08 Ott Gestione delle terze parti ai sensi del Regolamento DORA
Autori: Giulia Finocchiaro, Lara Maugeri
Ai sensi del Regolamento Delegato (UE) 2024/1773 della Commissione Europea, adottato in esecuzione delle disposizioni del Digital Operational Resilience Act (DORA), si impongono precisi obblighi in capo ai fornitori di servizi di tecnologia dell’informazione e della comunicazione (TIC) che prestano attività a favore di enti finanziari. In tale contesto normativo, la certificazione riveste un ruolo centrale nella mitigazione dei rischi derivanti dall’esternalizzazione di funzioni tecnologiche essenziali, configurandosi come uno strumento essenziale per garantire la resilienza operativa e la continuità del servizio, anche quando l’erogazione di questi dipende da soggetti esterni.
Il ruolo delle certificazioni nel garantire la resilienza operativa
Il Regolamento impone ai fornitori di servizi TIC l’obbligo di conformarsi a rigorosi standard in materia di resilienza operativa, richiedendo che essi ottengano certificazioni che attestino il rispetto delle migliori prassi internazionali in tema di sicurezza delle informazioni, gestione del rischio e continuità operativa. Tali certificazioni costituiscono, pertanto, non solo una verifica formale, ma una garanzia sostanziale circa l’idoneità dei fornitori a fronteggiare le minacce interne ed esterne al settore finanziario. La certificazione è il mezzo attraverso il quale si fornisce alle entità finanziarie la conferma, da parte di organismi terzi, dell’efficacia dei controlli e delle procedure implementate dai fornitori di TIC.
Perché le certificazioni sono essenziali
L’importanza della certificazione per la resilienza operativa è evidenziata dalla necessità di garantire che, anche in caso di esternalizzazione di funzioni ICT critiche, gli enti finanziari mantengano un’adeguata continuità operativa, mitigando i rischi di interruzioni di servizio, attacchi informatici o violazioni della sicurezza dei dati. La crescente dipendenza dalle infrastrutture digitali ha infatti esposto gli istituti finanziari a rischi di natura tecnologica che, se non adeguatamente gestiti, possono compromettere gravemente la sicurezza nazionale e la stabilità finanziaria.
Obblighi dettagliati previsti dal regolamento
L’articolo 6 del Regolamento prevede che, prima di stipulare accordi con fornitori di servizi TIC, gli enti finanziari debbano svolgere una rigorosa attività di due diligence, con particolare attenzione alle certificazioni possedute dai fornitori. Tali certificazioni devono essere rilasciate da organismi di certificazione terzi indipendenti e devono coprire tutte le aree rilevanti per la resilienza operativa, quali la protezione dei dati, la gestione degli incidenti e la continuità del servizio. Inoltre, è necessario che il portafoglio delle certificazioni di ciascun fornitore sia sufficiente a coprire i rischi specifici derivanti dall’esternalizzazione dei servizi, garantendo che l’ambito della certificazione coincida con i rischi che l’ente finanziario si trova ad affrontare.
Ad esempio, per i fornitori che gestiscono il cloud storage per una banca, la certificazione deve attestare la capacità di proteggere i dati finanziari sensibili e di garantire la continuità del servizio, anche in caso di attacco informatico o guasto del sistema. La due diligence svolta dall’istituto finanziario non si esaurisce nella fase precontrattuale, ma implica una vigilanza continua sull’efficacia e l’adeguatezza delle certificazioni in possesso del fornitore.
Oltre la certificazione: la necessità di una vigilanza continua
Oltre alla mera acquisizione di certificazioni, il Regolamento Delegato (UE) 2024/1773 sottolinea con fermezza la necessità di implementare un regime di vigilanza continua sui fornitori di servizi di tecnologia dell’informazione e della comunicazione (TIC). Sebbene tali certificazioni costituiscano un fondamento di affidabilità, l’articolo 8 del Regolamento chiarisce che non possono essere considerate come un’unica e definitiva misura per valutare l’adeguatezza di un fornitore. Difatti, il Regolamento impone alle istituzioni finanziarie di andare oltre la semplice attestazione certificatoria, richiedendo l’integrazione di revisioni, ispezioni e verifiche periodiche delle prestazioni dei fornitori. Questi strumenti ulteriori sono ritenuti essenziali, in quanto la certificazione, pur rappresentando un presidio imprescindibile, fornisce un quadro statico e puntuale, destinato ad essere superato dalla rapida evoluzione dei rischi informatici e delle problematiche operative che caratterizzano un ambiente digitale in continua trasformazione.
