La crescente digitalizzazione e l’interconnessione dei servizi hanno trasformato in modo radicale le modalità operative di banche ed istituzioni, portando con sé nuove opportunità ma ampliando, altresì, in modo significativo la superficie di attacco per le minacce informatiche. In un simile contesto, la gestione delle terze parti diventa un pilastro imprescindibile della strategia di sicurezza.
Indice degli argomenti
Rischio cyber in aumento nelle istituzioni finanziarie
Oggigiorno, difatti, le istituzioni finanziarie si affidano sempre di più a fornitori terzi per l’erogazione di servizi, soprattutto di quelli critici, esponendosi così a rischi che vanno oltre i confini aziendali tradizionali.
Secondo un rapporto della FINRA (Financial Industry Regulatory Authority) del 2025, dal 2023 si è osservato un aumento degli attacchi cyber e delle interruzioni presso i fornitori terzi utilizzati dalle imprese finanziarie, evidenziando la vulnerabilità crescente della Supply Chain ICT (Information & Communication Technology), evidenziando come i fornitori esterni rappresentino una delle principali fonti di rischio operativo per il settore finanziario, soprattutto in termini di continuità dei servizi, protezione dei dati e resilienza ICT.
Le contromisure dell’Europa per la resilienza del settore finanziario
Consapevole di tale crescente complessità, l’Unione Europea ha progressivamente rafforzato il proprio apparato normativo in materia di sicurezza informatica e resilienza operativa nel settore finanziario. Negli ultimi anni, questo percorso è stato segnato da interventi chiave come l’aggiornamento della Direttiva NIS2, volta a migliorare la sicurezza delle reti e dei sistemi informativi a livello europeo, e le Linee Guida delle EBA – European Banking Authorities (EBA GL/2019/02 e GL/2019/04), che hanno fornito indicazioni sulla gestione del rischio ICT e sulla sicurezza degli outsourcer.
Tuttavia, la frammentazione normativa e le differenze di applicazione tra gli Stati membri hanno evidenziato la necessità di un framework armonizzato e vincolante. In tale contesto entra in gioco il Regolamento Digital Operational Resilience Act (DORA), entrato in vigore il 16 gennaio 2023 ed applicabile dal 17 gennaio 2025, il quale rappresenta una svolta regolamentare. Il DORA mira a garantire un approccio olistico e strutturato alla resilienza operativa digitale, imponendo alle entità finanziarie requisiti omogenei per prevenire, resistere, rispondere e riprendersi da eventi ICT avversi, come attacchi informatici o disservizi sistemici.
Parallelamente, l‘adozione crescente dell’intelligenza artificiale nel settore finanziario introduce nuove opportunità ma, al contempo, anche diverse sfide. L’AI Act dell’UE impone requisiti rigorosi per i sistemi AI ad alto rischio, inclusi quelli utilizzati nei servizi finanziari, per garantire la qualità dei dati, la trasparenza e la sicurezza, rendendo ancora più cruciale una governance solida ed integrata.
In tale scenario, la sicurezza informatica non può prescindere da un approccio olistico alla gestione del rischio delle terze parti (Third Party Risk Management – TPRM), capace di coniugare compliance normativa, tecnologia e consapevolezza strategica.
Resilienza operativa digitale e terze parti: perché il rischio cresce
Nel contesto odierno, sempre più digitalizzato e interconnesso, i fornitori esterni – in particolare quelli che erogano servizi ICT – rappresentano una superficie di attacco critica e “privilegiata” per i cybercriminali, in quanto consente di colpire obiettivi ad alto valore sfruttando vulnerabilità poco presidiate lungo l’intera supply chain. L’esternalizzazione di servizi digitali – dalla gestione dell’infrastruttura IT al supporto applicativo, fino ai sistemi basati su intelligenza artificiale – espone le istituzioni finanziarie ad un rischio sistemico crescente.
Superficie di attacco e interconnessione dei servizi
Il Third Party Risk Management, un tempo visto principalmente come uno strumento a supporto della compliance contrattuale, è oggi diventato un elemento strategico della sicurezza informatica. In un contesto in cui le minacce possono annidarsi lungo tutta la supply chain digitale, conoscere e monitorare i fornitori non è più solo una buona prassi legale, ma una necessità critica per garantire la sicurezza dei dati, la continuità dei servizi e la resilienza operativa. Il TPRM assume così un ruolo centrale nella gestione delle interdipendenze digitali e nella prevenzione dei rischi sistemici.
