Contattaci
Placeholder address.
info@paradigma.it
011 538686

CONTACT


[contact-form-7 404 "Non trovato"]

DORA: le nuove linee guida ESAs sulla vigilanza dei fornitori ICT critici

DORA: le nuove linee guida ESAs sulla vigilanza dei fornitori ICT critici
23 Luglio 2025
in Digitalizzazione
Nessun commento
2202

Con la pubblicazione delle linee guida congiunte da parte delle ESAs (EBA, ESMA ed EIOPA), prende forma un importante tassello del Regolamento (UE) 2022/2554, noto come DORA – Digital Operational Resilience Act, che disciplina la resilienza operativa digitale nel settore finanziario.

L’obiettivo delle nuove indicazioni è fornire un quadro chiaro e coordinato per la vigilanza dei fornitori terzi ICT critici (Critical ICT Third-Party Providers – CTPP), come previsto dall’articolo 31 del Regolamento, promuovendo una supervisione europea integrata e collaborativa.

 

Il contesto normativo: DORA e la gestione del rischio ICT

DORA rappresenta un passo decisivo nell’approccio dell’Unione Europea alla gestione dei rischi digitali e informatici nel settore finanziario. A partire dal 17 gennaio 2025, il Regolamento troverà piena applicazione per banche, assicurazioni, società di investimento, gestori di fondi, intermediari finanziari e fornitori di servizi ICT.

Uno dei profili più innovativi del Regolamento riguarda l’introduzione di una vigilanza diretta e centralizzata sui fornitori ICT critici, ovvero quei soggetti esterni da cui dipende la continuità operativa di gran parte del settore finanziario. Questo tipo di vigilanza richiede una forte cooperazione tra le autorità nazionali competenti e le autorità europee.

 

Le linee guida ESAs: struttura e finalità

Le linee guida pubblicate delineano il funzionamento del sistema di scambio informativo e cooperazione tra autorità incaricate della vigilanza sui CTPP. I principali elementi emersi sono:

Coordinamento tra autorità

  • Definizione dei flussi informativi obbligatori tra autorità competenti a livello nazionale ed europeo;
  • Criteri per la valutazione della criticità dei fornitori e delle minacce ICT rilevanti;
  • Designazione del “Lead Overseer”, ossia l’autorità che assumerà il ruolo di coordinamento delle attività di vigilanza per ciascun CTPP.

Ruolo del Collegio di Vigilanza

  • Istituzione di un Oversight Forum permanente, che faciliterà il confronto tra le autorità e garantirà un approccio coerente e armonizzato;
  • Possibilità per il Lead Overseer di coinvolgere altre autorità interessate in base alla portata geografica e al perimetro dei servizi erogati dal fornitore critico.

Modalità di scambio dati

  • Strutturazione di canali sicuri e codificati per il trasferimento di informazioni sensibili;
  • Tempistiche uniformi e meccanismi di aggiornamento periodico dei dati raccolti;
  • Requisiti tecnici e organizzativi per assicurare la protezione dei dati e la continuità della cooperazione interistituzionale.

 

Le implicazioni per le imprese finanziarie e i fornitori

Le indicazioni delle ESAs hanno effetti pratici rilevanti sia per gli intermediari finanziari che per i fornitori ICT:

  • Gli operatori finanziari dovranno mappare attentamente i fornitori utilizzati, verificare i livelli di concentrazione e dipendenza, e aggiornare i contratti in linea con i requisiti DORA.
  • I fornitori considerati critici potranno essere soggetti a controlli diretti da parte delle autorità europee, dovranno adottare misure avanzate di cyber risk management e garantire un monitoraggio continuo della resilienza operativa.
  • Le strutture di compliance e IT dovranno rafforzare la governance dell’outsourcing ICT, coordinandosi con i team legali e con i fornitori per la corretta gestione delle relazioni contrattuali e dei flussi informativi.

 

Conclusioni: verso una vigilanza digitale europea integrata

Le linee guida ESAs rafforzano l’impianto operativo del Regolamento DORA, dando forma concreta a un modello di vigilanza proattivo e collaborativo, capace di rispondere alla complessità dei rischi legati alla digitalizzazione dei servizi finanziari.

L’approccio adottato mira a bilanciare l’innovazione tecnologica con la tutela della stabilità del sistema finanziario, creando le condizioni per una resilienza operativa robusta e una maggiore fiducia nei confronti dell’ecosistema digitale.

Le imprese, i fornitori e i professionisti della compliance sono dunque chiamati a prepararsi per tempo alla piena applicazione di DORA, avviando percorsi di adeguamento normativo, tecnico e organizzativo che rafforzino il presidio sui rischi ICT.

Condividi

Potrebbe interessare anche