In tal senso, gli enti finanziari sono tenuti ad assicurarsi contrattualmente il diritto di condurre audit interni, oppure di avvalersi di revisori terzi, al fine di verificare costantemente la conformità del fornitore di TIC agli indicatori chiave di prestazione (Key Performance Indicators, KPI) e agli accordi sui livelli di servizio (Service Level Agreements, SLA). Tali strumenti di controllo, inoltre, vengono affiancati dalla previsione di test congiunti, incluse simulazioni e penetration test, da eseguire in particolare per le funzioni ICT critiche.
Pertanto, le certificazioni non rappresentano che uno dei numerosi tasselli di una strategia articolata e multiforme di gestione del rischio, nella quale il monitoraggio proattivo, l’audit continuo e la supervisione contrattuale rivestono un ruolo parimenti determinante. Alle istituzioni finanziarie viene, quindi, richiesta una partecipazione attiva e continua nel processo di gestione del rischio, con l’obbligo di sfruttare le certificazioni quale uno degli strumenti — ma non il solo — per garantire che i fornitori di servizi TIC soddisfino appieno i requisiti normativi in materia di resilienza operativa digitale.
Diritti contrattuali e audit
I diritti contrattuali e di audit costituiscono un elemento imprescindibile per garantire la conformità agli obblighi di certificazione imposti dal Regolamento Delegato (UE) 2024/1773. Ai sensi dell’articolo 8 del Regolamento, le istituzioni finanziarie sono tenute a includere, all’interno degli accordi stipulati con i fornitori di servizi di tecnologia dell’informazione e della comunicazione (TIC), precise clausole contrattuali che assicurino la facoltà di richiedere periodicamente certificazioni aggiornate e di condurre audit indipendenti volti a verificare la continua conformità ai requisiti normativi e operativi. In particolare, tali contratti devono garantire agli istituti finanziari il diritto di monitorare e valutare, in ogni momento, la conformità del fornitore rispetto agli obblighi contrattualmente assunti.
In virtù di quanto stabilito dal Regolamento, gli istituti finanziari dispongono del diritto di rescindere il contratto o di imporre misure sanzionatorie nel caso in cui il fornitore di TIC non mantenga valide le proprie certificazioni o non adempia agli obblighi emergenti dai risultati degli audit condotti. Inoltre, il Regolamento riconosce una flessibilità contrattuale che consente agli enti finanziari di richiedere audit ad hoc qualora emergano nuovi rischi o si verifichino modifiche sostanziali nell’operatività del fornitore. Tale elasticità consente di adeguare tempestivamente i meccanismi di supervisione, garantendo così che le certificazioni rimangano pertinenti e adeguate rispetto al mutato contesto di rischio, tutelando la resilienza operativa dell’istituto finanziario.
Approfondimento sugli articoli 6 e 8: due diligence e audit
L’articolo 6 del Regolamento Delegato (UE) 2024/1773 disciplina in maniera dettagliata il processo di due diligence che le istituzioni finanziarie sono obbligate ad espletare prima di stipulare contratti con fornitori terzi di servizi TIC. La due diligence rappresenta una misura di salvaguardia essenziale, volta a garantire una valutazione esaustiva e una mitigazione proattiva di tutti i rischi legati all’esternalizzazione di funzioni essenziali o importanti verso fornitori terzi. Questo processo si pone come strumento fondamentale per preservare la resilienza operativa delle entità finanziarie, in linea con i più elevati standard di conformità.
Elemento cardine di tale processo è l’obbligo di verificare il possesso, da parte del fornitore, di certificazioni rilasciate da organismi terzi indipendenti riconosciuti a livello internazionale. Queste certificazioni servono a convalidare in modo imparziale che i controlli interni, le prassi di gestione del rischio e le misure di sicurezza informatica del fornitore soddisfino o eccedano gli standard normativi imposti per garantire la resilienza operativa dell’istituto finanziario. Tra le certificazioni maggiormente rilevanti si annoverano quelle che fanno riferimento a standard internazionali di comprovata autorevolezza, come l’ISO 27001 per la gestione della sicurezza delle informazioni, o il SOC 2, orientato al controllo e alla governance dei servizi forniti. Tali certificazioni costituiscono un benchmark globale, assicurando che le procedure adottate dal fornitore rispondano ai requisiti necessari per la tutela della sicurezza e della continuità operativa.
