Fra le innovazioni (poche, a dire il vero) introdotte dal Regolamento DORA, una delle più significative riguarda il fatto che la verifica sulla conformità nella erogazione dei servizi da parte di fornitori “critici” (secondo la definizione che DORA da di questa particolare categoria di fornitori) avviene direttamente da parte delle Autorità di Vigilanza.
Questa innovazione, unica per ora a livello mondiale, introduce importanti semplificazioni sia per quanti (enti finanziari e loro fornitori ICT) sono soggetti al rispetto di DORA, sia per moltissimi altri clienti di questi fornitori.
Indice degli argomenti
Verifica di un’Autorità di controllo sui fornitori: garanzia di conformità
Il fatto che uno di questi fornitori sia stato sottoposto a verifica, con esito positivo, da parte di un’Autorità di Vigilanza, costituisce in effetti una garanzia di conformità che è valida per tutti i suoi clienti (ovviamente per servizi analoghi a quelli sottoposti a verifica).
A dire il vero, non è la prima volta che enti terzi svolgono direttamente un’attività di verifica, anche se questa solitamente si configura come un’azione preventiva, come certificazione di un servizio propedeutico al fatto che tale fornitore possa essere utilizzato oppure no.
Questo è vero soprattutto per determinate categorie di clienti (le pubbliche amministrazioni) e di fornitori (in genere fornitori di servizi in cloud). Ne sono un esempio i marketplace di AGID in Italia o il ben più sofisticato marketplace di FedRamp, che “certifica” i potenziali fornitori cloud degli enti federali statunitensi.
Anche in questo caso, chiunque può beneficiare del fatto che un ente terzo ha validato la bontà del prodotto/produttore (va ricordato che quello che viene sottoposto a verifica non è il fornitore nel suo complesso, ma un prodotto/servizio specifico), indipendentemente dal fatto che sia o meno un ente pubblico e, considerando il tipo di fornitore, che operi negli USA.
Valutazione dei fornitori: i rischi nella supply chain
DORA, come altre normative del settore finanziario emesse da singole autorità di vigilanza, dà larga enfasi ai rischi insiti nella supply chain, richiedendo una accurata valutazione dei fornitori e dei subfornitori.
Una ricca quantità di informazioni è richiesta per la compilazione degli appositi registri che documentano le informazioni raccolte su tali soggetti.
È nella valutazione della supply chain che emerge un limite piuttosto evidente di DORA, o almeno questa è la mia interpretazione.
DORA, come il nome stesso porta ad intuire (Digital Operational Resilience Act), dedica la propria attenzione ai sistemi informativi, siano questi presenti direttamente presso le varie entità finanziarie o siano in outsourcing presso qualche altro soggetto.
Il “passo falso” di DORA nella valutazione dei fornitori
Ed è qui che, a mio avviso, ma ripeto, questa è una mia interpretazione (anche se avvalorata dal contenuto del testo della normativa) che DORA compie un passo falso.
La catena di fornitura dei servizi ICT che supportano processi critici viene presa in considerazione solo se un ente finanziario si avvale di un fornitore di servizi ICT.
A seguire si prendono in considerazione anche tutti vari subfornitori coinvolti.
È in questa accezione che può emergere che un medesimo subfornitore, sia a sua volta fornitore di più di uno dei fornitori ICT dell’ente finanziario e quindi, come tale, rivesta una particolare criticità.
Il suo default, infatti, influenzerà i servizi erogati da più di un fornitore dell’ente finanziario.
È importante mappare tutta la catena di fornitura
Ma cosa succede se l’ente finanziario si avvale di un fornitore non di servizi ICT che però a sua volta si avvale di fornitori di servizi ICT?
Un’eventualità che, in realtà, è veramente molto elevata, in particolare se tale fornitore si avvale di un cloud provider per erogare i propri servizi.
Le probabilità, in questo caso, che tale subfornitore sia contemporaneamente un fornitore di chi eroga servizi ICT e di chi eroga servizi non ICT all’ente finanziario è molto alta, e quindi il suo livello di criticità dovrebbe essere valutato considerando l’inizio dalla catena di fornitura ICT da qualunque livello, e non solo dal primo.
È pertanto consigliabile, indipendentemente dal requisito normativo, di operare considerando l’insieme dei fornitori e mappare tutta la catena di fornitura, al fine di valutare correttamente il livello di criticità dei vari subfornitori.
Il test degli exit plan nella gestione dei fornitori
Un ulteriore requisito particolarmente importante introdotto da DORA nell’ambito della gestione dei fornitori, ma molto difficile da realizzare in numerose situazioni, è l’esecuzione del test degli exit plan predisposti dalle entità finanziarie.
