EBA con Q&A 7290/2024, ha chiarito se, ai sensi del Regolamento DORA, gli operatori di sistemi di pagamento e i soggetti coinvolti in attività di elaborazione dei pagamenti debbano essere trattati come fornitori di servizi ICT dagli istituti finanziari.
Più nel dettaglio, ha chiarito quale sia la corretta interpretazione dell‘art. 3, par. 21, dell’art. 2 e dell‘art. 58, par. 2, del Regolamento (UE) n. 2022/2554 (DORA) in combinato disposto con la relazione della Commissione europea COM/2023/0365 sulla revisione della Direttiva 2015/2366/UE.
Secondo l’istante, ed in linea con la citata relazione della Commissione UE, i sistemi di pagamento e gli enti coinvolti nelle attività di elaborazione dei pagamenti non dovrebbero essere trattati come enti che rientrano nell’ambito di applicazione di DORA, ai quali sarebbero direttamente applicabili i requisiti DORA (come gli istituti finanziari elencati nell’art. 2) e che, di conseguenza, sarebbero soggetti alla vigilanza diretta delle autorità competenti.
Tuttavia, ciò non pregiudica il fatto che tali operatori di sistemi di pagamento e soggetti coinvolti in attività di elaborazione dei pagamenti debbano essere trattati come fornitori di servizi ICT dagli istituti finanziari, come stabilito dal considerando 63, mentre il funzionamento di tali sistemi/infrastrutture/reti di elaborazione dei pagamenti dovrebbe essere trattato come servizi ICT dagli enti finanziari.
Di conseguenza, i requisiti obbligatori di DORA dovrebbero essere applicati a tali accordi che incidono indirettamente su tali operatori di sistemi di pagamento, in quanto essi corrispondono essenzialmente alla definizione di “servizi ITC” di cui all’art. 3, par. 21, del Regolamento DORA: ciò includerebbe la garanzia di un quadro contrattuale conforme ai requisiti degli artt. 28 e 30.
Tuttavia, l’istante sottolinea che diversi importanti fornitori di sistemi/infrastrutture di pagamento si rifiutano infatti di negoziare i termini degli accordi che regolano l’uso dei loro sistemi/infrastrutture di pagamento, sostenendo che i requisiti stabiliti dal DORA non sono applicabili ai sistemi/infrastrutture di pagamento.
EBA ricorda che l‘art. 2, par. 1, di DORA introduce le entità che rientrano nell’ambito di applicazione del DORA: i fornitori di attività di elaborazione dei pagamenti o che gestiscono infrastrutture di pagamento, compresi i sistemi di carte di pagamento, non sono inclusi in detto articolo e, pertanto, non sono da considerarsi entità finanziarie nell’ambito di applicazione del DORA.
L’art. 3, par. 21, di DORA definisce i “servizi ICT” come servizi digitali e di dati forniti attraverso sistemi ICT a uno o più utenti interni o esterni su base continuativa, compresi l’hardware come servizio e i servizi hardware che includono la fornitura di assistenza tecnica tramite aggiornamenti software o firmware da parte del fornitore di hardware, esclusi i servizi telefonici analogici tradizionali.
Il considerando 63 di DORA specifica infine che i fornitori di attività di elaborazione dei pagamenti o che gestiscono infrastrutture di pagamento dovrebbero essere considerati fornitori di servizi ICT di terze parti ai sensi del DORA, ad eccezione delle banche centrali quando gestiscono sistemi di pagamento o di regolamento titoli e delle autorità pubbliche quando forniscono servizi relativi alle TIC nel contesto dell’adempimento delle funzioni statali.
Pertanto, qualsiasi servizio pertinente fornito dai fornitori di attività di elaborazione dei pagamenti o che gestiscono infrastrutture di pagamento che rientra nella definizione di cui all’art. 3, par. 21, di DORA, dovrebbe essere considerato un servizio ICT ai sensi del DORA: pertanto, gli enti finanziari dovrebbero garantire la conformità alle disposizioni pertinenti del DORA relative ai servizi forniti da tali fornitori di servizi ICT di terze parti.
EBA ricorda tuttavia che non tutti i servizi forniti da tali fornitori, compresi i sistemi di carte di pagamento, devono essere considerati servizi ITC: i servizi forniti da un organo di governance di un sistema o dai processi aziendali dei fornitori di attività di elaborazione dei pagamenti o che gestiscono infrastrutture di pagamento senza una componente ITC prevalente, come la compensazione e il regolamento, non dovrebbero essere considerati nell’ambito dei servizi ITC, ai sensi dell’art. 3, par. 21, di DORA.
Infine, EBA osserva che, conformemente all’art. 31, par. 8, punto ii), di DORA, i fornitori terzi di servizi ICT soggetti a quadri di vigilanza istituiti ai fini di sostenere i compiti di cui all’art. 127, par. 2, del TFUE, non rientrano nell’ambito di applicazione del quadro di vigilanza dei fornitori terzi di servizi ICT critici ai sensi del DORA.
