Blog

Il Regolamento DORA : Gestione delle terze parti ICT

22 gennaio 2026

 DORA Pilastro 5

DORA Pilastro 5: Gestione delle terze parti ICT – Controllo, Monitoraggio e Mitigazione del Rischio

Il quinto e ultimo pilastro del Regolamento DORA affronta un tema sempre più rilevante per il settore finanziario: la dipendenza dagli ICT Third-Party Service Providers (TPSP). Gli intermediari raramente operano in totale autonomia, bensì dipendono da una rete complessa di fornitori di servizi ICT – da provider di infrastrutture cloud a specialisti di cybersecurity, da gestori di payment a software vendor.​

Tale dipendenza è sia tecnologica che strategica, in quanto il corretto svolgimento dei processi core dell’intermediario è strettamente legato alla disponibilità, all’affidabilità e alla sicurezza dei servizi ICT erogati da terzi, la cui garanzia di continuità è dunque un requisito chiave.​

Tale dipendenza espone gli intermediari a rischi significativi, che devono essere coerentemente valutati e gestiti per l’intera durata del ciclo di vita degli accordi contrattuali: dalla fase di selezione del TPSP ICT e di stesura delle clausole contrattuali, fino alla fase di monitoraggio e risoluzione del rapporto.​

​​

Cosa richiede il DORA in materia di Gestione dei TPSP ICT? 

 

A) Identificazione dei TPSP ICT che erogano servizi essenziali per l’intermediario

Il primo passo è identificare quali fornitori ICT – e soprattutto quali servizi – sono considerati essenziali o importanti per lo svolgimento delle operazioni ordinarie dell’intermediario. Tra questi possono figurare:

  • fornitori di servizi di sicurezza
  • fornitori di soluzioni di payment
  • fornitori di software mission-critical
  • fornitori di servizi di outsourcing di funzioni critiche
B) Elementi Contrattuali:

Per ogni fornitore ICT che supporta funzioni essenziali, DORA richiede che l'intermediario negozi e inserisca nel contratto specifiche clausole, tra cui:​

  • Garanzia dei livelli di servizio: SLA chiari (Service Level Agreements) con KPI specifici
  • Requisiti di continuità: il fornitore ICT deve avere propri piani di business continuity e disaster recovery
  • Requisiti di sicurezza: il fornitore ICT deve adottare elevati standard in materia di sicurezza delle informazioni
  • Obblighi di notifica: il fornitore deve notificare incidenti significativi all'intermediario tempestivamente
  • Diritti di audit: l'intermediario deve preservarsi il diritto di effettuare audit sul fornitore ICT, il quale è obbligato a collaborare
  • Clausole di risoluzione e strategia di uscita: meccanismi chiari per risolvere il rapporto senza compromettere l'operatività dell’intermediario
C) Monitoraggio Continuo:

La gestione del rischio di terza parte ICT non si esaurisce con la stipula del contratto. DORA richiede monitoraggio continuo sul fornitore e sul servizio erogato, prevedendo:​

  • la verifica che il fornitore ICT mantenga i livelli di servizio contrattualizzati
  • il monitoraggio della postura del fornitore in tema di cybersecurity
  • la verifica della stabilità finanziaria del fornitore ICT
  • il monitoraggio dei cambiamenti nella struttura o nei servizi erogati dal fornitore ICT
D) Valutazione e Audit di Conformità:

Periodicamente, l'intermediario ha diritto di effettuare controlli sulla terza parte ICT:

  • on-site audit presso le strutture del fornitore
  • revisione della documentazione (policy, procedure, incident log)
  • valutazione della postura di cybersecurity
  • verifica dei piani di continuità e disaster recovery
E) Gestione del Ciclo di Vita del Fornitore:

Dalla selezione iniziale all'eventuale risoluzione del rapporto, DORA richiede un processo strutturato:upguard+1

