Il Regolamento DORA si rivolge specificatamente a specifici soggetti chiamati a rispettare il quadro normativo: tra questi, anche i fornitori ICT.

Tali soggetti dovranno, di conseguenza, rispettare alcuni importanti adempimenti.

Vediamo quali.

Gestione di fornitori e outsourcer: limiti e pregi del Regolamento DORA

DORA e fornitori: il perimetro di applicazione

Il perimetro di applicazione è chiaramente indicato all’articolo 2 di DORA, che recita:

Articolo 2

Ambito di applicazione

1. Fatti salvi i paragrafi 3 e 4, il presente Regolamento si applica alle entità seguenti:

a) enti creditizi;

b) istituti di pagamento, compresi gli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366;

c) prestatori di servizi di informazione sui conti;

d) istituti di moneta elettronica, compresi gli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE;

e) imprese di investimento;

f) fornitori di servizi per le cripto-attività autorizzati a norma del Regolamento del Parlamento europeo e del Consiglio concernente i mercati delle cripto-attività e recante modifica dei regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e delle direttive 2013/36/UE e (UE) 2019/1937 (Regolamento sui mercati delle cripto-attività) ed emittenti di token collegati ad attività;

g) depositari centrali di titoli;

h) controparti centrali;

i) sedi di negoziazione;

j) repertori di dati sulle negoziazioni;

k) gestori di fondi di investimento alternativi;

l) società di gestione;

m) fornitori di servizi di comunicazione dati;

n) imprese di assicurazione e di riassicurazione;

o) intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio;

p) enti pensionistici aziendali o professionali;

q) agenzie di rating del credito;

r) amministratori di indici di riferimento critici;

s) fornitori di servizi di crowdfunding;

t) repertori di dati sulle cartolarizzazioni;

u) fornitori terzi di servizi TIC.

Tutte le entità di cui al paragrafo 1 lettere da a) a t) sono definite collettivamente «entità finanziarie».

Quindi, sembrerebbe che il Regolamento si applichi:

• alle «entità finanziarie»
• ai fornitori terzi di servizi TIC.

Questa prima lettura è, però, molto fuorviante in quanto, come vedremo, il Regolamento non si applica nello stesso modo alle entità finanziarie e ai fornitori.

DORA, differente applicazione tra entità finanziarie e fornitori

Chiunque abbia assistito a una presentazione che illustri quali siano le novità introdotte da DORA si sarà trovato elencati i cinque pillar che caratterizzano tale Regolamento^[1], e cioè:

1. gestione del rischio TIC;
2. segnalazione degli incidenti connessi alle TIC;
3. test di resilienza operativa digitale;
4. rischi relativi alle TIC derivanti da terzi;
5. condivisione delle informazioni;

interpretando che tutti questi requisiti debbano applicarsi a tutti i soggetti che devono rispettare la normativa, fornitori compresi.

In realtà, non è così e il reale perimetro di applicazione appare chiaro leggendo l’articolo 1 del Regolamento stesso, che recita:

Al fine di conseguire un livello comune elevato di resilienza operativa digitale, il presente Regolamento stabilisce i seguenti obblighi uniformi in relazione alla sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie:

a) obblighi applicabili alle entità finanziarie in materia di:

i) gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC);

ii) segnalazione alle autorità competenti degli incidenti gravi connessi alle TIC e notifica, su base volontaria, delle minacce informatiche significative;

iii) segnalazione alle autorità competenti, da parte delle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), di gravi incidenti operativi o relativi alla sicurezza dei pagamenti;

iv) test di resilienza operativa digitale;

v) condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche;

vi) misure relative alla solida gestione dei rischi informatici derivanti da terzi;

In altre parole, tutti i pillar sopra elencati si applicano solo alle entità finanziarie e non anche ai fornitori.

