A pochi giorni dalla piena applicazione del regolamento DORA (il prossimo 17 gennaio 2025), uno degli aspetti più rilevanti che ancora non trova una regolamentazione completa riguarda la definizione dei rapporti tra le entità finanziarie, i fornitori e i subfornitori.
In questo articolo, analizzeremo le problematiche e le responsabilità dei principali attori coinvolti nella regolamentazione della catena di fornitura.
Indice degli argomenti
Le problematiche legate al legislatore
Il Parlamento Europeo ha inserito in DORA alcuni articoli che riguardano i fornitori ICT, includendo la formalizzazione dei contratti con fornitori e subfornitori. Alle ESA (European Supervisory Authorities) è stato affidato il compito di redigere una serie di documenti tecnici dedicati alle forniture. L’ESA ha pubblicato un regolamento tecnico per i fornitori mentre per i subfornitori siamo ancora a livello di “final draft”.
Una delle principali attuali criticità riguarda quindi i tempi di emanazione della normativa. A soli due mesi dall’entrata in vigore di DORA, non esiste ancora una regolamentazione consolidata sui subfornitori, il che impedisce alle entità finanziarie di formalizzare contratti completi con i loro fornitori ICT. La normativa impone infatti che la catena di fornitura, compresi i subfornitori, sia gestita adeguatamente, e la responsabilità dell’intera catena ricade sull’entità finanziaria.
Eventuali contratti redatti in assenza di una completa e consolidata normativa, rischiano di dover essere ri aggiornati dopo poco tempo e non si sa con quali impatti.
Diversi altri problemi sono poi riscontrabili in particolare nel final draft sui subfornitori.
Ad esempio le ESA hanno previsto l’esecuzione di audit diretti lungo tutta la catena di fornitura da parte delle entità finanziarie. Questo comporta difficoltà pratiche, soprattutto per le entità finanziarie di medie e grandi dimensioni, che potrebbero trovarsi a dover gestire decine di fornitori e subfornitori.
Un audit approfondito su ciascun fornitore richiede mesi (in quanto è ben diverso da quello svolto dagli enti certificatori, che durano generalmente solo uno o due giorni), e le risorse interne dedicate all’audit sono limitate.
Di conseguenza, il numero di audit che un’entità finanziaria può condurre annualmente è molto basso, spesso inferiore alle dita di una mano, rendendo quasi impossibile una esecuzione di audit effettivi sulla catena di fornitura.
Ovviamente, check list auto compilate dai vari fornitori non possono essere considerate come assimilabili a un’attività di audit, e possono essere utilizzate solo nell’ambito del presidio continuo richiesto dalla normativa.
Anche certificazione e audit condotti da terzi, compresi i propri fornitori ICT diretti non possono sostituire gli audit diretti, se non per un tempo limitato.
Inoltre, anche nel caso in cui il diritto di audit venisse agito sulla intera catena di subfornitura, potrebbe in molti casi risultare inefficace. I subfornitori non hanno infatti un rapporto contrattuale diretto con l’entità finanziaria e quindi, un piano di rimedio in seguito ad un audit con esito negativo potrebbe, di fatto, non essere implementato senza alcuna conseguenza diretta.
L’entità finanziaria non ha infatti un reale potere contrattuale sui subfornitori, potendo solo fare pressione attraverso il proprio fornitore diretto.
Questo processo, tuttavia, è inefficiente e rischia di non portare a risultati concreti. Anche l’obbligo di informare l’entità finanziaria su eventuali modifiche contrattuali nella catena di subfornitura è difficilmente applicabile, poiché l’entità finanziaria può agire solo nei confronti del proprio fornitore diretto, non su tutta la catena.
La possibilità offerta alle entità finanziarie di revocare il proprio contratto in caso di modifiche ai rapporti contrattuali lungo la catena di fornitura, si tradurrebbe solo in una penalizzazione diretta fornitore ICT che ha un rapporto diretto con l’entità finanziaria, che di fatto, ha ben poche possibilità di intervenire su soggetti con i quali probabilmente non ha alcun rapporto.
Quindi principi che in astratto potrebbero apparire condivisibili, all’atto pratico potrebbero essere inapplicabili.
Problematiche per le entità finanziarie
Le entità finanziarie stanno affrontando il problema della gestione della catena di fornitura principalmente dal punto di vista contrattuale, senza considerare che DORA introduce nuovi requisiti anche per la valutazione preventiva dei fornitori. Le banche, abituate a normative stringenti come quelle imposte dall’EBA (European Banking Authority), potrebbero essere più pronte ad adattarsi. Tuttavia, per altre tipologie di entità finanziarie, le novità introdotte da DORA potrebbero rappresentare una sfida significativa.