Il processo di certificazione rappresenta una garanzia oggettiva circa la solidità dei sistemi e delle procedure del fornitore di TIC, attestando la loro idoneità a gestire le complesse esigenze operative e normative delle istituzioni finanziarie. Ciò risulta particolarmente rilevante in aree ad alto rischio, come la protezione dei dati sensibili, la risposta tempestiva agli incidenti e la gestione della continuità operativa, che assumono un valore strategico per il buon funzionamento delle funzioni finanziarie essenziali o importanti. Data l’interdipendenza tra i servizi finanziari e la crescente tendenza all’esternalizzazione verso fornitori terzi, risulta imprescindibile che tali fornitori siano in grado di sostenere operazioni critiche senza compromettere l’integrità, la sicurezza e la stabilità dell’ente finanziario, evitando di esporlo a rischi inaccettabili o eccessivi.
Le certificazioni come parte di un quadro di Governance più ampio
L’articolo 8 del Regolamento Delegato (UE) 2024/1773 stabilisce chiaramente che, sebbene le certificazioni rivestano un ruolo di primaria importanza nel garantire la conformità dei fornitori di servizi di tecnologia dell’informazione e della comunicazione (TIC), esse non possono costituire l’unico criterio su cui basare la valutazione dell’adeguatezza dei sistemi di gestione del rischio e dei controlli implementati dal fornitore. In tale ottica, le istituzioni finanziarie sono chiamate a integrare tali certificazioni con ulteriori e più articolati livelli di supervisione e controllo. Il Regolamento, infatti, impone l’obbligo di condurre audit indipendenti, ispezioni e valutazioni continue del rischio, volti a verificare non solo la conformità formale dei fornitori, ma anche l’effettiva efficacia operativa dei controlli, garantendo che questi riflettano fedelmente le condizioni operative reali in cui opera il fornitore.
Tale approccio risponde a una limitazione insita nella natura delle certificazioni: esse forniscono, infatti, una fotografia statica e puntuale della capacità di gestione del rischio da parte del fornitore, ma potrebbero non tenere conto della mutevolezza dell’ambiente operativo o dell’evoluzione delle minacce informatiche. Di conseguenza, per preservare una resilienza operativa costante, le istituzioni finanziarie devono impegnarsi in un monitoraggio attivo e costante dei sistemi dei fornitori, aggiornando le proprie valutazioni del rischio in funzione sia dei rapporti di certificazione sia dei risultati ottenuti dagli audit interni.
Ambito delle certificazioni e aree chiave di interesse
L’ambito di applicazione delle certificazioni previste dal Regolamento si estende a tutte le aree critiche necessarie per un’efficace erogazione dei servizi TIC a supporto delle operazioni finanziarie. Una delle aree di interesse primario è la protezione dei dati, in particolare nell’ambito delle rigide prescrizioni dettate dal Regolamento generale sulla protezione dei dati (GDPR). Il Regolamento impone ai fornitori di TIC che gestiscono dati finanziari o sensibili di ottenere certificazioni che comprovino la loro capacità di proteggere tali dati da accessi non autorizzati, violazioni di sicurezza o usi impropri, assicurando un elevato standard di sicurezza in ogni fase del trattamento.
Altra area di rilievo è quella relativa alla risposta agli incidenti. Le certificazioni devono convalidare che il fornitore di TIC abbia implementato protocolli solidi per la rilevazione, la risposta e il ripristino in caso di incidenti, inclusi eventi di sicurezza quali violazioni dei dati, attacchi denial-of-service o altre interruzioni potenzialmente dannose per i servizi forniti all’istituto finanziario. Le certificazioni in questo ambito attestano la capacità del fornitore di ridurre al minimo i danni derivanti da incidenti, di garantire un rapido recupero della funzionalità e di limitare l’impatto sulle operazioni finanziarie critiche.
