Il Digital Operational Resilience Act (DORA), introdotto dal Regolamento (UE) 2022/2554, è una delle principali iniziative dell'Unione Europea per rafforzare la resilienza operativa digitale del settore finanziario. L'obiettivo del DORA è mitigare i rischi legati alle tecnologie dell'informazione e della comunicazione (ICT) e ai fornitori terzi che offrono questi servizi alle entità finanziarie (FEs).
Uno strumento che potrebbe rivestire un ruolo importante nell'ambito del DORA è il Legal Entity Identifier (LEI), un codice che identifica in modo univoco le entità giuridiche e che potrebbe facilitare il monitoraggio e la supervisione delle relazioni contrattuali tra le FEs e i fornitori di servizi ICT. Tuttavia, va sottolineato che l'utilizzo del codice LEI non è ancora stato confermato, e se ne discute come opzione nei documenti redatti dall'ESMA, in particolare nel contesto delle bozze sugli standard tecnici per la registrazione delle informazioni relative ai contratti con fornitori di servizi ICT terzi, ai sensi dell'Articolo 28(9) del Regolamento (UE) 2022/2554.
Il DORA si propone di garantire che le entità finanziarie adottino un approccio strategico e proattivo nella gestione dei rischi derivanti dai servizi ICT esterni, rafforzando così la sicurezza del settore finanziario europeo. Al centro della normativa, le FEs dovranno mantenere e aggiornare un registro informativo dettagliato che documenti tutte le relazioni contrattuali con i fornitori di servizi ICT (Third-Party Providers o ICT TPPs). Questo registro fornirà alle Autorità Competenti (CAs) una visione chiara e costante delle dipendenze ICT delle FEs, consentendo una supervisione più precisa e mirata.
Tra le ipotesi attualmente in discussione, c'è quella di adottare il codice LEI come identificatore univoco delle entità coinvolte nei contratti con fornitori ICT, il che migliorerebbe la trasparenza e faciliterebbe una gestione più efficiente dei rischi operativi associati all'utilizzo di tali servizi. Tuttavia, la sua implementazione non è ancora stata confermata.
Il Legal Entity Identifier (LEI) è già impiegato nel settore finanziario per identificare le entità giuridiche in modo univoco, migliorando la trasparenza nelle transazioni finanziarie. Nel contesto del DORA, il LEI potrebbe essere uno strumento utile per identificare e monitorare i fornitori di servizi ICT e le entità finanziarie, consentendo di aggregare e gestire in maniera standardizzata le informazioni sui contratti e i rischi associati.
Questa standardizzazione risulterebbe cruciale per evitare duplicazioni e ridurre l’onere di segnalazione per le FEs. In particolare, il LEI potrebbe essere impiegato nel registro informativo richiesto dal DORA non solo per identificare le entità legali, ma anche per raccogliere informazioni sulle relazioni contrattuali, sia interne al gruppo finanziario (ad esempio tra società sussidiarie) sia esterne con fornitori terzi. Questo approccio renderebbe più agevole per le autorità analizzare con maggiore precisione i dati relativi ai rischi legati all’uso di servizi ICT. Tuttavia, come indicato dall'ESMA nelle sue bozze di standard tecnici, l'adozione del codice LEI non è ancora definitiva.
Un elemento centrale del DORA è la necessità di classificare le funzioni critiche o importanti che dipendono dai fornitori esterni di servizi ICT. Le FEs sono chiamate a identificare non solo le proprie funzioni operative e aziendali, ma anche a valutare quali di queste siano supportate da fornitori terzi. Questo processo è essenziale per comprendere e mitigare i rischi operativi legati all'esternalizzazione dei servizi ICT.
La normativa prevede anche un principio di proporzionalità: il livello di informazioni che le FEs devono riportare varia in base alla complessità e al numero di fornitori coinvolti. Ad esempio, un'entità che si affida a molti fornitori ICT dovrà fornire maggiori dettagli rispetto a una che utilizza pochi servizi esterni. Inoltre, sono richieste informazioni anche sui subappaltatori, così da permettere alle autorità di monitorare in modo completo l'intera catena di fornitura ICT.
In definitiva, il DORA rappresenta un passo significativo verso il rafforzamento della resilienza operativa digitale nel settore finanziario europeo, con un focus particolare sulla gestione dei rischi legati ai fornitori di servizi ICT. Sebbene il Legal Entity Identifier (LEI) possa rivelarsi uno strumento prezioso per garantire una maggiore trasparenza e uniformità nella gestione delle relazioni contrattuali con i fornitori ICT, la sua adozione formale è ancora in fase di valutazione.
Da poco le Autorità di Vigilanza Europee (ESAs) hanno emesso un parere riguardante le norme tecniche di attuazione (ITS) per i modelli standard relativi al registro delle informazioni ai sensi dell'Articolo 28(9) del Regolamento (UE) 2022/2554 (DORA). Questo registro ha lo scopo di migliorare la gestione dei rischi ICT da parte degli enti finanziari e di aiutare le autorità di vigilanza a monitorare tali rischi. Sebbene le ESAs abbiano proposto l'uso obbligatorio del Codice LEI (Legal Entity Identifier) per identificare i fornitori di servizi ICT di terze parti, la Commissione Europea ha suggerito di consentire l'uso sia del LEI che dell'Identificatore Unico Europeo (EUID). Le ESAs esprimono preoccupazioni su questo approccio duale, evidenziando che potrebbe aumentare gli sforzi di implementazione e la complessità per gli enti finanziari.
Le future decisioni normative, come quelle proposte dall'ESMA, chiariranno se e come il LEI verrà integrato nel quadro operativo del DORA. Ciò che è certo è che l'attenzione posta sulla sicurezza digitale e la gestione dei rischi ICT continuerà a essere una priorità centrale per garantire la stabilità e la resilienza del settore finanziario in un contesto tecnologico sempre più complesso.
ALTRE NEWS
