I ritardi nell'adozione delle norme attuative e le sfide per i Cda e i consulenti
Per il settore finanziario europeo la gestione del rischio tecnologico e la sfida della conformità al Digital Operational Resilience Act (Dora) non è più una semplice scadenza regolamentare, ma una priorità strategica destinata a ridefinire la gestione dei servizi Ict e dei rapporti con i fornitori. Non si tratta di un adeguamento una tantum, ma di un nuovo standard che accompagnerà la vita quotidiana delle istituzioni finanziarie, imponendo un costante processo di revisione delle politiche interne, dei sistemi di gestione del rischio e delle procedure di risposta agli incidenti.
Come spiega Fabio Coco, partner di ADVANT Nctm, «L'attuazione di Dora è stato un percorso lungo, in cui le financial entities, i consulenti It e i legali hanno dovuto operare in un contesto normativo in continua evoluzione, adattando costantemente le proprie strategie man mano che venivano pubblicati nuovi regolamenti, nonché chiarimenti e Q&A delle ESAs (Autorità di Vigilanza europee). Di conseguenza, questo quadro dinamico e incerto ha inevitabilmente allungato i tempi per la redazione di nuove policy e per la conclusione delle negoziazioni contrattuali con i fornitori Ict».
Uno dei nodi più complessi nell'attuazione del Dora riguarda i contratti con i fornitori Ict. «Questi ultimi - ricorda Coco -, salvo i casi di fornitori critici, non sono direttamente soggetti al regolamento e spesso pongono resistenze all'introduzione di clausole che comportano oneri e responsabilità aggiuntive. Le trattative diventano particolarmente delicate su punti come i diritti illimitati di audit da parte delle entità finanziarie, i piani di uscita che obbligano a garantire continuità di servizio durante la migrazione a un altro provider, o la revisione dei rapporti con i subappaltatori».
Secondo Coco inoltre le difficoltà aumentano quando si tratta di servizi Ict a supporto di funzioni essenziali o importanti, dove aumentano i rischi per le financial entities e, di conseguenza, i requisiti sono molto più stringenti. «A complicare ulteriormente il quadro vi sono alcune clausole richieste da Dora che devono essere costruite su misura in base al tipo di servizio - aggiunge Coco -, rendendo molto difficile l'uso sistematico di modelli contrattuali standard. In più, i nuovi contratti devono essere coerenti non solo con Dora ma anche con l'insieme di regole già esistenti anche di matrice nazionale (ad es. le disposizioni di Banca d'Italia e Ivass)». La questione è che i contratti dovranno essere da subito conformi, le autorità di vigilanza passeranno a una fase di enforcement più rigorosa, e i costi di compliance diventeranno una spesa continua. «Già oggi alcuni fornitori - conclude Coco - chiedono compensi aggiuntivi per coprire le nuove responsabilità contrattuali, e la tendenza potrebbe consolidarsi».
Articolo integrale sul settimanale del 20 settembre 2025 di Plus 24 - Il Sole 24 Ore.