Altrettanto imprescindibile è la pianificazione della continuità operativa. Gli istituti finanziari devono poter contare sul fatto che i loro fornitori TIC siano adeguatamente preparati a fronteggiare interruzioni operative derivanti da cyberattacchi, disastri naturali o guasti dei sistemi interni. In tale contesto, le certificazioni relative alla continuità operativa valutano l’efficacia dei piani di disaster recovery, le strategie di continuità e la presenza di adeguate ridondanze all’interno dell’infrastruttura del fornitore.
Integrare le certificazioni con audit e ispezioni
L’articolo 8 del Regolamento Delegato (UE) 2024/1773 della Commissione Europea stabilisce in maniera inequivocabile la necessità di una sorveglianza attiva e continua, che si realizza attraverso audit regolari e approfonditi, al fine di integrare e superare le valutazioni ottenute tramite le certificazioni. Le istituzioni finanziarie sono pertanto tenute a condurre ispezioni e verifiche dei sistemi dei fornitori di TIC, avvalendosi sia di competenze interne che di revisori esterni, in modo da garantire che le certificazioni possedute dai fornitori non solo siano valide, ma anche complete e sufficienti per fronteggiare eventuali rischi emergenti o modifiche dell’ambiente operativo.
Il regolamento incoraggia le istituzioni finanziarie a condurre audit a intervalli regolari, incrociando i risultati ottenuti con i rapporti di certificazione, così da individuare prontamente eventuali lacune nella conformità e garantire che i controlli del fornitore restino adeguati e aggiornati nel tempo. Inoltre, gli istituti finanziari sono autorizzati a includere specifiche clausole contrattuali che sanciscano il diritto di condurre verifiche sui sistemi del fornitore, di richiedere aggiornamenti delle certificazioni e di eseguire ispezioni presso le strutture operative. Queste previsioni consentono agli istituti di esercitare un controllo diretto e costante sulla gestione del rischio, mantenendo un presidio attivo sulla resilienza operativa e sulla conformità normativa.
Le certificazioni richieste dal Regolamento devono coprire tutte le aree critiche per la prestazione dei servizi TIC, quali la disponibilità del servizio, i controlli di sicurezza e la conformità ai requisiti legali e normativi. I risultati degli audit devono essere utilizzati dagli istituti finanziari non solo come verifica della conformità, ma anche per informare le proprie strategie di gestione del rischio e per aggiornare, laddove necessario, le politiche interne in materia di resilienza operativa.
Approfondimento sull’articolo 9: monitoraggio continuo
L’articolo 9 del Regolamento Delegato (UE) 2024/1773 impone agli istituti finanziari l’obbligo di garantire che i loro fornitori TIC mantengano costantemente la conformità ai livelli di servizio concordati e alle certificazioni che costituiscono la base della loro prestazione di servizi. Il monitoraggio continuo non è dunque soltanto un requisito operativo, ma rappresenta un elemento critico della gestione del rischio, assicurando che la conformità non si limiti alla fase iniziale, ma venga mantenuta per tutta la durata del rapporto contrattuale.
Qualsiasi non conformità, che si tratti di mancato rispetto dei livelli di servizio, violazioni della sicurezza o lacune nelle certificazioni, deve essere prontamente affrontata con misure correttive tempestive. La normativa prevede che tali misure correttive siano spesso predefinite negli accordi contrattuali e possano includere penali, clausole di risoluzione o richieste di piani di rimedio. È essenziale che i contratti prevedano meccanismi di sanzione e interventi correttivi che siano chiari, applicabili e proporzionali ai rischi derivanti dalla non conformità del fornitore. Ad esempio, se un fornitore non rinnova una certificazione essenziale o se un audit evidenzia vulnerabilità significative, l’istituto finanziario deve essere abilitato a richiedere azioni correttive immediate, quali il miglioramento dei controlli di sicurezza, la conduzione di ulteriori audit o, nei casi più gravi, la risoluzione del contratto.