Supply chain ICT: attacchi e interruzioni che superano i confini aziendali
Come evidenziato dalla FINRA, la gestione delle terze parti rappresenta una delle aree più critiche di rischio operativo per il settore finanziario: il Report del 2023 sottolinea l’importanza di un approccio strutturato alla due diligence, alla classificazione del rischio e al monitoraggio continuo dei fornitori, richiamando l’attenzione sulle possibili conseguenze derivanti da controlli inadeguati ma il Report del 2025 amplia questa prospettiva, evidenziando come l’adozione crescente di tecnologie emergenti, in particolare l’intelligenza artificiale, stia ridefinendo i vettori di attacco nella supply chain digitale. In questo scenario, la FINRA richiama la necessità di una maggiore trasparenza, di una responsabilità condivisa tra imprese e terze parti e dell’adozione di strumenti di monitoraggio sempre più avanzati.
Vulnerabilità della catena di fornitura e visibilità limitata
La gestione delle terze parti, dunque, non è più solo una questione contrattuale o legale ma una sfida strategica che coinvolge l’IT, la Compliance, la Cybersecurity ed il Top Management. Esempi concreti di rischio includono: attacchi ransomware ai fornitori che bloccano servizi critici, la scarsa visibilità sulle catene di fornitura e il trattamento di dati sensibili senza adeguate garanzie di sicurezza. Per questo motivo, il TPRM deve integrare profondamente la cybersecurity, assicurando che ogni fase – dalla valutazione iniziale alla dismissione – sia orientata a proteggere la resilienza operativa e digitale. Tale contesto spiega l’importanza e la portata di normative come il DORA, che rappresenta un vero cambio di paradigma nella gestione del rischio ICT e delle terze parti nel settore finanziario.
DORA: un cambio di paradigma
Come anticipato, il Digital Operational Resilience Act introduce un cambio di paradigma nella gestione del rischio ICT per il settore finanziario europeo, ponendo la resilienza digitale al centro delle strategie aziendali. Rispetto al passato, dove le normative si focalizzavano principalmente su aspetti di continuità operativa o di sicurezza informatica frammentata, DORA stabilisce e rafforza il framework normativo europeo in materia di rischio ICT, applicandosi a banche, assicurazioni, società di investimento, fintech e altri operatori regolati.
La normativa nasce in risposta alla crescente dipendenza delle entità finanziarie dalle infrastrutture digitali, una tendenza che ha intensificato le vulnerabilità sistemiche e aumentato i rischi per la sicurezza informatica, rendendo necessario un approccio più olistico e proattivo alla gestione del rischio ICT. Introduce, quindi, un approccio integrato obbligando le entità finanziarie a considerare non solo le minacce interne, ma anche quelle derivanti da “semplici” terze parti, compresi i subfornitori e gli outsourcer critici.
Un aspetto chiave dell’innovazione normativa è la consapevolezza che la resilienza non dipende solo dalla solidità interna ma anche dal modo in cui vengono gestite le interconnessioni digitali: DORA non si limita a chiedere un controllo formale dei contratti, ma pretende una conoscenza approfondita e aggiornata del rischio che ogni fornitore può introdurre nell’ecosistema operativo dell’organizzazione.
Il cuore dell’impianto normativo, dunque, è proprio l’approccio alla resilienza operativa digitale, intesa come la capacità dell’impresa finanziaria di resistere, rispondere e riprendersi da incidenti ICT in modo tempestivo ed efficace ma, più in generale, da gravi disservizi tecnologici, attacchi cyber o interruzioni operative, comprese quelle derivanti da terze parti. A tal fine, il DORA richiede l’adozione di:
- piani di continuità e di risposta agli incidenti ICT;
- testing periodici su sistemi e fornitori;
- presidi di governance dedicati alla gestione dei rischi digitali;
- processi di comunicazione e notifica strutturati verso le autorità in caso di incidenti significativi.
Fornitori ICT critici: due diligence, classificazione e monitoraggio continuo
Inoltre, tra le innovazioni più rilevanti introdotte dal Regolamento, vi è l’obbligo di identificare, classificare e monitorare i fornitori ICT cosiddetti critici, ossia quelli da cui dipendono servizi essenziali. Tali fornitori devono essere sottoposti ad una due diligence approfondita e continuativa, con controlli rafforzati rispetto ai fornitori “ordinari”. È una novità sostanziale che mira a prevenire gli effetti a catena che un incidente cyber può avere attraverso la supply chain.
Per garantire l’efficacia di questo approccio, il TPRM deve integrarsi pienamente nei processi di cybersecurity. Come anticipato anche nel capitolo 1, difatti, l’integrazione tra TPRM e cybersecurity è oggi un pilastro di questo nuovo approccio. Le funzioni ICT e di sicurezza informatica devono collaborare strettamente con le funzioni Compliance, Procurement e Risk Management, in una logica di governance unificata e condivisione del rischio. Solo con tale sinergia è possibile mantenere una visione completa e aggiornata del rischio, rafforzando così la resilienza operativa e digitale dell’intera organizzazione.
