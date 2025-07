Il 22 luglio 2025 segna una data spartiacque per banche, assicurazioni, fintech e – più in generale – per tutte le entità regolamentate che ricadono nel perimetro del Digital Operational Resilience Act (DORA). Con l’entrata in vigore del Regolamento Delegato (UE) 2025/532, pubblicato il 4 luglio nella Gazzetta ufficiale dell’Unione europea, cambiano radicalmente le regole del gioco in materia di subappalto dei servizi ICT. E quando dico “radicalmente”, intendo proprio game over per la gestione opaca e deresponsabilizzata dei fornitori a valle. Per approfondire questi temi abbiamo organizzato il corso di formazione Master in Cybersecurity e compliance integrata

1. Un regolamento delegato che cambia paradigma

Previsto dall’articolo 30 del Regolamento (UE) 2022/2554 (il DORA “base”), il nuovo Regolamento Delegato ha il compito di precisare i criteri e le condizioni in base ai quali l’impiego di subappaltatori ICT a supporto di funzioni critiche o importanti sia da considerarsi ammissibile. Il testo appena pubblicato rappresenta uno dei tasselli più delicati e attesi del mosaico normativo DORA: riguarda infatti la porzione più complessa e meno governata della filiera digitale, ovvero il subappalto.

Sì, perché se la gestione del fornitore primario (outsourcer) è oggi un processo già soggetto a controllo normativo, il vero punto cieco del sistema è sempre stato il livello successivo: quei subappaltatori selezionati autonomamente dal fornitore, con cui la banca o l’assicurazione spesso non ha alcun contatto né controllo.

2. Cosa impone il nuovo Regolamento Delegato DORA (UE) 2025/532

Vediamolo punto per punto, perché i contenuti sono di portata pratica dirompente:

1. Due diligence preventiva sui subappaltatori

Non basta più conoscere e valutare il fornitore diretto: d’ora in poi, l’impresa finanziaria dovrà accertarsi che anche i subappaltatori siano adeguatamente valutati sotto il profilo della sicurezza, dell’affidabilità e della resilienza operativa. Questa due diligence deve essere propedeutica alla decisione di accettare il subappalto e deve tenere conto di vari elementi, tra cui la localizzazione geografica, l’accesso ai dati, la catena di controllo societaria e le potenziali dipendenze critiche.

Ironia della sorte, molte entità finanziarie scoprivano l’esistenza di subappaltatori solo dopo un incidente informatico. DORA, su questo, non lascia più margini di ambiguità.

2. Obblighi contrattuali minuziosi

Il contratto tra l’entità finanziaria e il suo fornitore primario dovrà contenere clausole specifiche sul subappalto, tra cui: l’elenco (aggiornabile) dei subappaltatori,

le condizioni per approvare, limitare o vietare certi tipi di subappalto,

l’obbligo di comunicazione tempestiva in caso di modifiche sostanziali,

la possibilità di audit o accesso diretto da parte dell’entità finanziaria. Non si tratta di formule generiche: il regolamento entra nel merito delle condizioni minime, trasformando la compliance contrattuale in un esercizio di precisione giuridica.

3. Notifica delle modifiche sostanziali

Il fornitore primario ha l’obbligo di informare preventivamente l’entità finanziaria di qualsiasi modifica sostanziale relativa ai suoi subappalti. Il concetto di “sostanziale” è definito: ad esempio, il cambio di subappaltatore, lo spostamento di attività essenziali, o un nuovo assetto di governance che impatti sull’ICT outsourcing.

Non basta notificare: il fornitore deve attendere che l’entità finanziaria abbia il tempo sufficiente per effettuare un nuovo risk assessment. In pratica, nessuna sorpresa a giochi fatti.

4. Risoluzione del contratto in casi specifici

Il contratto con il fornitore primario deve prevedere il diritto di recesso o risoluzione nel caso in cui il subappalto violi le condizioni regolamentari. Questo include, ad esempio: subappalto non autorizzato,

mancato aggiornamento delle informazioni,

violazioni delle condizioni concordate. Tradotto: le clausole risolutive diventano un requisito normativo e non più una gentile concessione della parte contrattuale.



3. La fine della “black box”

Uno dei messaggi più forti del regolamento è quello della trasparenza obbligatoria nella supply chain ICT. Ogni fornitore – diretto o indiretto – deve essere conosciuto, valutato e monitorato. Si rompe quindi la logica del fornitore “black box” a cui si delega tutto sperando nel meglio.

Chi si affida a fornitori cloud, provider SaaS, tool di analisi automatizzata o sistemi AI di terze parti dovrà finalmente guardare sotto il cofano. E no, il fatto che si tratti di fornitori “di mercato” o “affidabili” non costituisce esenzione dagli obblighi DORA.

4. Cosa devono fare le imprese finanziarie (subito)

Questo regolamento delegato non è solo un approfondimento tecnico: è un vero e proprio cambio di governance nella gestione dei fornitori ICT. Ecco cosa devono fare, fin da ora, banche, assicurazioni, fintech: Mappare tutti i fornitori attivi e identificare quali subappaltano funzioni importanti.

e identificare quali subappaltano funzioni importanti. Rivedere i contratti esistenti , inserendo le clausole richieste dal regolamento.

, inserendo le clausole richieste dal regolamento. Aggiornare le policy di terze parti e le procedure di onboarding .

. Istituire processi di valutazione e approvazione del subappalto , documentati e tracciabili.

, documentati e tracciabili. Prepararsi alla gestione del rischio reputazionale e operativo legato all’intera catena del valore. Chi ha già affrontato la compliance a DORA nella sua versione base sa che si tratta di un progetto trasversale, che coinvolge IT, procurement, legale, risk management e compliance. Questo nuovo tassello accentua la necessità di un approccio interdisciplinare, strutturato e documentato.

5. Qualche riflessione

In fondo, non è così sorprendente. Dopo decenni di outsourcing cieco, “abbiamo sempre fatto così” e SLA scritti sulla fiducia, era solo questione di tempo prima che Bruxelles dicesse: basta.

DORA ha il merito di rendere esplicito ciò che il buonsenso (e la cybersecurity) suggerivano da tempo: non puoi esternalizzare il rischio. Puoi esternalizzare l’attività, ma la responsabilità resta tua. Punto.

Ora che questo principio è inciso in Gazzetta, le scuse sono finite.

6. Conclusioni

Il Regolamento Delegato (UE) 2025/532 completa un quadro normativo già ambizioso e chiaro: la resilienza digitale non è un’opzione, è un dovere regolamentare.

Chi ancora pensa che i fornitori siano una questione da IT o da procurement dovrà ricredersi. È tempo di fare pulizia nei contratti, nella governance e – soprattutto – nel modo in cui si pensa al rischio ICT.

Conoscere il proprio fornitore non è più un lusso, è una norma. E chi si occupa di privacy, protezione dei dati e conformità dovrebbe già essere in prima linea.



