10/7/2025
EBA: Documento di consultazione per la corretta gestione del rischio derivante da terze parti per i servizi non ICT
In data 8 luglio 2025, l’Autorità Bancaria Europea (EBA) ha avviato una consultazione aperta al pubblico al fine di individuare gli adeguati presidi per la gestione dei rischi legati ai fornitori terzi di servizi non tecnologici (non-ICT), similmente a quanto previsto dal Regolamento DORA.
Nel dettaglio l’EBA richiede che il Consiglio di Amministrazione mantenga sempre la piena responsabilità nella gestione dei rischi, anche quando si ricorre a fornitori esterni. A riguardo, è essenziale avere una politica interna che venga costantemente aggiornata per governare questi rapporti.
Prima di stipulare un accordo, va effettuata una due diligence accurata sul fornitore e va valutato se la funzione affidata sia “critica” o “importante”, cioè tale da poter compromettere l’operatività dell’ente in caso di malfunzionamenti, così da poter mettere in atto un controllo più stringente sul fornitore del servizio. Il contratto deve essere dettagliato: deve prevedere regole relative a eventuali subesternalizzazioni, accesso alle informazioni, possibilità di audit e modalità di uscita (exit strategy). In caso di funzioni critiche, le subesternalizzazioni richiedono condizioni particolari.
Una volta attivata la collaborazione, il fornitore deve essere monitorato in modo costante, con la possibilità per l’ente di esercitare controlli e ispezioni. Infine, le Autorità di vigilanza devono poter individuare situazioni di rischio sistemico, come la concentrazione eccessiva di fornitori utilizzati da più enti contemporaneamente.
Tale consultazione assicura l’allineamento con il registro previsto dal DORA, permettendo agli istituti finanziari di mantenere dati uniformi sia per i servizi ICT che per quelli non ICT, inclusa la possibilità di adottare un registro unico. Applicando il principio di proporzionalità, la quantità di informazioni da registrare è stata ridotta per alleggerire il carico sia per le entità finanziarie sia per le autorità di controllo.
Per facilitare un passaggio graduale alle nuove disposizioni, le entità finanziarie coinvolte hanno a disposizione un eriodo di due anni per rivedere e aggiornare i propri accordi con terzi (third-party arrangements, TPA) esistenti e per adeguare il registro relativo ai TPA per servizi non ICT.
La consultazione rimarrà aperta fino all'8 ottobre 2025.