EBA, con Q&A n. 7466/2025, ha chiarito se le Autorità pubbliche possano o meno considerarsi fornitori di servizi ICT ai sensi del Regolamento DORA.
In particolare, la questione posta era volta ad appurare se l’esenzione per le Autorità pubbliche, quando forniscono servizi ICT nell’ambito dell’adempimento di funzioni statali, di cui al considerando 63, frase 3, ultima metà della frase, del Regolamento DORA, debba essere intesa come un’esenzione generale per tutte le autorità pubbliche, come definite dall’art. 3 n. 65 del DORA, oppure, alternativamente, se tale esenzione sia limitata ai servizi di pagamento e alle soluzioni di pagamento.
Il considerando 63, frase 1, del DORA, prevede infatti che la vigilanza sui fornitori terzi ICT debba coprire, di norma generale, un’ampia gamma di fornitori: la frase 3 poi, prevede che, per i partecipanti all’ecosistema dei servizi di pagamento che forniscono attività di elaborazione dei pagamenti o gestiscono infrastrutture di pagamento, anche tali partecipanti debbano essere considerati fornitori terzi di servizi ICT, ai sensi del DORA.
La stessa frase 3 del considerando 63, tuttavia, prevede poi due esenzioni:
- le banche centrali, quando gestiscono sistemi di pagamento o di regolamento titoli
- le Autorità pubbliche quando forniscono servizi connessi alle ITC nel contesto dell’adempimento di funzioni statali.
Pertanto, non è chiaro se l’esenzione per le autorità pubbliche sia intesa come regola generale (per qualsiasi servizio ICT nell’ambito dell’adempimento di funzioni statali) o se tale servizio ICT di una determinata autorità pubblica debba essere un servizio ICT qualificato (ad esempio, un servizio di pagamento).
In questo contesto, inoltre, non è chiaro se un “servizio connesso alle ICT” (che non è definito nel DORA) sia più ampio di un “servizio ICT”.
Ad esempio, una PA che fornisca strumenti software a istituti finanziari per la gestione di sussidi (ad esempio, rifinanziati da istituzioni UE) non sarebbe considerato un fornitore di servizi ICT di terze parti, anche se fornisce ovviamente servizi correlati alle ICT (se non servizi ICT), poiché, in quanto autorità pubblica, tali servizi sono forniti nell’ambito dell’adempimento di una funzione statale.
Di conseguenza, tale autorità pubblica non dovrebbe essere inclusa nella gestione del rischio ICT di terze parti da parte dell’istituto finanziario.
EBA precisa che il citato considerando (63) del Regolamento DORA dovrebbe essere interpretato in senso lato, escludendo sostanzialmente tutte le Autorità pubbliche dall’ambito di applicazione della designazione di fornitori di servizi ICT ai sensi del DORA.
Alla luce di tale interpretazione, un‘autorità pubblica che fornisce dati a enti finanziari non dovrebbe rientrare nell’ambito di applicazione del DORA, in quanto fornitore di servizi ICT.
Inoltre, i requisiti previsti per i relativi accordi contrattuali con i fornitori ICT di cui all’art. 30, par. 2, si applicano solo quando un’entità finanziaria si avvale di un fornitore terzo di servizi ICT: se l’autorità pubblica non è considerata tale, gli obblighi contrattuali di cui all’art. 30, par. 2, compresi quelli di cui ai punti b) e d), non si applicano.
