Nuove clausole per i contratti di outsourcing del settore finanziario nella proposta di legge sulla resilienza operativa digitale

La proposta legislativa sulla resilienza operativa digitale nel settore finanziario ha un notevole impatto sui contratti di outsourcing prevedendo nuovi obblighi.

Il 24 settembre 2020 la Commissione europea ha pubblicato una proposta legislativa sulla resilienza operativa digitale nel settore finanziario che si pone il duplice obiettivo di ridurre i rischi legati all’utilizzo di tecnologie informatiche nell’ambito finanziario e di superare la frammentazione normativa all’interno dell’Unione.

La disciplina di settore si affiancherebbe al quadro normativo applicabile in materia di sicurezza informatica introdotto con la Direttiva (UE) 2016/1148 sulla sicurezza delle reti e dei sistemi informativi (la c.d. Direttiva NIS).

La proposta della Commissione mira a creare un sistema di controllo uniforme rispetto ai fornitori di servizi informatici considerati critici, nonché ad introdurre un generale divieto di avvalersi di fornitori che abbiano sede al fuori dallo spazio economico europeo per quei servizi la cui interruzione potrebbe avere un impatto sistemico sulla fornitura dei servizi finanziari. Il nuovo quadro normativo affronta tematiche quali la gestione del rischio relativo all’informatizzazione dei servizi finanziari e le modalità di segnalazione degli incidenti informatici, armonizzando, tra le altre, le disposizioni relative ai test di resilienza operativa digitale e al riconoscimento degli stessi tra i diversi stati membri. A tal fine, i contratti di outsourcing tra fornitori e banche e istituzioni finanziarie dovranno riflettere una serie di ulteriori requisiti volti a garantire una maggiore efficienza nella gestione del rischio da parte degli istituti finanziari e un più incisivo controllo delle autorità sui fornitori di servizi informatici critici.

La norma si applica a tutti i fornitori di servizi digitali – compresi servizi di cloud computingsoftware, servizi di analisi dei dati e data center – considerati critici dal comitato congiunto delle autorità di vigilanza europee (l’AEV) ed individuati sulla base di una serie di elementi tra i quali, ad esempio, il carattere sistemico ovvero l’importanza degli istituti finanziari che si affidano ad un determinato fornitore. Nell’ambito dell’AEV verrà poi nominata un’autorità responsabile con determinati compiti (il “Responsabile AEV”).

In particolare, ogni anno il Responsabile AEV adotterà un piano di supervisione per ogni fornitore di servizi informatici ritenuto critico, il quale dovrà ricomprendere una serie di attività di monitoraggio volte a rafforzare la resilienza operativa digitale delle entità finanziarie che si avvalgono dei servizi forniti dallo stesso. Oltre ai poteri di indagine, di audit e di richiedere informazioni direttamente ai fornitori, il Responsabile AEV potrà formulare raccomandazioni il cui mancato adempimento potrà portare all’applicazione di sanzioni pecuniarie. Nonostante ciò, il potere di far rispettare le indicazioni del Responsabile AEV rimarrà in capo alle autorità incaricate di supervisionare l’attività delle singole entità finanziarie che si avvalgono dei servizi informatici, le quali potranno imporre altresì la sospensione o interruzione di ogni fornitura di servizi informatici considerata a rischio.

Sul medesimo argomento, può interessare l‘articolo “L’Autorità europea sugli strumenti finanziari avvia le consultazioni per la redazione delle linee guida sull’outsourcing in cloud”.