Pertanto, in un simile contesto, si invita a guardare la resilienza come ad una responsabilità condivisa che coinvolge l’intera struttura aziendale, dal Top Management alle funzioni operative.
AI e terze parti: il rischio invisibile nella supply chain digitale
In continuità con l’obbligo di identificare, classificare e monitorare i fornitori critici introdotto dal DORA, emerge una nuova frontiera di rischio: l’adozione dell’intelligenza artificiale da parte di banche e fornitori tecnologici. L’AI sta cambiando il volto dei servizi finanziari, promettendo effi- cienza, automazione intelligente e capacità predittive impensabili fino a pochi anni fa. Ma dietro questa rivoluzione si nasconde un pericolo sottile, capace di propagarsi lungo tutta la supply chain. Molti sistemi di AI funzionano come una scatola nera: forniscono decisioni e risultati ma senza spiegare chiaramente come ci siano arrivati. Questo rende difficile individuare l’origine di un errore o stabilire chi sia responsabile in caso di incidente: il fornitore che ha sviluppato il modello o l’istituzione finanziaria che lo utilizza?
Opacità dei modelli e accountability
Per il TPRM, questo segna un cambio radicale di prospettiva. Non basta più valutare la solidità finanziaria, la compliance normativa o la sicurezza ICT. Occorre andare oltre: verificare la tra- sparenza, la tracciabilità e l’affidabilità dei modelli di AI. Decisioni automatizzate devono poter essere spiegate, testate e controllate con regolarità. Test periodici, monitoraggio continuo e aggiornamento delle policy diventano leve fondamentali per evitare effetti a catena potenzial- mente devastanti. A questa esigenza si aggiunge l’AI Act europeo, che introduce obblighi chiari: classificare i rischi, garantire audit indipendenti e assicurare tracciabilità lungo l’intera catena del valore, dai fornitori diretti ai subappaltatori coinvolti nello sviluppo e nella gestione dei sistemi intelligenti. È un vero cambio di paradigma: l’AI, da possibile punto cieco, può trasformarsi in un pilastro strategico della resilienza operativa.
Il vero banco di prova, però, non è solo tecnologico ma anche culturale e organizzativo: funzioni diverse – ICT, cybersecurity, Compliance, Risk Management – devono quindi collaborare come un unico ecosistema, condividendo rischi e responsabilità. A tal fine, la formazione mirata diventa essenziale per aiutare i team a gestire sistemi intelligenti senza compromettere sicurezza e resilienza.
In questo scenario, dunque, il TPRM evolve: da meccanismo di controllo a “partner” dinamico, capace di trasformare l’innovazione in un vantaggio sicuro e misurabile. La sfida è ambiziosa ma inevitabile: conciliare creatività tecnologica e governance rigorosa, garantendo che ogni passo verso l’AI porti valore senza aprire falle invisibili nella supply chain digitale delle istituzioni finan- ziarie.
Resilienza operativa digitale e terze parti: governance unificata e formazione
L’evoluzione normativa con il DORA e la nuova sfida posta dall’adozione dell’AI nei servizi finan- ziari mostrano chiaramente che la resilienza operativa non può essere affidata a controlli spora- dici o frammentati. È, pertanto, necessaria una governance solida del rischio di terze parti, capace di integrare tecnologia, compliance e strategia in un unico approccio coerente. Tale go- vernance non si esaurisce nella fase di onboarding dei fornitori: come anticipato, richiede moni- toraggio continuo, revisione costante delle performance e dei livelli di rischio, oltre a meccanismi di audit indipendenti che garantiscano trasparenza e responsabilità lungo tutta la supply chain.
E perché questa governance sia davvero efficace, diventa fondamentale investire nella forma- zione del personale: introdurre percorsi mirati con l’obiettivo di promuovere un’educazione con- tinuativa e approfondita consente di sviluppare consapevolezza dei rischi, applicare corretta- mente le policy del TPRM e collaborare in modo sinergico tra tutte le funzioni coinvolte. Solo così il TPRM può evolvere da strumento difensivo a leva proattiva per la competitività e la fiducia del mercato.
Conclusioni: integrare innovazione e rigore per una resilienza duratura
In conclusione, la vera sfida non è soltanto normativa. È, altresì, culturale e strategica: saper conciliare innovazione e rigore operativo, trasformando l’intelligenza artificiale da potenziale vulnerabilità invisibile a risorsa governata e affidabile. Chi riuscirà a integrare questa visione avrà non solo sistemi più sicuri, ma anche un vantaggio competitivo duraturo.