Ad esempio, è necessario effettuare una valutazione preventiva dei fornitori tenendo conto di diverse tipologie di rischi.
La valutazione corretta di questi rischi non è priva di difficoltà, poiché richiede da parte delle entità finanziarie da un lato, la richiesta di una serie di informazioni aggiuntive ai propri fornitori e dall’altro, la necessità di dotarsi di una metodologia per la valutazione di ciascuno di questi rischi.
Va inoltre considerato che tale valutazione, essendo preventiva alla stesura di un contratto conforme ai requisiti della normativa, deve essere eseguita anche sui fornitori già attivi. Pertanto, per questi fornitori, non sarebbe sufficiente una semplice ricontrattualizzazione rispetto al contratto attualmente in vigore, in quanto questi fornitori, già attivi, non sono mai stati sottoposti a una valutazione del rischio secondo i criteri introdotti dalla nuova normativa, e molti dei rischi espressamente citati non sono mai stati presi in considerazione nemmeno dalla normativa EBA.
È quindi evidente che i fornitori attuali e i contratti vigenti con loro, non rispecchiano i requisiti di una valutazione preventiva secondo i canoni previsti dalla nuova normativa, e una semplice ricontrattualizzazione non sarebbe conforme allo spirito della legge.
Al di là di questo aspetto, che di per sé è già significativo, passiamo ora alla questione contrattuale, ovvero alla fase di formalizzazione dei rapporti tra l’entità finanziaria e il fornitore ICT.
Ricordo che questa è la prima normativa, almeno a mia conoscenza, che introduce un obbligo normativo per entrambe le parti coinvolte, ossia l’entità finanziaria e i fornitori, finalizzato alla formalizzazione scritta del rapporto contrattuale. Fornitori e entità finanziarie sono infatti soggetti entrambi all’articolo 30 di DORA, che impone espressamente la formalizzazione di un contratto scritto per disciplinare i loro rapporti.
La normativa, in realtà, impone un numero limitato di adempimenti contrattuali per i fornitori che non supportano funzioni essenziali e importanti, e altri, per quelli che invece le supportano.
Qual è l’aspetto rilevante di queste clausole contrattuali? È che, nella maggior parte dei casi, esse sono di altissimo livello. Pertanto, occorre distinguere due tipologie di clausole: quelle relativamente semplici e che non richiedono ulteriori specificazioni (ad esempio, l’indicazione della località in cui si devono svolgere le funzioni e prestare i servizi TIC), e altre, in cui il legislatore ha lasciato ampio margine all’entità finanziaria per declinarne i contenuti secondo il proprio modello tecnico-organizzativo (ad esempio le disposizioni in materia di disponibilità, autenticità, integrità e riservatezza in relazione alla protezione dei dati, compresi i dati personali).
Ed è qui che sorgono i problemi nella relazione tra l’entità finanziaria e i fornitori ICT.
La normativa non impone, e non potrebbe imporre, all’entità finanziaria di far adottare il proprio modello al fornitore ICT. Quindi, se il legislatore ha chiesto all’entità finanziaria di formalizzare, ad esempio, i requisiti per garantire l’autenticità, l’integrità, la disponibilità e la riservatezza delle informazioni, ciò non significa che l’entità finanziaria possa richiedere al fornitore ICT di replicare internamente il suo stesso modello per soddisfare tali requisiti.
Questo per due motivi: il primo è che la legge non lo prescrive, il secondo è di natura pratica, in quanto il fornitore ICT potrebbe essere contemporaneamente al servizio di altre entità finanziarie. È evidente che tale fornitore si troverebbe a sottoscrivere contratti con entità finanziarie che propongono modelli implementativi tecnici e organizzativi differenti per rispettare i medesimi requisiti di autenticità, integrità, il che renderebbe impossibile per il fornitore adeguarsi contemporaneamente a più modelli diversi.
Per questo motivo un contratto con ogni fornitore ICT deve essere personalizzato, chiedendo preliminarmente al fornitore quale sia il proprio modello interno per il rispetto dei citati requisiti.
L’entità finanziaria, sia per obbligo normativo, sia per logica, può solamente concordare con ogni singolo fornitore ICT come intenda rispettare i dettami della normativa. Ciò implica che la negoziazione non si limiterà più semplicemente ad imporre un contratto basandosi su un modello standard elaborato dall’entità finanziaria (e a discutere il compenso richiesto dal fornitore).
Sarà invece necessario ricontrattualizzare ogni singolo contratto, discutendo con ciascun fornitore sul fatto che i loro modelli implementativi per i vari requisiti di DORA siano o meno accettabili per l’entità finanziaria.
