Comunitario e Internazionale

DORA, con l’aggravio degli adempimenti a rischio gli accordi di esternalizzazione dei servizi IT

Le istituzioni finanziarie sono chiamate a ripensare in modo strategico il loro approccio al rischio, circa la vulnerabilità della propria infrastruttura tecnologica, rispetto all’ingerenza dell’attività di partner terzi

Developing programmer Team Development Website design and coding technologies working in software company office

di Ubaldo Caracino*

Con l’avvento del Regolamento DORA e dei provvedimenti tecnici di attuazione in fase di completamento, le istituzioni finanziarie sono chiamate a riconsiderare l’infrastruttura organizzativa e i sistemi di presidio e controllo adottati al fine di assicurare un’efficace e persistente gestione del rischio connesso all’utilizzo di servizi tecnologici; in particolare quando questi sono collegati allo svolgimento di funzioni essenziali o importanti.

Il ruolo nevralgico che i fornitori di servizi attinenti alle tecnologie dell’informazione hanno assunto all’interno del mondo finanziario richiede, agli operatori che si confrontano in tale contesto, di ripensare in modo strategico il loro approccio al rischio circa la vulnerabilità della propria infrastruttura tecnologica rispetto all’ingerenza dell’attività di partner terzi.

In tale scenario, diventa, quindi, pressante, per gli enti finanziari, l’esigenza di istituire meccanismi e procedure dedicati che siano in grado di presidiare il rischio di dipendenza dell’organizzazione aziendale, dalla funzionalità di servizi sofisticati affidati a soggetti esterni.

Questo riesame complessivo dell’architettura organizzativa e dei controlli interni degli intermediari, si traduce anche e, soprattutto nella necessità di riconsiderare il sistema dell’esternalizzazione dei servizi tecnologici e nella revisione degli accordi in essere con i prestatori terzi di tali attività.

I compiti di supervisione e controllo demandati alle istituzioni finanziarie nel nuovo ambiente regolamentare configurato da DORA, diventano ancora più responsabilizzanti in quanto impongono agli intermediari di sottoporre ad una più pervasiva attività di revisione e monitoraggio l’intera catena di fornitori di servizi tecnologici, includendo anche i subfornitori cd. “critici, ossia quelli che supportano lo svolgimento di funzioni essenziali o importanti.

Lo sforzo che le istituzioni finanziarie dovranno sostenere, in un ecosistema sempre più marcato dal connubio tra tecnologia e finanza, riguarda, per un verso, l’attuazione di un processo interno che porti ad un’esaustiva mappatura di tutti i servizi e dei partner tecnologici coinvolti nell’esecuzione delle proprie attività caratteristiche nonché dei rischi di sicurezza informatica correlati, e dall’altra, la rivisitazione di tutti i contratti di outsourcing di servizi tecnologici (anche al livello dei subappaltatori) per verificarne la rispondenza ai nuovi criteri imposti dal Regolamento DORA.

E proprio sul tema della sub-esternalizzazione di funzionalità IT che supportano attività essenziali o importanti si concentrano talune delicate questioni che necessitano di essere debitamente risolte nell’interazione tra istituzioni finanziarie ed esponenti del mondo della tecnologia.

Le prime, infatti, saranno chiamate a condurre una valutazione ex-ante particolarmente stringente affinché venga consentito l’effettivo ricorso a sub-fornitori terzi la cui operatività incide nell’attuazione di funzioni essenziali o importanti dell’intermediario.

Infatti, il processo di analisi preliminare demandato alle istituzioni finanziarie passa attraverso alcuni accertamenti i cui profili più significativi riguardano

  • (i) la fase di due diligence eseguita dal fornitore terzo di servizi tecnologici che sia in grado di valutare e selezionare quegli operatori che abbiano effettivamente le capacità tecnico-finanziarie per essere designati come subfornitori di servizi tecnologici a supporto di funzioni essenziali o importanti;
  • (ii) l’intenzione dei prestatori di servizi IT di informare e addirittura coinvolgere le istituzioni finanziarie nei processi decisionali che riguardano i subfornitori, ove opportuno;
  • (iii) la trasposizione delle pattuizioni negoziali assunte tra l’istituzione finanziaria e il prestatore di servizi tecnologici negli accordi di subfornitura che saranno conclusi tra quest’ultimo e il relativo subappaltatore, in modo tale da assicurare agli enti finanziari l’osservanza dei requisiti imposti dal Regolamento DORA.

Una volta esaurita l’analisi di fattibilità iniziale circa il coinvolgimento di un subfornitore terzo critico, la successiva fase di contrattualizzazione tra il fornitore di servizi tecnologici e il relativo subappaltatore, deve rispettare taluni canoni redazionali identificati dai provvedimenti attuativi del Regolamento DORA.

Questi, ad esempio, impongono al fornitore designato obblighi di monitoraggio continuo sull’operato del subappaltatore e doveri di informativa verso l’istituzione finanziaria che possono chiamare in causa anche direttamente il subfornitore il quale, d’altro canto, è tenuto a condividere e mettere a disposizione piani di audit e programmi di sicurezza interni al fine di consentire all’istituzione finanziaria un pieno controllo su tutta la filiera di prestatori di servizi IT e, in particolare, di quelli che cooperano nell’esecuzione di funzioni essenziali o importanti.

Da queste brevi riflessioni emerge, quindi, come gli enti finanziari vengano investiti di penetranti poteri di ingerenza e supervisione nei confronti degli operatori del mondo dell’Information Technology, i quali sono chiamati a fornire la loro collaborazione per consentire agli intermediari bancari e finanziari di rispettare le condizioni stabilite da DORA.

Il rischio che potrebbe profilarsi, tuttavia, è che l’intromissione degli esponenti del settore finanziario rispetto alle scelte organizzative dei prestatori di servizi tecnologici e l’aggravio degli adempimenti che vengono loro imposti, disincentivi questi ultimi dall’offrire il supporto prefigurato dal nuovo scenario regolamentare, con la conseguenza che le istituzioni finanziarie saranno costrette a recedere dai loro accordi di esternalizzazione ovvero a non fare più ricorso a determinate soluzioni tecnologiche.

______

*A cura di Ubaldo Caracino, Partner Banking&Finance, Eversheds Sutherland

Per saperne di piùRiproduzione riservata ©