BOARD BRIEFING REPORTBanking europeo & mercati finanziariManagement Board Question · For Discussion

Se il vostro provider ICT critico cade domani: cosa si ferma — e per quanto tempo?

TemaRischio critico da terze parti ICT
PubblicoManagement Board · Supervisory Board · Executive Committee
Tempo di lettura7 minuti
Status targetGREEN — una volta che le dipendenze critiche sono mappate, testate e governabili

In sintesi

Il punto non è più solo il provider.

Il punto è se l'istituzione può dimostrare continuità.

Board AskConfermare se l'istituzione può dimostrare continuità e capacità di exit per servizi ICT che supportano funzioni critiche o importanti.

Situation

Assumiamo la seguente situazione.

Un provider terzo ICT critico diventa indisponibile. Supporta una piattaforma, un servizio dati, un ambiente cloud, un workflow engine, un layer di reporting o un processo AI-enabled utilizzato dall'istituzione. Nel giro di poche ore, la domanda non è più se il provider abbia un obbligo contrattuale di ripristinare il servizio.

La domanda è cosa si ferma dentro la banca.

Quali funzioni critiche o importanti sono impattate? Quali catene clienti, rischio, operative o decisionali dipendono dal provider? Qual è il tempo di recovery testato? Il servizio può essere sostituito, abbandonato o ripristinato entro la tolleranza dell'istituzione?

Il punto non è più solo il provider.

Il punto è se l'istituzione può dimostrare continuità.

Management Summary

DORA rende il rischio terze parti ICT una disciplina board-level e basata sull'evidence. Le entità finanziarie restano responsabili della compliance anche quando i servizi ICT sono forniti da terzi; DORA richiede inoltre ICT third-party risk management, un Register of Information e strategie di exit per i servizi ICT che supportano funzioni critiche o importanti.

Le Autorità europee di vigilanza hanno pubblicato il 18 novembre 2025 la prima lista di 19 provider terzi ICT critici designati sotto DORA. Il processo di designazione ha utilizzato dati dai Registers of Information e una valutazione di criticità che copre importanza sistemica, supporto a funzioni critiche o importanti e sostituibilità.

Una risposta forte non è "we have an exit policy". Una risposta forte mostra quali servizi si fermano, quale recovery objective si applica, dove convergono le dipendenze, quale exit path è stato testato e chi può decidere di limitare, sostituire, uscire o continuare l'arrangement.

Management Report Panel

Situation in One Sentence
Un outage di un provider ICT critico diventa una questione di board quando l'istituzione non può dimostrare cosa si ferma, quanto dura il recovery e chi owns la risposta.
Key Issue
L'oversight sulle terze parti non è la stessa cosa della resilienza istituzionale. Le ECB Supervisory Priorities 2026–28 affermano che l'oversight DORA sui provider terzi critici completa, ma non sostituisce, un solido third-party risk management.
Primary Risk
Un provider supporta una funzione critica o importante, ma business impact, recovery route, fourth-party chain, capacità di exit o accountable owner non sono sufficientemente visibili per board reliance.
Board Ask
Confermare se l'istituzione può dimostrare continuità e capacità di exit per servizi ICT che supportano funzioni critiche o importanti.
Target RAG
GREEN quando le dipendenze critiche sono mappate, classificate, abilitate contrattualmente, testate e governate.

Calibrazione della qualità della risposta

GREEN Decision-grade answer
AMBER Partially evidenced answer
RED Not decision-grade
RegisterL'attuale Register of Information riflette le dipendenze ICT reali.
RegisterIl registro esiste, ma non è pienamente riconciliato con la realtà operativa.
Register“We have an exit policy.”
Function MappingLe funzioni critiche o importanti sono mappate a provider e servizi.
Function MappingL'inventario provider esiste, ma il mapping sui business services è incompleto.
Function Mapping“The provider is now directly overseen under DORA.”
ConcentrationLa concentrazione dei provider e le fourth-party chains sono valutate.
ConcentrationIl piano di exit è documentato, ma non testato per funzioni critiche.
Concentration“This is managed by Procurement.”
RecoveryRTO, RPO e interruzione massima tollerabile sono definiti per funzione.
RecoveryGli RTO sono definiti, ma non provati attraverso esercizi di recovery.
Recovery“The cloud provider has its own resilience plan.”
ExitExit e substitution paths sono documentati, testati e revisionati.
ExitI contratti includono clausole chiave, ma la fattibilità della transition è incerta.
Exit“The contract includes SLAs.”
ContractsLe clausole contrattuali supportano accesso, audit, recovery, restituzione e transition.
ContractsLa concentrazione provider è riportata, ma non tradotta in decisioni del board.
Contracts“We have more than one provider.”
Board ReportingIl board reporting mostra rischio residuo di concentrazione e open actions.
Board ReportingL'ownership esiste in Procurement o IT, ma non end-to-end.
Board Reporting“This is only an AI workflow.”
Substitution
Substitution
Substitution“We could exit if we had to.”

Il RAG status calibra la qualità della risposta. Non giudica l'istituzione.

Chi dovrebbe rispondere

CIO / CTOCOOCRO / Operational RiskCISO / ICT RiskProcurement / Vendor Management / OutsourcingBusiness OwnerLegal / Compliance / DPOInternal Audit
Nota di responsabilità:
  • Procurement può detenere il contratto.
  • Technology può detenere la piattaforma.
  • Il business detiene l'impatto.
  • Il board deve vedere la catena.

