Parlando di privacy, gestione delle terze parti e DORA, c’è un tema spesso trascurato, pur essendo piuttosto evidente.

Un’azienda, titolare del trattamento, potrebbe per esempio nominare un proprio fornitore come responsabile del trattamento.

Inoltre, la medesima azienda potrebbe operare come responsabile del trattamento per conto di uno o più clienti.

Si tratta di una situazione molto frequente.

Può infine verificarsi il caso in cui il trattamento, per il quale l’azienda agisce, sia contemporaneamente svolto come titolare e come responsabile, per esempio nella gestione del personale: titolare per i dipendenti propri e responsabile per i dipendenti delle altre società del gruppo.

Per svolgere questa attività, l’azienda utilizza un software cloud fornito da un soggetto terzo. Tale fornitore sarà nominato responsabile del trattamento per i dati dei dipendenti dell’azienda, ma diventerà sub-responsabile per i dati dei dipendenti delle altre società del gruppo.

Ecco che cosa accade, dal punto di vista della conformità normativa (GDPR, DORA, NIS2), quando un’entità finanziaria ricopre anche il ruolo di fornitore ICT, analizzando i principali elementi di risposta.

Gli aspetti legati al GDPR

L’azienda dovrebbe predisporre due distinti contratti oppure specificare, in un unico accordo, il doppio ruolo del fornitore.

Poiché tale formalizzazione è spesso assente, ci troviamo di fronte a quello che definisco un “rilievo certo”: una non conformità talmente diffusa da risultare evidente anche senza svolgere un audit.

Gli aspetti privacy sono, in realtà, i più semplici da affrontare.

Talvolta, infatti, tutte le società del gruppo che trattano i dati conferiscono direttamente la nomina al medesimo fornitore, risolvendo così il problema. Tuttavia questa soluzione difficilmente è praticata se si è un fornitore Ict per aziende esterne al gruppo.

Gli aspetti legati al DORA

Più complessa è l’analisi dal punto di vista di DORA (Digital Operational Resilience Act, il regolamento dell’Unione Europea che, in vigore da gennaio 2025, impone alle entità del settore finanziario il rafforzamento della propria resilienza operativa e la gestione del rischio cyber).

L’entità finanziaria, per esempio la capogruppo, può assumere in questo caso due ruoli distinti: quello di entità finanziaria soggetta a DORA e quella di fornitore ICT.

Dal punto di vista dei requisiti di conformità, non emergono particolari criticità: l’entità finanziaria è infatti tenuta a soddisfarli integralmente e, quando opera come fornitore Ict, non deve implementare misure aggiuntive, salvo il caso in cui alcune componenti del sistema informativo supportino processi che non sono FEI per la capogruppo, ma lo sono per altre società del gruppo, anch’esse soggette a DORA.

Al contrario, cambiano gli obblighi connessi ai fornitori ICT dell’entità finanziaria. Un fornitore ICT mantiene tale ruolo nei confronti dell’entità finanziaria, ma diventa subfornitore per le altre società del gruppo, assumendo quindi responsabilità differenti.

È infatti il fornitore principale che deve garantire all’entità finanziaria la propria capacità di governare l’intera catena di subfornitura.

Di conseguenza, nei confronti delle altre società del gruppo, sarà la capogruppo/fornitore principale di servizi ICT a dover assicurare tali garanzie, oltre a tutti gli ulteriori adempimenti previsti per i fornitori.

Anche in questo caso sarebbe opportuno formalizzare il doppio ruolo del fornitore Ict e ovviamente il contratto di fornitura infragruppo deve essere adeguato a DORA.

L’analisi dal punto di vista della NIS2

La direttiva NIS2 (la normativa europea che punta ad alzare il livello di cyber security nell’Ue, ndr) si applica solo in parte al settore finanziario, interessando principalmente il comparto bancario e le infrastrutture dei mercati. Questa visione tuttavia può essere incompleta, come vedremo più avanti.

Per le entità finanziarie, quindi già soggette a DORA, la Commissione ha espresso questa posizione: “Di conseguenza, invece delle disposizioni stabilite nella direttiva (UE) 2022/2555, dovrebbero applicarsi quelle del regolamento (UE) 2022/2554 relative alla gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC) (articolo 6 e seguenti), alla gestione degli incidenti connessi alle TIC e, in particolare, alla segnalazione dei gravi incidenti TIC (articolo 17 e seguenti), nonché ai test di resilienza operativa digitale (articolo 24 e seguenti), ai meccanismi di condivisione delle informazioni (articolo 25) e ai rischi informatici TIC derivanti da terzi (articolo 28 e seguenti)”.