A riprova di quanto sopra, la quasi totalità degli articoli dal 4 al 29 e l’articolo 45 (con eccezione degli articoli: 16, che si rivolge alle realtà più piccole; 25, che rimanda al 24; e degli articoli dal 20-23 che si rivolgono alle AEV e agli incidenti relativi alla sicurezza dei pagamenti), includono l’indicazione “le entità finanziarie” … fanno qualcosa.

Nessuno di questi articoli si applica quindi ai fornitori.

Gli adempimenti previsti per i fornitori

I fornitori ICT possono quindi dormire sonni tranquilli? Sono già di default conformi a DORA?

In realtà è al successivo comma b) dell’articolo 1 che compare, un po’ nascosto fra le righe, l’unico adempimento richiesto anche ai fornitori:

b) obblighi relativi agli accordi contrattuali stipulati tra fornitori terzi di servizi TIC ed entità finanziarie.

Tale comma trova poi applicazione nell’Articolo 30 – Principali disposizioni contrattuali che regola, il rapporto fra entità finanziarie e fornitori ICT, indicando quali siano le clausole contrattuali da adottare.

Se il fornitore non accetta o non rispetta gli accordi

Ma cosa succede se il fornitore non accetta o non rispetta gli accordi?

In realtà, per come è formulata la normativa, non sembra che il fornitore ICT abbia alcun adempimento normativo da attuare in merito al Regolamento DORA e quindi sta alla trattativa fra le parti giungere ad un accordo contrattuale o…per l’entità finanziaria, l’onere di cambiare fornitore nel caso questo non venga raggiunto.

Se ne desume che, in realtà, i fornitori ICT non hanno alcun adempimento da attuare ai fini del Regolamento DORA, salvo che non siano fornitori critici^[2].

Ma anche per questa specifica categoria di fornitori sembra che l’unica obbligazione nei loro confronti riguardi la loro collaborazione con le Autorità di vigilanza in sede di visita ispettiva ed il successivo adeguamento ai rilievi da questa formulati.

A conferma di quanto sopra, l’Articolo 46 – Autorità competenti, che indica quali siano le autorità preposte a verificare il rispetto della normativa (in funzione del tipo di ente finanziari), non cita in alcun modo i fornitori.

Analogamente, gli articoli che regolamentano il Quadro di sorveglianza dei fornitori terzi critici di servizi TIC normano esclusivamente i controlli su questa categoria di fornitori.

In realtà, nell’ Articolo 39 – Ispezioni si cita

1. Per adempiere i propri compiti ai sensi del presente Regolamento, l’autorità di sorveglianza capofila può, coadiuvata dai gruppi di esaminatori congiunti di cui all’articolo 40, paragrafo 1, accedere a locali commerciali, immobili o proprietà dei fornitori terzi di servizi TIC, come sedi centrali, centri operativi, sedi secondarie, per condurvi tutte le necessarie ispezioni in loco; può inoltre effettuare ispezioni extra loco.

Ma non è chiaro se tale riferimento, che non aggiunge il termine “critici” sia reale o, se più probabilmente, tale dizione sia un refuso, considerando che nei commi successivi dell’articolo, si fa riferimento unicamente a fornitori terzi critici di servizi TIC.

Quindi, salvo quanto indicato genericamente dal considerando (85):

Il quadro di sorveglianza non dovrebbe pregiudicare la competenza degli Stati membri per quanto attiene allo svolgimento di proprie missioni di sorveglianza o di monitoraggio nei confronti di fornitori terzi di servizi TIC che non sono designati come critici ai sensi del presente Regolamento ma sono considerati importanti a livello nazionale.

nulla si dice in merito a chi dovrebbe controllare i fornitori ICT non critici.

DORA: auali sanzioni per i fornitori ICT

Analogo discorso vale per le sanzioni.

DORA infatti non prevede espressamente, nella sua formulazione attuale, alcuna sanzione^[3] per i fornitori ICT (salvo i fornitori critici).

In effetti, l’Articolo 50 – Sanzioni amministrative e misure di riparazione, cita solo le entità finanziarie (… la convocazione di rappresentanti delle entità finanziarie per ottenere spiegazioni scritte od orali su fatti o documenti relativi all’oggetto e alle finalità dell’indagine e registrarne le risposte;).