  • Selezione: valutazione preliminare orientata all’individuazione di un fornitore ICT che rispecchi i requisiti di affidabilità e competenza
  • Monitoraggio: analisi nel continuum dei servizi erogati attraverso l’utilizzo di SLA e KPI
  • Risoluzione: gestione della transizione a un diverso fornitore ICT o dell’internalizzazione del servizio al termine del rapporto, con focus su business continuity

 Sfide operative nell'implementazione :

    1. Complessità della catena di fornitori: un intermediario potrebbe avere decine o centinaia di fornitori. Identificare quali sono "critici" non è banale.​
    2. Asimmetria di potere negoziale: spesso le terze parti ICT (specialmente i grandi player di cloud e payment) possiedono grande potere negoziale e potrebbero non essere disposte ad accettare tutti i requisiti richiesti da DORA.
    3. Costi di audit e monitoraggio: effettuare audit regolari sui fornitori ICT ha costi significativi.
    4. Dipendenza strategica: per alcuni servizi mission-critical, l'intermediario potrebbe avere poche alternative.
    5. Sub-fornitori: i fornitori critici a loro volta spesso si appoggiano a sub-fornitori. Come assicurare il monitoraggio su tutta la catena di fornitura?​

  2. Come strutturare una gestione dei TPSP DORA-compliant:
  1. Mapping della catena di fornitura: identificare tutti i fornitori che erogano servizi ICT e classificarli sulla base dell’essenzialità del servizio erogato
  2. Definire le clausole contrattuali: sviluppare template di clausole contrattuali DORA-compliant
  3. Negoziare i contratti: prevedere gli elementi contrattuali richiesti da DORA nei nuovi contratti; per quelli esistenti, integrare le previsioni attraverso addendum ad hoc
  4. Implementare monitoraggio: istituire processi di monitoraggio continuo dei KPI dei fornitori
  5. Pianificare gli audit: sviluppare un piano pluriennale di audit dei fornitori a supporto di funzioni essenziali
  6. Gestire incidenti dei fornitori: definire procedure di gestione degli incidenti significativi subiti dai fornitori ICT
  7. Pianificare la continuità: identificare fornitori alternativi per servizi critici e pianificare meccanismi di failover

 

Considerazioni finali su tutti i cinque pilastri:

I cinque pilastri del Regolamento DORA non rappresentano componenti isolate, bensì concorrono unitariamente al raggiungimento della resilienza operativa digitale dell’organizzazione. Una governance debole comprometterebbe la qualità della gestione del rischio; una gestione del rischio insufficiente non preparerebbe l'organizzazione a rispondere agli incidenti; senza test di resilienza, le vulnerabilità rimarrebbero sconosciute e non gestite; infine, l’assenza di un controllo sul rischio derivante dai fornitori ICT esporrebbe l’organizzazione a minacce potenzialmente in grado di incidere sulla operatività dell’intermediario.​

DORA richiede un approccio integrato e olistico alla resilienza digitale.

Prossimi Passi:

Augeos supporta gli intermediari finanziari nel percorso di conformità al Regolamento DORA attraverso:

  • analisi e valutazione dello stato attuale rispetto ai cinque pilastri
  • identificazione di gap e aree di miglioramento
  • sviluppo di roadmap di adeguamento
  • supporto nell'implementazione delle misure con identificazione di percorsi di conformità tailor made

Contattateci per scoprire come strutturare un piano di conformità efficace e sostenibile.

New call-to-action

 


 

Topic: Gestione Incidenti Informatici, Continuità e Resilienza Operativa, DORA

Post Correlati

Il Regolamento DORA : Test di resilienza operativa digitale
19 gennaio 2026
Il Regolamento DORA : Gestione degli incidenti ICT
15 gennaio 2026
Il Regolamento DORA : Gestione del rischio ICT
14 gennaio 2026

Resta informato sul Risk Management, iscriviti alla newsletter!

Post più letti

Topic

see all