L’enorme pregio di DORA, in questo contesto, non riguarda specificatamente l’esecuzione del test, quanto il dare evidenza della difficoltà, se non della impossibilità della sua esecuzione.
Un exit plan può essere molto complesso, simile per certi aspetti alle soluzioni predisposte per garantire la continuità operativa, anche se con orizzonti temporali molto diversi.
Perché a mio avviso il dare evidenza della difficoltà di esecuzione di un test di questo tipo dovrebbe essere un pregio di DORA? La motivazione è semplice.
Se è difficile o impossibile fare un test di questo tipo su uno dei propri fornitori significa che l’entità finanziaria ha in realtà una grossa criticità: una dipendenza assoluta e non facilmente sanabile dal proprio fornitore ICT.
Tale situazione può avvenire più spesso di quanto si possa immaginare e il caso più eclatante riguarda il ricorso ad un full outsourcing ICT, soluzione a cui ricorrono molti enti finanziari.
Molto spesso tali enti sono spinti dal desiderio di concentrare le loro risorse e le loro energie solo sullo sviluppo del business, lasciano a terzi il compito di svolgere compiti “di servizio”.
Ma in realtà, in questo modo, creano una totale dipendenza da un fornitore, che non può essere certo risolta da un giorno all’altro.
Quindi se tale fornitore dovesse avere dei problemi di qualunque natura (non necessariamente tecnici) il business o meglio l’esistenza stessa dell’entità finanziaria potrebbe essere messa in discussione.
Anche se già le normative attuali richiedono all’entità finanziarie attente valutazioni dei fornitori, proprio per evitare tali situazioni, la realtà dei fatti e l’oggettiva difficoltà di rispettare un requisito normativo, come quello introdotto da DORA, evidenzia la fragilità di questo tipo di relazione e quali siano i reali rischi per l’entità finanziaria.
I limiti del full outsourcing nel settore ICT
I limiti del full outsourcing ICT si scontrano peraltro con la necessità, per molte realtà finanziarie che fino ad oggi avevano operato con un proprio ICT, di migrare verso questo tipo di soluzione.
Infatti, le richieste di DORA, che possono essere considerate non eccessivamente invasive da parte delle grosse entità finanziarie già in precedenza soggette ai vincoli delle normative esistenti, possono per contro risultare eccessivamente onerose per le piccole realtà.
L’unico modo per essere conformi in questo caso è avvalersi di fornitori adeguatamente attrezzati, capaci di dare seguito a tutti gli adempimenti previsti dalla normativa.
Come conciliare allora la necessità di avvalersi di un full outsourcing ICT con i limiti intrinsechi di questa architettura?
Ripartire su due diversi fornitori la normale operatività e quella in caso di crisi
Una soluzione in realtà ci sarebbe, ed è tanto più facilmente percorribile quanto meno si era ricorso in precedenza a tale tipo di outsourcing.
Sarebbe sufficiente ripartire su due diversi fornitori la normale operatività e l’operatività in caso di crisi (soluzioni di continuità operativa).
La necessità di disporre di una soluzione di continuità operativa è un obbligo normativo (oltre ad essere una necessità) e quindi un’entità finanziaria deve comunque contrattualizzare un servizio di questo tipo.
Disporre di due diversi fornitori, uno per la normale operatività ed uno per le soluzioni di continuità operativa, consente allo stesso tempo di garantire la propria sopravvivenza in tutte le situazioni nelle quali il fornitore abituale fosse in difficoltà e rispettare la normativa nella sua interezza.
È vero che il costo sarà maggiore rispetto alla contrattualizzazione dello stesso servizio presso il fornitore del servizio di full outsourcing, ma oltre a garantire il rispetto del requisito normativo, una soluzione di questo tipo consente effettivamente di operare con la garanzia di poter contare in qualunque momento su un altro fornitore.
Peraltro, anche se teoricamente il costo è superiore, il non dipendere da un unico fornitore mette l’ente finanziario in una posizione contrattuale molto più favorevole, in quanto l’outsourcer principale è ben cosciente che il proprio cliente potrebbe in qualunque momento decidere di passare in modo definitivo all’altro fornitore.
È evidente che tale tipo di soluzione, anche se possibile, è più difficile da percorrere per chi ha già da tempo contrattualizzato una soluzione di full outsourcing.
L’adeguamento a DORA può essere tuttavia un buon momento per cambiare i rapporti contrattuali rendendo più indipendenti le entità finanziarie dai loro fornitori.
