Esternalizzazioni, gli strumenti per mettere a frutto le linee guida del Regolamento DORA

Con la pubblicazione degli RTS (Regulatory Technical Standards) e delle linee guida del Regolamento DORA le autorità di vigilanza europee hanno indicato gli strumenti di base necessari per ottemperare al framework anche sul fronte delle esternalizzazioni e dei rapporti con fornitori e terze parti.

Migliorare la resilienza informatica anche rispetto alle esternalizzazioni

Si tratta in effetti di una disciplina fondamentale nell'ottica di migliorare la resilienza di tutta la filiera del finance sotto il profilo delle tecnologie dell'informazione e della comunicazione (TIC): non solo in quanto l'outsourcing, specie sotto il profilo dei servizi digitali, è destinato ad assumere una quota sempre più rilevante tra i processi delle entità finanziarie, ma anche perché tali processi risultano sempre più profondamente integrati in funzioni critiche.

Il Regolamento DORA, d'altra parte, non usa mezzi termini: i rischi informatici derivanti da terzi vengono considerati come parte integrante dei propri rischi, e per questo si individua una “serie di diritti contrattuali di base concernenti vari elementi dell’esecuzione e della risoluzione degli accordi contrattuali, al fine di fornire alcune garanzie minime per rafforzare la capacità delle entità finanziarie di monitorare efficacemente tutti i rischi informatici che insorgano a livello di fornitori di servizi terzi. Tali principi sono complementari alla normativa settoriale applicabile all’esternalizzazione”.

Il paragrafo 2 dell'articolo 28 del dispositivo prescrive che gli istituti finanziari adottino e riesaminino periodicamente una strategia per i rischi informatici derivanti da terzi, mettendo a punto policy adeguate per l’utilizzo dei servizi TIC a supporto di funzioni essenziali o importanti prestate dai fornitori.

Esternalizzazioni, cosa fare per valutare i rischi connessi ai fornitori

Per prima cosa, le entità finanziarie che ricorrono alle esternalizzazioni sono tenute a svolgere un assessment dei fornitori di servizi ICT di cui intenderanno avvalersi. L'attività – da gestire attraverso piattaforme integrate per la raccolta, la riconciliazione e l'analisi dei dati relativi ai processi e agli attori coinvolti – deve necessariamente partire dall’individuazione della tipologia, della quantità e della qualità di rischi informatici connaturati alle tipologie di forniture da erogare.

Rispettare gli RTS significa come accennato predisporre policy che soddisfino una serie di requisiti per quanto riguarda la stipula dei contratti con le terze parti. Innanzitutto, la politica individuata deve essere redatta in forma scritta, per venire riesaminata dall’organo direttivo almeno una volta all’anno. Occorre sviluppare o adottare una metodologia per determinare quali servizi TIC supportino funzioni critiche o importanti e individuare di conseguenza responsabilità interne per l'approvazione, la gestione, il controllo e la documentazione delle disposizioni contrattuali. Infine, bisogna prevedere parametri per la valutazione del fornitore prima della stipula dell’accordo contrattuale che risultino coerenti con il quadro di gestione dei rischi TIC. La politica deve inoltre specificare misure appropriate a gestire i conflitti d'interesse effettivi o potenziali derivanti dall'uso dei fornitori TIC e prevederne il monitoraggio continuo.

Le attività da svolgere prima di stipulare un contratto con terze parti

Nell'ottica di mettere a frutto le linee guida del Regolamento DORA sulle esternalizzazioni, sarà necessario ripercorrere tutte le fasi del ciclo di vita degli accordi contrattuali, dalla fase di pianificazione a quelle – previste dal deal – di fornitura, monitoraggio, audit e cessazione del rapporto, considerando tutti gli elementi di rischio connessi, a partire da:

• tipologia di servizi inclusi nell’accordo contrattuale tra fornitore ed entità finanziarie;
• posizione del fornitore di servizi TIC;
• posizione della fornitura in uno stato membro o in uno stato terzo;
• natura dei dati condivisi con il fornitore;
• trasferibilità del servizio TIC.

Prima di stipulare accordi contrattuali sull’uso di servizi TIC prestati dai partner, è bene condurre un assessment che riguardi anche l’impatto della fornitura a supporto di funzioni critiche o importanti sull’entità finanziaria. In particolare, nel condurre l'analisi bisogna raccogliere e indicizzare dati qualificati tenendo che permettano di ricostruire e valutare:

1. la reputazione aziendale, capacità, esperienza e risorse finanziarie;
2. l'eventuale utilizzo di subappaltatori TIC;
3. la presenza di informazioni archiviate in paesi terzi;
4. l'etica del fornitore.

Da evidenziare che, in seno alle attività di assessment, le entità finanziarie devono anche prestare attenzione ai cosiddetti meccanismi di lock-in tecnologico che possono derivare dal perfezionamento di un contratto con uno o più fornitori.

Gestire la fase contrattuale e prevedere una strategia d’uscita per le esternalizzazioni

Gli RTS che normano il ricorso alle esternalizzazioni in ambito TIC prevedono, ai sensi dell’articolo 30 del Regolamento DORA, che le entità finanziarie inseriscano alcuni elementi obbligatori all’interno degli accordi contrattuali, da siglare sempre in forma scritta. Più nello specifico:

• la previsione di diritti all’accesso, audit e test TIC;
• la possibilità di utilizzo di audit interni o esterni e certificazioni di terze parti, che devono essere adeguatamente valutate per garantire l’adeguatezza dei controlli e dei sistemi;
• la condivisione tra le parti delle modifiche ai contratti, anch'esse da formalizzare per iscritto. La politica deve inoltre prevedere un piano di uscita realistico per ciascuno degli accordi contrattuali con i fornitori TIC.

Il Regolamento DORA impone infine che i contratti, oltre a descrivere approfonditamente le attività previste dall'accordo di fornitura, includano SLA con obiettivi misurabili, definendo sistemi di monitoraggio dei KPI stabiliti e meccanismi di intervento per correggere eventuali difformità, da parte del fornitore e, se presenti, dei subfornitori.

Anche per rispondere a questa prescrizione, le autorità di vigilanza hanno formulato una serie di Implementing Technical Standards (ITS) che le entità finanziarie sono tenute a seguire nella creazione di un apposito registro, che includa, in modo accurato e coerente, tutte le informazioni relative ai servizi TIC prestati da fornitori ed eventuali subfornitori.

Il registro deve essere strutturato in una serie di modelli che raccolgano:

• informazioni generali sull’entità finanziaria che gestisce il registro delle informazioni;
• informazioni generali sulle entità comprese nel perimetro di applicazione del registro delle informazioni;
• identificazione delle filiali;
• informazioni generiche e specifiche sugli accordi contrattuali;
• identificazione dei fornitori di servizi TIC di terze parti e delle entità che partecipano agli accordi contrattuali;
• informazioni relative all’identificazione delle funzioni esternalizzate;
• informazioni sulla catena di fornitura dei servizi TIC;
• informazioni sulla valutazione dei servizi TIC offerti dai fornitori di servizi TIC;
• cronologia di eventi rilevanti, come interruzioni o incidenti nei servizi;
• misure di controllo e monitoraggio delle performance e della sicurezza;
• informazioni sulla conformità normativa dei fornitori e delle entità coinvolte;
• dettagli sui piani di exit e strategie di transizione per la gestione dei fornitori di servizi TIC;
• collegamenti con il piano generale di resilienza operativa.