la sicurezza e il corretto funzionamento dei prodotti e servizi forniti, per il controllo qualità, oltre che naturalmente usi a fini di sviluppo di nuovi prodotti e servizi.

Tutti elementi che infatti vengono specificamente trattati dal relativo MCT.

Ugualmente ampia è l’accezione di dato possibile oggetto di tale uso, cui rientrano per esempio le informazioni di stato del prodotto/servizio, quelle di uso da parte degli utenti, quelle ambientali.

L’obbligo di due diligence ai sensi di DORA

Contestualmente, ai sensi di DORA l’entità finanziaria ha l’obbligo di effettuare una rigorosa due diligence (valutazione dei rischi ex ante, art. 28, c. 4, lett. d) DORA) prima di stipulare un accordo contrattuale per servizi Ict a supporto di funzioni essenziali o importanti; valutazione che (ai sensi anche dei Regolamenti Delegati 2024-1773 e 2024-813) deve tenere conto esplicitamente de:

• i rischi legati alla protezione dei dati riservati o personali;
• i rischi legati alla disponibilità dei dati;
• quelli legati al luogo in cui i dati sono trattati e conservati;
• l’idoneità del potenziale fornitore, inclusi i suoi standard in materia di sicurezza delle informazioni, la struttura organizzativa e i controlli interni.

Coordinamento fra DORA e Data Act

Osservando in parallelo le richieste delle due normative – DORA e Data Act -, risalta la rilevanza del loro coordinamento già dalla fase pre-contrattuale: quando il servizio correlato costituisce un servizio ICT che supporta funzioni essenziali o importanti, la trasparenza cui il Data Act obbliga il fornitore Ict favorisce direttamente l’adempimento degli obblighi di due diligence e valutazione del rischio imposti da DORA alle entità finanziarie committenti.

La trasparenza richiesta dal Data Act fornisce infatti all’entità finanziaria dati essenziali (volume, formato, localizzazione del trattamento/conservazione dei dati) che essa deve obbligatoriamente analizzare nel contesto della sua strategia di gestione dei rischi informatici derivanti da terzi fornitori.

Pertanto, i requisiti di trasparenza del Data Act fungono da base informativa per i requisiti di conformità di DORA, contribuendo sostanzialmente a garantire che l’entità finanziaria possa adempiere al suo dovere di due diligence in modo adeguato e proporzionato.

Obbligo di progettazione del servizio correlato: accessibilità per impostazione predefinita ai dati

Data Act, Art. 3.1: “I prodotti connessi sono progettati e fabbricati e i servizi correlati sono progettati e forniti in modo tale che i dati dei prodotti e dei servizi correlati, compresi i pertinenti metadati necessari a interpretare e utilizzare tali dati, siano, per impostazione predefinita, accessibili all’utente in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo diretto”.

Un altro obbligo di fondamentale importanza di cui il Data Act grava il fornitore del servizio correlato è quello di accessibilità diretta by design ai dati da parte dell’utente.

Si tratta di una richiesta di progettazione che consenta all’utente con facilità e sicurezza, per impostazione predefinita, di accedere ai dati in formato standard leggibile da dispositivo automatico, e – se possibile tecnicamente – in modo continuo e in tempo reale.

Questo obbligo di progettazione garantisce che l’entità finanziaria (l’utente) possa esercitare effettivamente il suo diritto di accedere e utilizzare i dati generati dal servizio correlato, supportando al contempo i requisiti di resilienza e monitoraggio del rischio informatico imposti da DORA, in particolare quelli relativi alla disponibilità, integrità e riservatezza dei dati.

Esempi reali di servizi trattamento dati /servizi correlati forniti all’entità finanziaria

Nella pratica, i servizi Ict rilevanti a termini di DORA, a seconda delle loro caratteristiche, possono integrare contestualmente sia “servizi di trattamento dati” sia “servizi correlati” secondo il Data Act, e anche ricadere contemporaneamente in tutte e tre le categorie legislative, come accade nel caso dei servizi ATM con riconoscimento facciale di Caixabank e in quello delle nuove filiali di Banco Santander.

I servizi ATM con riconoscimento facciale

CaixaBank è stata la prima banca in Europa a introdurre sportelli automatici (ATM) dotati di riconoscimento facciale, con l’obiettivo di migliorare la sicurezza e la rapidità delle operazioni, consentendo ai clienti di prelevare denaro senza dover inserire il PIN.

Gli ATM di CaixaBank quindi integrano un sistema di telecamere e software che
acquisiscono l’immagine del volto del cliente e la confrontano con i dati biometrici pre-registrati nel database della banca.

