Con il Regolamento (UE) 2022/2554, in materia di resilienza operativa digitale (il Digital Operational Reslience Act, più noto come DORA), pubblicato nella Gazzetta ufficiale dell’Unione europea del 27 dicembre 2022, il legislatore UE, in risposta alla digitalizzazione dei modelli di business e operativi degli operatori del settore finanziario, ha inteso rafforzare e armonizzare a livello europeo la disciplina relativa alla gestione dei rischi connessi all’uso di servizi ICT, prevedendo regole uniformi per tutti – con una elencazione estremamente ampia – i soggetti regolati che operano nel settore finanziario, dalle banche, alle assicurazioni, alle società di gestione del risparmio, fino ai nuovi attori come le piattaforme di crowdfunding e i crypto-asset service provider.
Le regole in materia di rapporti contrattuali con i third party provider del settore ICT
La circostanza che il nuovo regime troverà applicazione solo a partire dal 17 gennaio 2025 non deve trarre in inganno: è a nostro avviso necessario che gli operatori del settore tengano conto delle regole recate dal nuovo Regolamento già da ora, in particolare nell’ambito della negoziazione dei contratti relativi all’uso di servizi ICT con fornitori terzi. Peraltro, con una nozione di “servizio ICT” particolarmente ampia, che comprende tutti i “servizi digitali e di dati forniti attraverso sistemi ICT a uno o più utenti interni o esterni” purché essi siano prestati su base continuativa, con la conseguenza che sono inclusi in tale perimetro persino i servizi di hardware as a service e quelli di hardware comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware.
Uno degli aspetti forse meno noti di DORA, ma di probabile maggior impatto del nuovo Regolamento, è proprio la previsione di un set di regole in materia di rapporti contrattuali con i third party provider del settore ICT. Ad una prima lettura del Regolamento, si può infatti agevolmente trarre l’impressione che DORA si limiti a consolidare e uniformare le regole già previste in materia dalle Guidelines EBA in materia di outsourcing e, più in generale, dalla normativa secondaria di settore. In effetti è senz’altro vero che DORA contiene molti concetti e principi che sono già noti agli operatori del settore, come la nozione di funzione operativa importante o l’obbligo di effettuare una adeguata due diligence sul fornitore terzo e di rispettare requisiti minimi di contenuto nella predisposizione della documentazione contrattuale.
L’ambito di applicazione delle regole in materia di rapporti con i provider terzi
Tuttavia, ad una lettura più attenta, si rileva un decisivo cambiamento di prospettiva, che riguarda anzitutto l’ambito di applicazione delle regole in materia di rapporti con i provider terzi.
L’attuale normativa di settore regola in maniera puntuale unicamente i rapporti di esternalizzazione, con particolare riferimento a quelli riguardanti le funzioni essenziali o importanti. Di converso, il concetto di esternalizzazione sostanzialmente scompare in DORA: la nuova disciplina riguardante i rapporti con i fornitori terzi, compresi gli obblighi di contenuto minimo dei contratti, trova infatti applicazione in relazione a tutti i “contractual arrangement” instaurati tra operatori del settore finanziario e fornitori terzi, purché tali accordi riguardino l’uso di servizi ICT, e non solo ai contratti di esternalizzazione.
Il superamento del concetto di outsourcing in DORA si riflette anche nelle regole riguardanti il rapporto tra il fornitore terzo e i suoi sub-fornitori. Mentre nella disciplina di settore le previsioni rilevanti sono quelle in materia di sub-outsourcing, in DORA tale concetto è sostituito da quello di sub-contracting. E non si tratta di una modifica meramente terminologica: la diversa terminologia riflette un diverso approccio, volto a catturare un ambito di assetti contrattuali molto più ampio, come già accennato.
Ne deriveranno temi non secondari di coordinamento, dato che DORA affianca e non sostituisce la normativa in materia di esternalizzazione.
Tre elementi di particolare interesse ai fini della (ri)negoziazione dei contratti
Ferme queste importanti novità di tipo sistematico, nel merito ci sembra utile segnalare tre elementi che riteniamo di particolare interesse ai fini della (ri)negoziazione dei contratti.
I livelli di servizio
Il primo attiene ai livelli di servizio. Prendendo atto della circostanza che i contratti di servizi ICT sono per definizione di durata seppur soggetti a rapida obsolescenza, considerata la velocità dell’innovazione tecnologica, DORA – oltre ad estendere l’obbligo di prevedere specifici livelli di servizi per tutti i contratti di servizio ICT, anche se non a supporto di funzioni importanti – impone che siano concordati in sede contrattuale i processi periodici di revisione e aggiornamento degli SLA.
Il contenuto minimo della clausola relativa ai diritti di audit
Il secondo elemento attiene al contenuto minimo della clausola relativa ai diritti di audit del soggetto regolato nei confronti del fornitore di servizi ICT, che deve essere obbligatoriamente prevista per i contratti relativi all’uso di servizi ICT a supporto di funzioni operative importanti. La regolamentazione in materia è tipicamente focalizzata sull’obiettivo di assicurare la sana e prudente gestione dei soggetti regolati, e quindi prevede di norma unicamente l’obbligo di riconoscere certi diritti a favore di questi ultimi. DORA, invece, come emerge anche dall’introduzione di un regime di oversight per i service provider critici, inizia a preoccuparsi anche della sana e prudente gestione dei fornitori di servizi ICT, per l’evidente rilievo cruciale svolto d questi ultimi per la stabilità del sistema finanziario. Ne deriva l’introduzione di un obbligo, per il soggetto regolato, di riconoscere al fornitore di servizi alcuni diritti connessi alle modalità di svolgimenti dell’audit. In particolare, DORA, prevede il riconoscimento, in capo ai service provider il diritto di concordare livelli di garanzia alternativi, qualora l’audit possa avere effetti pregiudizievoli per i diritti degli altri clienti del provider; nonché il diritto di ricevere dettagli sull’ambito di applicazione, sulle procedure da seguire e sulla frequenza di ispezioni e audit.
Gli obblighi in materia di assistenza
Il terzo elemento è l’introduzione dell’obbligo per il fornitore di servizi ICT di prestare assistenza al soggetto regolato senza costi aggiuntivi o a un costo stabilito ex ante, qualora si verifichi un incidente connesso al servizio ICT prestato, indipendentemente dal fatto che tale incidente sia dovuto a colpa del fornitore di servizi ICT o del soggetto regolato. In relazione a ciò, il punto negoziale più complesso diventa quindi quello della predeterminazione del costo dell’assistenza, vista la difficoltà di prevedere ex ante tutti i possibili casi di incidente ICT e i rimedi necessari per ciascuno di essi e potendosi ad esempio ipotizzare assetti incentrati sul calcolo dei “giorni uomo” richiesta per la gestione dell’incidente.
Conclusioni
Nel contesto descritto e tenuto conto della portata pluriennale dei contratti relativi alle forniture ICT, è fondamentale fin da ora che i player interessati tengano conto delle nuove regole di DORA nella negoziazione dei nuovi contratti. Il Regolamento, infatti, non contiene alcun regime transitorio o di grandfathering per i contratti esistenti. Quindi, salvo che il legislatore europeo, con l’avvicinarsi della data di applicazione prevista per il gennaio 2025, decida di introdurre un qualche salvacondotto, le nuove norme dovrebbero applicarsi anche ai contratti già esistenti, che, pertanto, dovranno essere rinegoziati, qualora non abbiamo potuto tenere conto, in sede di stipula, del regime previsto da DORA.
