Le Autorità di vigilanza europee (EBA, EIOPA ed ESMA – le ESAs) hanno pubblicato un parere sulla bocciatura da parte della Commissione UE della bozza di Implementing Technical Standards (ITS) sul registro delle informazioni sugli accordi contrattuali delle entità finanziarie con i fornitori di servizi ICT di terze parti, ai sensi del Digital Operational Resilience Act (DORA).
Si ricorda che l’art. 28, paragrafo 9, del Regolamento (UE) 2022/2554 (DORA) incarica le ESAs di elaborare una bozza di ITS per stabilire i modelli standard per il registro delle informazioni di cui all’art. 28, paragrafo 3, DORA: la bozza di ITS è stata quindi sviluppata e presentata dalle ESAs, alla Commissione UE, il 17 gennaio 2024.
I registri di informazioni tenuti dalle entità finanziarie costituiscono un importante contributo al lavoro delle ESAs sulla designazione dei fornitori terzi di servizi ICT critici, che saranno soggetti alla sorveglianza delle ESAs.
Il 3 settembre 2024, la Commissione UE, in conformità alla procedura di cui all’art. 15, paragrafo 1, quarto comma, dei Regolamenti sulle autorità di vigilanza europee, ha notificato alle autorità di vigilanza europee il rifiuto della bozza di ITS, sulla base del previsto uso obbligatorio del LEI per identificare i fornitori terzi di servizi ITC, ai sensi dell’art. 3, paragrafi 5 e 6, del progetto di ITS.
Le autorità di vigilanza europee hanno pertanto elaborato il presente parere sulle modifiche proposte dalla Commissione europea alla bozza di ITS, ai sensi dell’art. 15, paragrafo 4, del Regolamento sulle autorità di vigilanza europee.
Il contenuto del parere e le proposte di modifica agli standards
Le ESAs esprimono preoccupazione per l’impatto e la praticità delle modifiche proposte dalla Commissione alla bozza di ITS sul registro delle informazioni relative agli accordi contrattuali delle entità finanziarie con i fornitori di servizi ICT di terze parti.
La bozza di ITS proposta dalle ESA è stata respinta dalla Commissione europea in quanto, ad avviso di quest’ultima, sarebbe necessario consentire alle entità finanziarie di scegliere se identificare i propri fornitori di servizi ICT terzi registrati nell’UE utilizzando l’identificatore di entità giuridica (LEI) o l’identificatore unico europeo (EUID).
Secondo le ESAs, la proposta della Commissione UE di aggiungere un ulteriore identificatore, consentendo alle società con sede nell’UE di utilizzare l’EUID, causerà un’inutile complessità e potrebbe avere un impatto negativo sull’attuazione del DORA da parte delle entità finanziarie, delle autorità competenti e delle ESAs.
Le ESAs osservano che, sebbene l’EUID sia disponibile gratuitamente per le società registrate nell’UE, la sua introduzione nei registri di informazioni comporterebbe sforzi di implementazione e manutenzione imprevisti per gli enti finanziari.
In particolare, limiterebbe l’accesso e la possibilità di verifica delle informazioni da parte degli enti finanziari e delle autorità competenti: ciò comporterebbe un potenziale aumento dell’onere complessivo di segnalazione per le entità finanziarie nel contesto del DORA.
Inoltre, la coesistenza di due identificatori potrebbe comportare un’ulteriore complessità che avrebbe un impatto negativo sulla qualità dei dati utilizzati e rischierebbe di ritardare la designazione dei fornitori terzi di servizi ICT critici (CTPP) da parte delle ESAs.
Se la Commissione UE decidesse di procedere con l’introduzione dell’EUID, nonostante le preoccupazioni di cui sopra, saranno necessarie ulteriori modifiche alla bozza di ITS.
Il parere indica come la bozza di ITS debba essere ulteriormente adattata per tener conto dell’uso dell’EUID: senza queste modifiche, l’ITS non potrebbe essere applicato in pratica per una corretta identificazione dei fornitori di servizi ICT di terze parti, il che avrebbe un impatto negativo sulla designazione dei CTPP.
Le ESAs osservano inoltre che, in caso di coesistenza di LEI e EUID, le entità finanziarie dovrebbero preferire l’uso del LEI, soprattutto quando entrambi gli identificatori sono disponibili, mentre nel caso dei gruppi è importante garantire l’omogeneità dei codici di identificazione registrati per tutti i fornitori di servizi ICT di terze parti.
Nel loro parere, le ESAs suggeriscono anche ulteriori modifiche alla bozza di ITS, che riflettono il feedback pratico ricevuto dai soggetti finanziari che hanno partecipato all’esercizio volontario di dry run sulla segnalazione dei registri di informazioni.
Le ESAs chiedono che la decisione finale sull’uso degli identificatori sia rapida, così come l’adozione della bozza di ITS da parte della CE: ciò è particolarmente importante per le ESAs, che designeranno i CTPP nel 2025.
Infine, facendo leva sull’esperienza dell’esercizio di dry run, le ESAs invitano le entità finanziarie ad aumentare gli sforzi di implementazione per essere pronte a presentare i loro registri di informazioni alle autorità competenti nella prima metà del 2025.