Prove che il consiglio dovrebbe richiedere

  1. 01Register of Information
  2. 02Critical Function Mapping
  3. 03Provider Criticality Classification
  4. 04Concentration Risk Assessment
  5. 05Fourth-Party Dependency Map
  6. 06RTO / RPO / MTPD View
  7. 07Tested Exit Strategy
  8. 08Contractual Exit and Transition Evidence
  9. 09Incident and Recovery Exercise Log
  10. 10Board Resilience Dashboard

Segnali di allarme

  • “We have an exit policy.”
  • “The provider is directly overseen under DORA.”
  • “This is handled by Procurement.”
  • “The provider has strong SLAs.”
  • “We use multiple providers.”
  • “The service is not client-facing.”
  • “The exit plan is documented.”
  • “We could exit if necessary.”

Nessuna di queste affermazioni è necessariamente falsa. Semplicemente, non costituiscono evidence sufficiente per board-level reliance.

Percorso verso il verde

  • Dipendenze visibili
  • Criticità classificata
  • Concentrazione compresa
  • Recovery misurato
  • Exit abilitato
  • Rischio residuo governato

GREEN is not a contract status.
GREEN is a tested continuity status.

Prossima domanda suggerita

Quale funzione critica o importante creerebbe la maggiore disruption se il suo provider ICT cadesse domani — e possiamo dimostrare il recovery path testato?

Commento dell'esperto — 7 min di lettura

La resilienza delle terze parti ICT viene spesso discussa attraverso contratti, outsourcing registers e provider oversight. Questi elementi contano. Ma non rispondono alla domanda più pratica del board.

Cosa si ferma — e per quanto tempo?

Questa domanda è volutamente operativa. Traduce DORA dal testo regolamentare alla realtà manageriale board-level. Un provider ICT critico può supportare un ambiente cloud, un workflow engine, un reporting layer, una capacità cybersecurity, un servizio dati, un market-data feed, una piattaforma documentale o un processo AI-enabled. Il provider può non essere visibile ai clienti. La dipendenza può comunque essere critica.

DORA rende esplicito il punto di responsabilità. Le entità finanziarie che utilizzano servizi ICT restano responsabili del rispetto dei propri obblighi, e il rischio terze parti ICT deve essere gestito come parte dell'ICT risk management framework. DORA richiede inoltre che le entità finanziarie mantengano e aggiornino un Register of Information che copra tutti gli arrangements contrattuali sull'uso di servizi ICT forniti da provider terzi ICT.

01

Visibilità

Questo rende la visibilità la prima disciplina.

Un board non può esercitare oversight su una dipendenza che non vede. Una banca non può governare una catena di provider che non ha mappato. E non può rispondere a "quanto tempo" senza un recovery objective testato collegato a una specifica funzione critica o importante.

02

Concentrazione

La seconda disciplina è la concentrazione.

DORA richiede alle entità finanziarie di considerare il rischio di concentrazione quando stipulano arrangements per servizi ICT che supportano funzioni critiche o importanti. Questo include se un provider non è facilmente sostituibile o se più arrangements creano dipendenze dallo stesso provider o da provider strettamente collegati.

Questo conta perché la diversificazione può essere fuorviante.

Due provider possono apparire indipendenti a livello contrattuale ma convergere su cloud, data centre, network, identity, DNS, software, subcontracting o operational-support layers. Una risposta board-grade quindi non si ferma a "we have more than one provider". Chiede se i failure modes siano realmente indipendenti.

03

Capacità di exit

La terza disciplina è la capacità di exit.

DORA richiede strategie di exit per servizi ICT che supportano funzioni critiche o importanti; tali piani di exit devono essere completi, documentati, sufficientemente testati e revisionati periodicamente. DORA richiede inoltre arrangements contrattuali scritti che allocano diritti e obblighi, inclusi provisions rilevanti per accesso, recovery, restituzione dei dati, termination ed exit.

È qui che le risposte deboli spesso sembrano plausibili.

  • Una exit policy non è un exit.
  • Una clausola contrattuale non è una transition testata.
  • Il resilience plan di un provider non è il recovery plan della banca.

E l'oversight diretto di un provider critico non sostituisce il third-party risk management proprio dell'istituzione. Le ECB Supervisory Priorities 2026–28 affermano che i requisiti legati a DORA, in particolare ICT third-party risk e incident response management, devono essere implementati in modo coerente e rapido; affermano inoltre che il DORA oversight framework per i critical third-party providers completa, ma non sostituisce, un sound third-party risk management.

La domanda pratica del board quindi non è se il provider sia forte.

È se l'istituzione sia resiliente al failure del provider.

Ciò richiede una struttura di risposta diversa. Il board dovrebbe vedere una dependency map, una vista di criticità, una concentration assessment, un recovery objective, un exit path testato, contractual evidence e un dashboard del rischio residuo. Dovrebbe anche vedere dove la substitution non è realistica. In questi casi, la resilienza deve venire da continuity arrangements, contingency planning, protezione contrattuale, monitoring e accettazione formale del residual risk.

L'obiettivo non è eliminare ogni dipendenza.

Sarebbe irrealistico.

L'obiettivo è sapere quali dipendenze contano, cosa si rompe quando falliscono, quanto tempo richiede il recovery, chi owns la risposta e quale evidence sostiene la risposta.

Un provider supervisionato non è la stessa cosa di un'istituzione resiliente.

La resilienza inizia quando il board può porre la domanda — e ricevere una risposta mappata, testata e governabile.

Base di fonti selezionata

← Tutti i briefing