Il software di riconoscimento facciale è fornito da un soggetto terzo, è incorporato e interconnesso con l’ATM, e la verifica dell’identità avviene localmente o tramite un server edge connesso, e questo riduce i tempi di risposta e migliora la protezione dei dati grazie alla cifratura locale e al controllo centralizzato del software di riconoscimento.

Il software di riconoscimento facciale fornito dal soggetto terzo è qualificabile:

• sia come servizio di trattamento dei dati (Data Processing Service) ai sensi dell’art. 2(8) del Data Act, poiché elabora dati biometrici in tempo reale tramite risorse di calcolo e di archiviazione configurabili;
• sia come servizio correlato (Related Service) ai sensi dell’art. 2(5) del Data Act, poiché è incorporato e interconnesso con l’ATM (prodotto fisico) e consente al dispositivo di svolgere la sua funzione primaria: il prelievo di contante.

Trattamento dati

Poiché il software di riconoscimento facciale è un servizio di trattamento dati, il fornitore è soggetto a specifici obblighi previsti dal Data Act (artt. 25 ss.):

• il rispetto di requisiti tecnici e organizzativi per garantire l’interoperabilità del servizio e la portabilità dei dati biometrici trattati;
• obblighi di inserimento nel contratto con l’entità finanziaria committente di clausole contrattuali che consentano e regolino il passaggio da un fornitore all’altro di servizi di trattamento dei dati.

Servizio correlato

Poiché il software di riconoscimento facciale è un servizio correlato, il fornitore è soggetto a specifici obblighi previsti dal Data Act:

• Art. 3(1) – Accessibilità by design: il servizio deve essere progettato per consentire alla Banca di accedere facilmente e in modo sicuro ai dati generati.
• Art. 3(2)-(3) – Obblighi informativi precontrattuali: il fornitore deve informare Caixabank, prima della stipula, su quali dati biometrici vengono trattati, come vengono conservati, cancellati o trasferiti e con quali garanzie.

Dal punto di vista di CaixaBank, quale entità finanziaria, è ragionevole immaginare che questo servizio rappresenti una funzione essenziale o importante ai sensi dell’art. 3(22) del Regolamento DORA, poiché garantisce la sicurezza delle operazioni e l’accesso dei clienti ai fondi.

In tale caso, la Banca deve rispondere agli obblighi imposti da DORA, tra cui:

• la due diligence preventiva sui rischi del servizio a supporto di funzioni essenziali e importanti;
• i requisiti di resilienza e monitoraggio del rischio informatico;
• garantire che il contratto includa le clausole obbligatorie di cui all’art. 28(7) DORA (audit, sicurezza, subfornitori, exit strategy, continuità operativa), tutti adempimenti supportati dagli obblighi imposti al fornitore dal Data Act.

Rete 5G avanzata e infrastrutture di edge computing

Lo stesso percorso vale per Banco Santander, che ha collaborato con Telefónica per introdurre nelle proprie filiali una rete 5G avanzata e infrastrutture di edge computing.
Il servizio combina la connettività 5G di Telefónica con piccole infrastrutture di calcolo locali (edge nodes) situate vicino alle filiali.

Questi nodi elaborano dati in tempo reale provenienti da dispositivi come sportelli automatici, sensori, videocamere e terminali self-service.

Ciò riduce il ritardo (latenza), migliora la continuità operativa e consente di mantenere i dati all’interno del perimetro nazionale o locale.

Il servizio fornito da Telefónica è qualificabile come:

• servizio di trattamento dei dati (Data Processing Service) ai sensi dell’art. 2(8) del Data Act, poiché fornisce risorse di calcolo e archiviazione on-demand in un ambiente scalabile e configurabile;
• servizio correlato (Related Service) ai sensi dell’art. 2(5) del Data Act, poiché è incorporato e interconnesso con dispositivi fisici presenti nelle filiali (ATM, sensori, router) e ne abilita funzioni essenziali consistenti nell’operatività della filiale e dei servizi ATM in tempo reale.

Anche il servizio di Telefónica è sia servizio correlato sia servizio di trattamento dati ai sensi del Data Act, e di conseguenza il relativo l fornitore è soggetto ai rispettivi obblighi previsti dal Data Act.

Anche in questo caso è ragionevole supporre che dal punto di vista di Banco Santander, quale entità finanziaria, questo servizio rappresenti una funzione essenziale o importante ai sensi dell’art. 3(22) del Regolamento DORA, poiché supporta l’operatività continua delle filiali e la sicurezza dei servizi digitali al cliente.

Di conseguenza, la Banca deve rispondere agli obblighi imposti da DORA, finalizzati alla resilienza digitale, supportati sinergicamente dalla sottoposizione del fornitore agli obblighi del Data Act.