Il Regolamento Delegato (UE) 2025/532 in vigore il 22 luglio 2025 specifica gli obblighi che le entità finanziarie devono rispettare quando subappaltano servizi ICT che supportano funzioni essenziali o importanti. Esso integra il Regolamento europeo sulla resilienza operativa (DORA) che punta a garantire che tutte le entità finanziarie siano resilienti agli incidenti ICT.
Il Regolamento DORA, in vigore dal 17 Gennaio 2025, ha introdotto norme comuni sulla gestione dei rischi ICT, la risposta agli incidenti, i test di resilienza, la gestione dei fornitori terzi e la condivisione delle informazioni, applicabili a banche, assicurazioni, gestori patrimoniali, fondi, società di investimento, fornitori di infrastrutture, realtà del settore fintech e servizi finanziari. Il Regolamento Delegato sviluppa i profili applicativi del regolamento DORA in materia di subappalto dei servizi ICT.
Indice degli argomenti
Gli obiettivi del Regolamento Delegato sui subappalti ICT
Il Regolamento Delegato disciplina l’intero percorso con cui le entità finanziarie gestiscono la catena di subappalto dei servizi ICT con l’obiettivo di garantire che mantengano il controllo operativo e il presidio dei rischi anche quando subappaltano servizi ICT legati a funzioni critiche. Gli effetti attesi dal Regolamento sono dunque:
- maggiore trasparenza lungo l’intera catena di subappalto ICT, intesa come conoscenza da parte delle entità di chi fornisce i servizi, dove, e con quali garanzie;
- riduzione dei rischi sistemici, prevenendo l’effetto domino in caso di incidenti tecnologici a fornitori critici o subfornitori;
- rafforzamento del controllo contrattuale anche verso i fornitori indiretti;
- maggiore resilienza operativa del settore finanziario che deve garantire che le funzioni essenziali restino operative o riprendano rapidamente la continuità in caso di disservizi o attacchi informatici;
- maggiore responsabilizzazione delle entità finanziarie che devono mantenere il presidio anche se componenti di servizio sono subappaltate.
Cosa cambia da luglio 2025 per i subappalti ICT
Il Regolamento disciplina in modo puntuale l’intero processo di gestione, da parte delle entità finanziarie, del subappalto dei servizi ICT che supportano funzioni essenziali o importanti.
Esso pone le fondamenta imponendo, già in fase preliminare, l’obbligo di un’adeguata diligenza e una valutazione strutturata dei rischi nel ricorso a subappaltatori, come previsto dall’articolo 3. Prosegue poi dettando, all’articolo 4, le condizioni precise alle quali può essere affidato in subappalto un servizio ICT legato a funzioni essenziali o a una parte significativa delle stesse. L’articolo 5 disciplina il caso in cui il fornitore intenda introdurre modifiche sostanziali agli accordi di subappalto relativi a tali funzioni, mentre l’articolo 6 riconosce all’entità finanziaria il diritto di risolvere il contratto in caso di violazioni da parte del subappaltatore.
Il regolamento in tal modo impone la mappatura completa della catena di subappalto richiedendo due diligence preventiva, valutazione dei rischi, e monitoraggio continuo, inclusi subappaltatori secondari al fine di consentire alla committenza di esercitare un controllo completo ed efficace lungo tutta la filiera. Per rendere efficaci tali obblighi, introduce clausole contrattuali obbligatorie, come accesso, audit, notifica di modifiche e diritto di recesso.
Subappalti ICT in Europa
Il Regolamento Delegato (UE) 2025/532 si rivolge al settore finanziario che, in materia di ICT, rappresenta da tempo un punto di riferimento, avendo maturato competenze, pratiche e infrastrutture tra le più avanzate. È quindi lecito chiedersi se sia opportuno che il legislatore si spinga a indicare a queste stesse entità quali contromisure tecniche e strategiche adottare per fronteggiare rischi che esse, per la natura stessa del proprio business, già presidiano con estrema attenzione.
I precedenti non sono rassicuranti. L’Unione Europea, ha normato l’intelligenza artificiale dimostrando più timore che effettiva competenza tecnica e come tutti sappiamo nel settore della mobilità ha vietato specifiche tecnologie oggi ritenute inquinanti anziché colpire gli effetti inquinanti di qualsiasi tecnologia, con l’effetto di frenare l’innovazione e gli investimenti che avrebbero risolto in modo più efficace e duraturo i medesimi rischi e problemi.
Anziché scrivere norme che vietano azioni negative e obbligano contromisure, la UE in vari settori ha scelto di introdurre divieti e obblighi con riferimento a tecnologie e modelli operativi in continua evoluzione, presupponendo in modo acritico l’effetto positivo di quelle prescritte e l’effetto negativo delle restanti, assumendosi il rischio di limitare la ricerca di soluzioni più efficienti e di imporre soluzioni che possono diventare tecnicamente superate il giorno dopo la pubblicazione.
L’alternativa è l’approccio più semplice di rafforzare il principio di corresponsabilità e prevedere sanzioni chiare in caso di incidente, lasciando alle entità finanziarie – certamente più competenti dello stesso legislatore – la libertà e di definire strumenti e strategie adatte alla gestione dei rischi legati ai subappalti ICT nel contesto del procurement pubblico.
Lo scenario
Va riconosciuto che, rispetto ai settori dell’IA e della mobilità, l’equilibrio trovato nel Regolamento Delegato è certamente più solido perché la disciplina questa volta sembra neutrale seppure molto dettagliata nei requisiti operativi. In altre parole il Regolamento si limita a codificare prassi minime che qualsiasi operatore consapevole e responsabile adotterebbe comunque per proteggere la continuità e la sicurezza del proprio servizio. È singolare dover essere soddisfatti di questo, ma visti i precedenti lo siamo davvero.
Resta viva la preoccupazione che questo approccio diventi un modello replicabile in altri ambiti di mercato e sia amplificato localmente in Italia da autorità nazionali o settoriali, producendo un eccesso di regolazione e una frammentazione normativa che rischia di soffocare l’innovazione più che guidarla.