Mentre per quanto attiene ai fornitori critici, il fatto che siano soggetti a sanzioni si deduce, ad esempio, dai considerando 80 e 81:

(80) Il quadro di sorveglianza dipende in larga misura dal grado di collaborazione tra l’autorità di sorveglianza capofila e il fornitore terzo critico di servizi TIC che presta alle entità finanziarie servizi che incidono sulla fornitura di servizi finanziari. Una sorveglianza efficace si basa, tra l’altro, sulla capacità dell’autorità di sorveglianza capofila di svolgere efficacemente missioni di monitoraggio e ispezioni per valutare le norme, i controlli e i processi utilizzati dai fornitori terzi critici di servizi TIC, nonché per valutare il potenziale impatto cumulativo delle loro attività sulla stabilità finanziaria e sull’integrità del sistema finanziario. Allo stesso tempo, è fondamentale che i fornitori terzi critici di servizi TIC seguano le raccomandazioni dell’autorità di sorveglianza capofila e rispondano alle sue preoccupazioni. Poiché la mancanza di cooperazione da parte di un fornitore terzo di servizi TIC critico che fornisce servizi che incidono sulla fornitura di servizi finanziari, come il rifiuto di concedere l’accesso ai propri locali o di trasmettere informazioni, priverebbe in ultima analisi l’autorità di sorveglianza capofila dei suoi strumenti essenziali per valutare i rischi informatici derivanti da terzi e potrebbe incidere negativamente sulla stabilità finanziaria e sull’integrità del sistema finanziario, occorre prevedere anche un regime sanzionatorio commisurato.

(81) In tale contesto, la necessità dell’autorità di sorveglianza capofila di imporre penalità di mora per obbligare i fornitori terzi critici di servizi TIC a rispettare gli obblighi in materia di trasparenza e accesso di cui al presente regolamento non dovrebbe essere messa a repentaglio dalle difficoltà derivanti dall’applicazione di tali penalità di mora in relazione a fornitori terzi critici di servizi TIC stabiliti in paesi terzi…

e dall’Articolo 35 – Poteri dell’autorità di sorveglianza capofila:

Articolo 35 – Poteri dell’autorità di sorveglianza capofila

…

6. In caso di inosservanza totale o parziale delle misure che devono essere adottate ai sensi dell’esercizio dei poteri di cui al paragrafo 1, lettere a), b) e c), e dopo la scadenza di un periodo di almeno 30 giorni di calendario dalla data in cui il fornitore terzo critico di servizi TIC ha ricevuto la notifica delle rispettive misure, l’autorità di sorveglianza capofila adotta una decisione che impone una penalità di mora al fine di costringere il fornitore terzo critico di servizi TIC a conformarsi a tali misure.

Conclusioni

Se un fornitore ICT (non critico) non ha alcun adempimento da mettere in atto per rispettare DORA (se non quelli imposti contrattualmente da un’entità finanziaria) non sussiste né la necessità di controllarlo, né quella di sanzionarlo.

Perché allora la normativa cita nel suo ambito di applicazioni i fornitori ICT?

È probabile che tale inclusione sia solo propedeutica alla successiva definizione dei fornitori critici.

Sicuramente la loro diretta citazione nell’articolo 2 avrebbe risolto molti dubbi.

Sono in realtà molte le situazioni che riguardano i fornitori che nella normativa DORA richiedono ulteriori approfondimenti.

Per una trattazione completa rimando al mio nuovo libro: La gestione dei rischi nella supply chain.

 

NOTE

1. Per maggiori dettagli si veda: Manuale di resilienza, qui. ↑

2. Così individuati in base ai criteri indicati nell’articolo Articolo 31 – Designazione dei fornitori terzi critici di servizi TIC. ↑

3. La definizione delle sanzioni spetta ai singoli Stati. ↑

@RIPRODUZIONE RISERVATA