Quindi, in quanto già soggette a DORA, le entità finanziarie non dovrebbero preoccuparsi di applicare i requisiti della NIS2. Ma vediamo se sia veramente così.

Il caso di una banca

Consideriamo per ora che la nostra entità finanziaria capogruppo/fornitore Ict sia una banca, e quindi già per questo soggetta alla NIS2 (settore 3 previsto dall’All. I al D.lgs. 138-2024).

Potrebbe dover gestire 2 diverse posizioni rispetto alla NIS2:

• la prima, come entità finanziaria per la quale si applicano le condizioni che vedono DORA come lex specialis rispetto alla NIS2;
• la seconda, come fornitore ICT (settori 8 e 9 dell’All. I al D.lgs. 138-2024), in capo al quale DORA nulla prevede: infatti il fornitore ICT deve rispettare l’unico requisito di DORA costituito dalla formalizzazione per iscritto del contratto di fornitura, ricadendo invece tutti gli altri obblighi direttamente sull’entità finanziaria committente.

In ogni caso, gli adempimenti richiesti alla banca non si differenziano in maniera sostanziale nelle due posizioni ipotizzate: bisogna infatti considerare che, nonostante le indicazioni sopra riportate della Commissione europea, DORA e NIS2 non sono pienamente sovrapponibili.

Infatti NIS2 adotta un approccio più ampio nella gestione dei fornitori, non limitando l’attenzione ai soli fornitori ICT. Inoltre, le misure di sicurezza previste da NIS2 non distinguono tra processi FEI e non FEI.

Questione di perimetro

In sintesi, il perimetro della NIS2 risulta più esteso, pur essendo meno dettagliata di DORA nella definizione dei requisiti di sicurezza.

Quindi la nostra banca/fornitore ICT, a prescindere dall’avere o meno un ruolo duplice, dovrà mettere in atto tutti gli adempimenti previsti dalla NIS2 e non già previsti da DORA.

Fra questi, in particolare:

• gestire i fornitori non Ict secondo le regole della NIS2;
• adottare misure di sicurezza su tutti i processi, anche non FEI, in linea con le richieste della NIS2.

Inoltre è rilevante considerare che i processi FEI non necessariamente coincidono con quelli dove maggiore sia il rischio.

Si consideri per esempio la gestione del personale.

Risulterebbe molto strano che qualche entità finanziaria consideri fra le FEI tale processo, in quanto sicuramente non è un processo critico ai fini della business continuity o secondo qualche altro criterio utile a identificare una FEI.

Tuttavia tale processo, nell’ottica della normativa privacy, presenta dei rischi per i diritti e le libertà delle persone fisiche, che per l’entità finanziaria si traducono in rischio sanzionatorio e risarcitorio.

Il caso di una compagnia assicurativa

Ora vediamo anche il caso di entità finanziarie diverse da una banca e quindi di per sé non soggette alla NIS2: per esempio, una compagnia assicurativa.

Se la compagnia assicurativa è anche un fornitore ICT potrebbe però essere soggetta per tale motivo alla NIS2.

Essendo comunque le compagnie assicurative una categoria soggetta a DORA, vale quanto già descritto per la banca, e dunque dovrebbe mettere in atto le sole misure della NIS2 non già previste per DORA precedentemente elencate.

Serve un approccio rigoroso

Se si ha un approccio troppo lasco nell’approcciare questa tematica, i rischi non sono pochi.

Per esempio, in ambito privacy – così come in quello contrattuale – nei confronti del titolare e di terzi risponde il responsabile anche per quanto agito dai subresponsabili.
In conclusione, una entità finanziaria, se riveste anche il ruolo di fornitore ICT, dovrà:

• ai sensi della normativa privacy, valutare se integrare la designazione dei propri fornitori, responsabili di trattamento, quali subresponsabili;
• ai sensi del DORA, adeguare i contratti infragruppo secondo i requisiti DORA e assumersi gli oneri di presidio della catena di subfornitura sia in quanto entità finanziaria, sia in quanto fornitore ICT;
• infine, ai sensi della NIS2 implementare i requisiti di quest’ultima non già previsti da DORA, ed in particolare il presidio di tutti i fornitori e l’implementazione di misure di sicurezza in funzione delle caratteristiche complessive dei processi/servizi, indipendentemente dal fatto che questi siano delle FEI.