L’evoluzione del quadro regolatorio europeo in materia di outsourcing, pur nella peculiare frammentazione delle fonti normative, richiede un approccio unitario nella gestione dei rischi connessi all’esternalizzazione, in particolare nel settore finanziario.
Dell’ambito applicativo e della normativa di riferimento per l’outsourcing se ne discuterà ampiamente nella prima relazione del nostro prossimo webinar del 07 maggio 2026 “I contratti di Outsourcing – Best practices e clausole contrattuali: contenuto e tecniche di redazione“.
In tale prospettiva, l’interazione tra il Regolamento Digital Operational Resilience Act (DORA) e le linee guida EBA (in corso di revisione, per adeguarle altresì a quest’ultimo Regolamento) impone agli operatori un ripensamento delle proprie politiche di outsourcing, superando logiche meramente settoriali e adottando modelli integrati di governance, capaci di ricondurre a coerenza discipline che, pur perseguendo finalità convergenti, presentano ambiti applicativi, definizioni e obblighi non perfettamente sovrapponibili.
DORA, in particolare, introduce una disciplina dettagliata dei fornitori di servizi ICT, qualificandoli come soggetti rilevanti ai fini della resilienza operativa digitale e prevedendo specifici obblighi di gestione del rischio, monitoraggio e, nei casi più critici, anche di supervisione diretta da parte delle autorità europee.
In tale contesto, assume rilievo la definizione normativa di “fornitore terzo di servizi ICT”, inteso come qualsiasi impresa che presta servizi ICT a uno o più soggetti finanziari, includendo espressamente anche fornitori di servizi cloud, software, data analytics e servizi di infrastruttura digitale, indipendentemente dalla loro localizzazione o appartenenza a un gruppo societario.
Le linee guida EBA mantengono invece un’impostazione più ampia e trasversale dell’outsourcing, fondata sulla nozione di esternalizzazione di funzioni aziendali: in particolare, esse definiscono l’outsourcing come un accordo di qualsiasi forma tra un ente, un
istituto di pagamento o un istituto di moneta elettronica e un fornitore di servizi in base al quale quest’ultimo svolge un processo, un servizio o un’attività che sarebbe altrimenti svolto dall’ente, dall’istituto di pagamento o dall’istituto di moneta elettronica stesso.
Tale definizione, apparentemente lineare, consente di ricomprendere nel perimetro dell’outsourcing una pluralità di fattispecie eterogenee, incluse quelle caratterizzate da un’elevata integrazione operativa tra committente e fornitore, nonché quelle realizzate mediante strutture infragruppo o catene di subfornitura articolate.
In questo scenario, assume rilievo centrale la definizione del perimetro delle “terze parti”, che non può più essere affrontata in modo meramente formale, ma richiede un’analisi sostanziale dei rapporti contrattuali e delle modalità di erogazione dei servizi, con particolare riferimento ai casi, sempre più frequenti, di forniture rese all’interno di gruppi societari o tramite catene di subappalto intragruppo.
La qualificazione di un fornitore intragruppo come “terza parte” non può infatti essere esclusa sulla base del solo vincolo partecipativo, dovendosi piuttosto valutare il grado di autonomia operativa, la separazione delle responsabilità e l’effettiva esposizione ai rischi derivanti dall’esternalizzazione, elementi che, se presenti, giustificano l’applicazione delle medesime cautele previste per i fornitori esterni.
Analoga complessità si riscontra nei casi di appalti intragruppo, nei quali la presenza di più livelli contrattuali può determinare una diluizione delle responsabilità e una minore trasparenza nella catena di fornitura, rendendo necessario, in un’ottica prudenziale, estendere gli obblighi di due diligence, monitoraggio e audit anche ai subfornitori, indipendentemente dalla loro collocazione all’interno del gruppo.
Ulteriore profilo di rilievo è rappresentato dalla distinzione tra terze parti ICT e non-ICT, che, pur apparendo concettualmente chiara, presenta nella pratica numerose aree grigie, soprattutto alla luce della crescente digitalizzazione dei servizi e della progressiva integrazione tra componenti tecnologiche e processi aziendali tradizionali.
La qualificazione di un servizio come ICT rileva in modo determinante ai fini dell’applicazione delle disposizioni di DORA, ma non esaurisce la rilevanza regolatoria dell’outsourcing, poiché anche i servizi non ICT possono incidere in maniera significativa sulla continuità operativa e sulla stabilità dell’ente, rendendo pertanto necessario un approccio olistico alla gestione dei rischi.
In tale contesto, la distinzione tra outsourcing “ordinario” e outsourcing di funzioni essenziali o importanti (FEI) assume un ruolo cardine, in quanto consente di modulare gli obblighi regolatori in funzione della rilevanza del servizio esternalizzato, evitando al contempo sia un eccesso di oneri per le attività a basso impatto, sia una sottovalutazione dei rischi connessi alle funzioni più critiche.
La qualificazione di una funzione come critica o importante richiede una valutazione articolata, che tenga conto non solo dell’impatto potenziale sull’operatività dell’ente, ma anche della sua incidenza sui requisiti prudenziali, sulla tutela dei clienti e sull’integrità del mercato, elementi che devono essere considerati in modo integrato.
L’outsourcing di FEI comporta, conseguentemente, l’applicazione di requisiti rafforzati in termini di governance, controllo e continuità operativa, inclusa la necessità di predisporre piani di uscita (exit strategies) efficaci e realistiche, nonché di garantire un adeguato livello di supervisione anche nei confronti dei fornitori e dei loro eventuali subfornitori.
L’attuale contesto normativo impone agli operatori di superare una visione frammentata dell’outsourcing, adottando un approccio unitario e risk-based che, pur nel rispetto delle specificità delle singole discipline, consenta di presidiare in modo efficace i rischi derivanti dall’esternalizzazione, valorizzando la coerenza tra i diversi livelli regolatori e assicurando, al contempo, un adeguato equilibrio tra esigenze di compliance e sostenibilità operativa.
