Linee Guida EBA sul rischio fornitori terzi: implicazioni pratiche e coordinamento con DORA
L’EBA ha avviato una consultazione pubblica sulle nuove Linee Guida per la gestione del rischio di fornitori terzi (Third-Party Service Provider Guidelines, LG TPSP). Si tratta di un passaggio strategico che va ben oltre la mera revisione del documento del 2019 in materia di outsourcing, segnando un allargamento significativo della prospettiva di vigilanza e compliance.
Un ambito soggettivo più ampio
Le nuove Linee Guida non si limitano a banche, istituti di pagamento e IMEL, ma includono anche imprese di investimento, emittenti di asset-referenced tokens regolati dal MiCAR e creditori soggetti alla Mortgage Credit Directive. Questo significa che le logiche di risk management che fino a ieri interessavano solo determinati operatori bancari e finanziari diventano oggi patrimonio comune di un perimetro molto più esteso.
Il coordinamento con il DORA
Un altro aspetto centrale riguarda l’armonizzazione con il Regolamento DORA. Finora, i fornitori ICT erano oggetto di regole specifiche, con il rischio di creare un doppio binario rispetto agli altri fornitori. Le nuove Linee Guida puntano a superare questa frammentazione, assicurando principi uniformi di valutazione e monitoraggio del rischio. L’obiettivo è garantire coerenza e ridurre le asimmetrie regolamentari.
Rilevanza dei nuovi profili normativi
Non meno importante è l’integrazione delle evoluzioni legislative più recenti. Il riferimento non è solo al MiCAR, ma anche agli orientamenti ESG che stanno diventando centrali nelle politiche europee. La valutazione del rischio dei fornitori non può più fermarsi alla solidità economico-finanziaria, ma deve includere aspetti di sostenibilità, resilienza e rispetto dei principi ambientali e sociali.
Quali impatti per gli operatori
Per gli intermediari finanziari, il messaggio è chiaro: sarà necessario rafforzare i presidi di governance, aggiornare i modelli di due diligence e predisporre processi di monitoraggio continuo delle relazioni con i terzi. Non si tratta solo di un adempimento formale, ma di un cambio di paradigma che impone di ripensare l’intera catena del valore.
In particolare, l’attenzione dei regolatori si concentra sul rischio di concentrazione e sulla dipendenza da fornitori critici, aspetti che possono incidere sulla stabilità operativa e sulla fiducia del mercato. Le nuove LG TPSP rappresentano dunque un invito a integrare la gestione del rischio fornitori all’interno delle strategie complessive di business continuity e resilienza operativa.
