Il regolamento DORA presenta alcuni limiti ascrivibili a una presa di posizione del legislatore, che potremmo definire quantomeno superficiale.
Ci si riferisce, in particolare:
- alla determinazione del rischio di concentrazione, che prende in considerazione le catene di fornitura solo a partire da un fornitore ICT, non consentendo quindi di attribuire la corretta rilevanza di un subfornitore nel caso in cui questo sia contemporaneamente presente come fornitore di un fornitore ICT e di un fornitore di un servizio non ICT;
- alla limitazione alla sola continuità operativa dell’ICT (senza quindi considerare l’indisponibilità di altri asset) per quanto attiene la definizione di soluzioni di continuità per le funzioni essenziali e importanti.
Indice degli argomenti
Le incoerenze del Regolamento DORA
Oltre ai limiti sopra evidenziati, in DORA non mancano gli errori e i refusi.
Partiamo, ad esempio, dal rischio di concentrazione.
Questo è definito all’art 3.29 come:
«rischio di concentrazione delle TIC»: l’esposizione a fornitori terzi critici di servizi TIC, singoli o molteplici e correlati tra loro, che crea un grado di dipendenza tale da detti fornitori che l’indisponibilità, i guasti o altri tipi di carenze che si verificassero presso di essi potrebbero mettere a repentaglio la capacità di un’entità finanziaria di assolvere funzioni essenziali o importanti oppure di assorbire altri tipi di effetti avversi, comprese perdite cospicue, o potrebbero mettere a repentaglio la stabilità finanziaria dell’intera Unione;
La definizione fa presupporre che il rischio di concentrazione sia da valutare unicamente per i fornitori critici:
«fornitore terzo critico di servizi TIC»: un fornitore terzo di servizi TIC designato come critico in conformità dell’articolo 31;
ma se poi si consulta l’articolo 29, appare evidente che in realtà tale rischio va valutato per tutti i fornitori (con i limiti evidenziati nei paragrafi precedenti):
Articolo 29 Valutazione preliminare del rischio di concentrazione delle TIC a livello di entità
1. All’atto dell’identificazione e della valutazione dei rischi di cui all’articolo 28, paragrafo 4, lettera c), le entità finanziarie tengono conto altresì dell’eventualità che la prevista conclusione di un accordo contrattuale relativo a servizi TIC a supporto di funzioni essenziali o importanti possa avere una delle seguenti conseguenze:
a) la conclusione di un contratto con un fornitore terzo di servizi TIC non facilmente sostituibile; o
b) la presenza di molteplici accordi contrattuali relativi alla prestazione di servizi TIC a supporto di funzioni essenziali o importanti con lo stesso fornitore terzo oppure con fornitori terzi strettamente connessi.
Le entità finanziarie vagliano i benefici e i costi di soluzioni alternative, quali il ricorso a diversi fornitori terzi di servizi TIC, verificando se e come le soluzioni previste soddisfino le esigenze commerciali e consentano di conseguire gli obiettivi fissati nella propria strategia di resilienza digitale.
Nell’articolo 29 non vi è infatti il minimo cenno al fatto che i fornitori a cui si faccia riferimento siano solo fornitori critici.
Funzioni e funzioni essenziali e importanti
Altri problemi interpretativi possono derivare anche da una traduzione non sempre all’altezza.
Anche se non si può parlare di un vero e proprio di errore di traduzione, il termine business function è stato reso in italiano con funzioni commerciali, il che è in effetti un po’ fuorviante.
La traduzione può in effetti creare confusione e ha fatto sì che qualcuno interpretasse il fatto che le funzioni commerciali sono quelle specificatamente e unicamente rivolte alle attività commerciali dell’entità finanziaria, e cioè quelle finalizzate al rapporto con la clientela.
Riporto questo esempio perché si tratta di un caso reale che mi è stato riferito e che è palesemente una errata interpretazione, considerando che in realtà DORA considera qualunque funzione sia presente in azienda, come poi si può desumere, ad esempio, dalla definizione delle funzioni essenziali e importanti (un sotto insieme delle funzioni aziendali in perimetro DORA):
«funzione essenziale o importante»: una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell’entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari;
e dal fatto che queste ricomprendono, di default, quelle individuate nella definizione prevista dalla Direttiva 2014/59/UE:
35) «funzioni essenziali»: attività, servizi o operazioni la cui interruzione porterebbe verosimilmente, in uno o più Stati membri, all’interruzione di servizi essenziali per l’economia reale o potrebbe compromettere la stabilità finanziaria a motivo della dimensione, della quota di mercato, delle interconnessioni esterne ed interne, della complessità o delle attività transfrontaliere di un ente o gruppo, con particolare riguardo alla sostituibilità di tali attività, servizi o operazioni;
Un’altra interpretazione non condivisibile, che ho avuto modo di intercettare, riguarda il considerare nel perimetro di DORA solo le funzioni che sono basate sull’uso del sistema informativo (in considerazione che DORA è specificatamente dedicato a questo ambito).
Qual è il grosso limite di questo approccio?
Il primo è che tale interpretazione non è conforme al requisito normativo, in quanto DORA non pone questo vincolo e questa distinzione fra funzioni che usano il sistema informativo ed altre funzioni.
Infatti, funzione e funzione essenziale e importante non hanno nella loro definizione alcun riferimento esclusivo al sistema informativo (si veda al riguardo la definizione riportata nelle righe precedenti).
Il secondo limite è che, con questo tipo di approccio, si rischia di escludere dal perimetro di tutela di DORA, processi che ne sono compresi e che tale esclusione porti, ad esempio, ad una sottostima del rischio informatico.
Si consideri ad esempio un processo (chiamiamolo A) che non faccia uso del sistema informativo, ma che per poter essere erogato necessità di informazioni o documenti che sono realizzati con processi che fanno invece uso dei sistemi informativi.
Un fermo ai processi alimentanti del processo A, a causa di un default del sistema informativo, avrà impatti anche su quest’ultimo.
È evidente che la valutazione dei rischi, ai fini DORA, dovrà quindi prendere in considerazione anche gli impatti sul processo A, e non solo sul processo alimentante (le correlazioni esisti fra funzioni o fra asset è un aspetto spesso trascurato nella valutazione dei rischi).
Conclusioni
Chiudiamo questo articolo con una breve nota dedicata ai Regolamenti delegati che sono usciti a fine giugno e che sono già in vigore, in quanto probabilmente questo aspetto è sfuggito a molti.
Questi regolamenti, come sopra accennato, sono in vigore (come del resto lo è DORA), ma a differenza di DORA, non hanno un periodo di latenza nella loro efficacia.
In altre parole, i Regolamenti delegati sono già efficaci e quindi quanto essi richiedono deve essere già attuato oggi.
C’è qualche conseguenza pratica dal mancato rispetto delle loro prescrizioni?
In teoria no, in quanto le relative sanzioni sono condizionate dalla piena efficacia di DORA, ma al riguardo non va dimenticato un aspetto che potrebbe essere preso in considerazione in sede di verifica ispettiva.
A gennaio del 2025 saranno passati oltre 6 mesi dalla entrata in vigore effettiva dei Regolamenti delegati e se, nel caso di una visita ispettiva, un determinato requisito previsto da tali regolamenti risultasse implementato a dicembre, un ispettore potrebbe contestare il notevole ritardo della sua messa in atto e, considerare anche questo elemento, nella sua valutazione finale.