Il ruolo degli audit indipendenti e del controllo rafforzato
Gli audit indipendenti assumono un ruolo di rilievo nell’ambito dei requisiti di monitoraggio continuo sanciti dalla normativa, rappresentando uno strumento imprescindibile per garantire che la conformità dei fornitori di servizi di tecnologia dell’informazione e della comunicazione (TIC) sia costantemente verificata e mantenuta nel tempo. Sebbene le certificazioni forniscano una validazione esterna dei controlli del fornitore, è necessario che tali certificazioni vengano integrate con audit periodici condotti in maniera indipendente, in modo da rilevare eventuali criticità emergenti o cambiamenti sostanziali che possano influire sulle operazioni del fornitore. L’articolo 9 del Regolamento rafforza il diritto dell’istituto finanziario di richiedere audit autonomi, attraverso risorse interne oppure mediante l’ausilio di società di revisione terze, che assicurino un ulteriore livello di controllo e obiettività. Tali audit rivestono una funzione fondamentale nel verificare che gli aggiornamenti delle certificazioni siano completi e adeguati alle esigenze operative e di cybersecurity dell’istituto.
Per i fornitori di TIC che operano in contesti ad alto rischio, come ad esempio giurisdizioni esterne all’Unione Europea o settori soggetti a significative minacce cibernetiche, il Regolamento impone che le istituzioni finanziarie adottino misure di controllo rafforzate, andando oltre le certificazioni standard. Operare in tali ambienti espone i fornitori a rischi maggiori, come vulnerabilità informatiche, problemi di tutela dei dati e complessità normative. Di conseguenza, le istituzioni finanziarie devono accertarsi che le certificazioni in possesso di tali fornitori siano sufficientemente rigorose per tenere conto di questi rischi elevati. In determinate circostanze, ciò potrebbe comportare l’imposizione di certificazioni aggiuntive, audit più frequenti e un livello di due diligence più stringente rispetto ai fornitori che operano in contesti a rischio inferiore. A titolo esemplificativo, un fornitore di servizi cloud che gestisce dati in una giurisdizione non appartenente all’Unione Europea, caratterizzata da quadri normativi divergenti, potrebbe necessitare di certificazioni specifiche che attestino la conformità in materia di trasferimenti transfrontalieri di dati, di rischi giurisdizionali e di adeguamento alle normative sia dell’Unione Europea sia locali.
Il Regolamento richiede, inoltre, che le certificazioni vengano sottoposte a valutazioni continue, in modo da confermarne l’adeguatezza alla luce dell’evoluzione dei rischi. Gli istituti finanziari sono tenuti a implementare un modello di gestione del rischio dinamico, in cui la supervisione dei fornitori TIC si adatta costantemente all’emergere di nuove minacce cibernetiche, a cambiamenti di natura geopolitica o a modifiche nei quadri regolamentari.
Un quadro di Governance più ampio per la resilienza operativa
L’obbligo di ottenere certificazioni da enti terzi, così come prescritto dal Regolamento (UE) 2024/1773, si inserisce all’interno di un quadro di governance completo, finalizzato a garantire che i fornitori di TIC non si limitino a rispettare gli standard minimi imposti dalla normativa, ma contribuiscano attivamente al rafforzamento della resilienza operativa e della postura di cybersecurity delle istituzioni finanziarie. Questo quadro di governance prevede l’implementazione di rigorosi meccanismi di supervisione, l’inclusione di precisi obblighi contrattuali e l’adozione di un sistema di monitoraggio continuo, rendendo la gestione dei rischi digitali un impegno condiviso tra fornitori di TIC e istituzioni finanziarie in un contesto tecnologico in rapida evoluzione.
Il doppio affidamento su certificazioni e audit proattivi rispecchia uno dei principi fondamentali della normativa: la conformità non è un risultato statico, bensì un processo continuo. Le certificazioni forniscono un punto di partenza essenziale, ma la supervisione regolare attraverso audit indipendenti garantisce che i fornitori rimangano allineati al profilo di rischio in evoluzione e alle aspettative normative dell’istituto. Impegnando le istituzioni finanziarie in un dialogo costante con i loro fornitori di TIC, la normativa favorisce lo sviluppo di una cultura della responsabilità condivisa, in cui i rischi vengono monitorati in modo collaborativo e proattivo.
