La resilienza delle entità finanziarie, ad oggi, passa soprattutto dal corretto presidio della catena di fornitura ICT. In questo contesto, il Regolamento DORA (ossia il Digital Operational Resilience Act) rappresenta un cardine della normativa europea, imponendo obblighi stringenti alle istituzioni finanziarie. Il Data Act, pur con finalità più ampie, fornisce strumenti utili a facilitare l’adempimento di uno dei requisiti più critici previsti da DORA: la definizione e il collaudo di una strategia di uscita dai fornitori, soprattutto per le attività esternalizzate. Dunque, DORA impone alle entità finanziarie di elaborare piani di uscita dettagliati per ogni servizio in outsourcing, prevedendo anche la verifica operativa delle soluzioni proposte. Si tratta di un compito complesso, spesso sottovalutato, che richiede la stessa accuratezza e profondità di un piano di continuità operativa. Il rischio, infatti, è quello di compromettere la stabilità stessa del sistema informativo dell’ente, qualora si faccia affidamento su un unico fornitore senza avere valide alternative operative.

A complicare il quadro si osserva il fatto che DORA non si limita a coinvolgere direttamente le entità finanziarie, ma si estende anche ai fornitori ICT: per questi ultimi, salvo che non siano a loro volta soggetti alla Direttiva NIS 2, le prescrizioni derivano esclusivamente dai contratti sottoscritti con le entità finanziarie. È utile approfondire quindi il contributo del Data Act, che sebbene meno esteso e pervasivo rispetto alla NIS 2, supporta in modo significativo il rispetto di un punto chiave di DORA: la possibilità per un ente finanziario di migrare agevolmente i propri dati e servizi da un fornitore a un altro. Il Data Act, in sintesi, dedica un intero capitolo al tema della portabilità e dell’interoperabilità tra fornitori, toccando aspetti tecnici, economici e contrattuali. L’articolo 23, ad esempio, prevede che i cloud provider adottino misure per eliminare qualsiasi ostacolo – di natura tecnica, organizzativa o commerciale – che possa impedire la migrazione del servizio a un altro fornitore o all’infrastruttura interna, imponendo che il passaggio debba avvenire in modo fluido, senza penali o vincoli che ostacolino la risoluzione del contratto o la migrazione dei dati. I clienti devono poter conseguire un’equivalenza funzionale nel nuovo ambiente di trattamento dati e avere la possibilità di disaggregare i servizi per favorire la flessibilità e la concorrenza.

In sintesi, se DORA impone l’obbligo di pianificare e testare l’uscita dai contratti di outsourcing, il Data Act fornisce gli strumenti normativi per rendere effettivo tale passaggio, promuovendo interoperabilità, trasparenza e portabilità. Le entità finanziarie possono così rafforzare il controllo sulla catena di fornitura ICT, mitigando i rischi operativi legati alla dipendenza da singoli fornitori e assicurando maggiore continuità e resilienza dei propri servizi digitali: in breve, pertanto, il Data Act, pur con un impatto più contenuto rispetto alla NIS 2, svolge un ruolo essenziale nell’attuazione operativa del Regolamento DORA, agevolando uno degli obblighi più complessi, ossia garantire il passaggio sicuro, fluido e trasparente dei dati tra fornitori di servizi. Per concludere, come anticipato, l’articolo 1 ne sottolinea l’importanza strategica, mentre l’articolo 23 impone ai cloud provider l’eliminazione di ogni ostacolo tecnico, contrattuale o organizzativo alla migrazione o reinternalizzazione dei dati, e, di fatto, il Data Act si configura come uno strumento chiave per assicurare portabilità, continuità operativa e reale resilienza digitale nel settore finanziario.

Visualizzazioni: 34