L’unica alternativa è formulare un contratto con un livello di astrazione tale da potersi adattare a diversi modelli implementativi dei requisiti, bilanciando però molto bene quelli che sono i suoi contenuti.
Per quanto riguarda l’aspetto finanziario, non entro nel merito, poiché questo è strettamente legato alle condizioni contrattuali preesistenti tra l’entità finanziaria e il fornitore. Dipende quindi da cosa prevedeva il contratto precedente in merito a eventuali adeguamenti derivanti da variazioni normative sugli aspetti economici.
È utile ricordare, tuttavia, che una clausola simile si trova normalmente nei contratti tra cliente e fornitore di un software, che potrebbe essere modificato in funzione delle variazioni normative. Difficilmente, però, una simile clausola può trovare applicazione in un contratto relativo alla fornitura di un determinato servizio.
Al di là di questo aspetto, il fattore tempo è cruciale: ricontrattualizzare con decine di fornitori richiederà un periodo piuttosto lungo e, considerando il limitato intervallo di tempo mancante alla data di piena efficacia della normativa DORA, è molto probabile che per alcune entità finanziarie una ricontrattualizzazione adeguata con i fornitori non sarà realizzabile entro la scadenza.
Sussiste inoltre un altro problema derivante nel cercare di imporre un proprio modello standard da parte della entità finanziaria, del tutto simile a quanto evidenziato in un precedente articolo.
Anche in questa circostanza, in caso di rifiuto ad un adeguamento da parte del fornitore, l’entità finanziaria non potrà fare altro che accettare il rischio (se tale lo ritiene), o cambiare fornitore.
La prima ipotesi, nel caso in cui il modello operativo dell’entità finanziaria non preveda questa eventualità, la espone a potenziali contestazioni da parte dell’Autorità di Vigilanza.
La seconda ipotesi, la porta a dover cercare sul mercato un fornitore alternativo che accetti tutte le sue condizioni, il che potrebbe non risultare facile.
Consideriamo, ora, un ulteriore problema, del tutto trascurato.
Anche se una entità finanziaria riuscisse a concludere tutti i suoi contratti con i fornitori ICT entro la data di piena efficacia di DORA, non sarebbe comunque pienamente conforme.
In considerazione del fatto che l’entità finanziaria ha la responsabilità della intera catena di fornitura, solo quando i contratti con tutti i fornitori, a tutti i livelli, saranno adeguati ai requisiti di DORA, potrà dirsi pienamente conforme.
Infatti, fino a quando l’intera catena di fornitura non sarà allineata ai nuovi requisiti, non possono trovare applicazione le clausole contrattuali che ne consentano un adeguato presidio.
Problematiche per i fornitori ICT
Infine, molti fornitori ICT non sono ancora consapevoli delle implicazioni della normativa DORA. I fornitori ICT potrebbero trovarsi presto nella necessità di rinegoziare i contratti con i loro clienti, entità finanziare, o semplici aziende ICT. DORA si applica infatti lungo tutta la catena di fornitura, il che significa che anche i fornitori ICT indiretti potrebbero essere soggetti ai requisiti imposti dalla stessa.
Inoltre, i fornitori ICT diretti delle entità finanziarie si trovano in una posizione molto delicata.
Da un lato devono infatti ricontrattualizzare la loro posizione con le entità finanziarie, ma dall’altro, devono fare la stessa cosa con i loro fornitori, e così a scendere.
È preoccupante la scarsa consapevolezza dei fornitori ICT in merito ai potenziali impegni che li attendono nei prossimi mesi e come, il mancato adeguamento, potrebbe di fatto escluderli dal mercato.
DORA offre importanti opportunità commerciali ai fornitori ICT, a patto che siano consapevoli che molti dei requisiti previsti da DORA, possono coinvolgerli in forma più o meno diretta.
Conclusioni
La piena attuazione di DORA porterà significativi cambiamenti nella gestione dei rapporti tra entità finanziarie, fornitori e subfornitori. Tuttavia, le problematiche legate alla regolamentazione dei subfornitori richiederanno tempo e sforzi considerevoli per essere risolte.
Entro la data di piena efficacia di DORA, le entità finanziarie potrebbero non riuscire a completare il processo di ricontrattualizzazione, e i fornitori ICT dovranno adeguarsi rapidamente ai nuovi requisiti per evitare di essere esclusi dal mercato.
Il continuo rinvio di questo articolo a precedenti miei articoli evidenzia la complessità del tema.
Per una trattazione completa rimando alle mie pubblicazioni: Manuale di resilienza e La gestione dei rischi nella supply chain.