Rafforzare la responsabilità in un panorama digitale in rapida evoluzione
Il combinato disposto tra certificazioni di terze parti e rigorosi meccanismi di supervisione, previsto dal Regolamento Delegato (UE) 2024/1773, assicura che sia i fornitori di servizi ICT che le istituzioni finanziarie assumano una piena e continua responsabilità nella gestione dei rischi digitali. In un contesto in cui le minacce informatiche si fanno sempre più sofisticate e pervasive, la normativa si prefigge l’obiettivo di creare un quadro operativo resiliente, in grado di fronteggiare interruzioni digitali, attacchi cibernetici e malfunzionamenti di natura sistemica. Il diritto riconosciuto agli istituti finanziari di richiedere audit, di garantire il rispetto delle certificazioni e di esigere dai fornitori il mantenimento di elevati standard di prestazione e sicurezza riflette l’impostazione del regolamento, orientata alla prevenzione e alla preparazione.
In tale prospettiva, il regolamento non si limita a imporre obblighi ai fornitori di TIC, ma esorta le istituzioni finanziarie a sviluppare un approccio proattivo alla gestione del rischio. Anziché limitarsi a reagire a incidenti dopo il loro verificarsi, gli istituti sono chiamati a mantenere una vigilanza costante, ad anticipare le vulnerabilità potenziali e a instaurare un dialogo continuo con i propri fornitori di servizi TIC, così da assicurare la resilienza e la sicurezza su ogni livello della catena di fornitura.
L’articolo 9, con il suo requisito di monitoraggio continuo, assicura che gli istituti finanziari non rivestano il ruolo di meri destinatari passivi dei servizi TIC, ma siano partecipanti attivi nella salvaguardia del loro ambiente operativo. Attraverso l’integrazione di audit indipendenti e monitoraggi continui nel proprio quadro di governance, le istituzioni finanziarie mantengono il controllo sulle funzioni esternalizzate, promuovendo al contempo una cultura di gestione del rischio e di responsabilità condivisa.
Conclusioni
Il Regolamento Delegato (UE) 2024/1773 della Commissione Europea delinea un quadro normativo organico e articolato, che impone obblighi rigorosi alle istituzioni finanziarie e ai loro fornitori di servizi TIC, al fine di garantire la resilienza operativa, la sicurezza informatica e la conformità ai rischi digitali emergenti. Ponendo le certificazioni al centro del proprio sistema di governance, la normativa offre una solida base per la validazione esterna da parte di soggetti terzi, assicurando che i fornitori di TIC aderiscano agli standard internazionali ed europei nella gestione delle funzioni tecnologiche essenziali. Tuttavia, il regolamento va oltre l’aspetto certificatorio, imponendo una supervisione continua, audit indipendenti e una gestione dinamica del rischio, riconoscendo che le certificazioni, da sole, non possono essere considerate sufficienti in un’epoca in cui le minacce informatiche sono in costante mutamento.
Il regolamento richiede che le istituzioni finanziarie assumano un ruolo attivo nel monitoraggio dei loro fornitori TIC, esigendo certificazioni aggiornate, conducendo audit regolari e assicurandosi di avere, in virtù dei contratti stipulati, il diritto di eseguire ispezioni e verifiche. Tale approccio proattivo permette di gestire in modo collaborativo i rischi, promuovendo una reciproca responsabilità tra le istituzioni finanziarie e i loro partner ICT.
Grazie alla combinazione di una rigorosa due diligence, di un monitoraggio costante e di una solida applicazione contrattuale, il regolamento promuove una cultura in cui le istituzioni finanziarie non si limitano a dipendere da servizi di terzi, ma partecipano attivamente alla gestione della resilienza digitale. Questa duplice responsabilità garantisce che tanto le entità finanziarie quanto i fornitori di TIC contribuiscano alla stabilità e alla sicurezza del sistema finanziario a lungo termine, proteggendosi dalla crescente sofisticazione e frequenza delle minacce informatiche.
In conclusione, il Regolamento (UE) 2024/1773 traccia un percorso chiaro per le istituzioni finanziarie, fornendo loro gli strumenti per tutelare le proprie operazioni digitali attraverso un sistema integrato di certificazioni, verifiche indipendenti e una governance dinamica. Tale approccio, non solo rafforza le singole istituzioni, ma innalza il livello di resilienza dell’intero sistema finanziario europeo, permettendo agli istituti di navigare con sicurezza in un ambiente digitale sempre più complesso e ad alto rischio.
