Da outsourcing a third-party arrangements: le nuove Linee Guida EBA per la gestione del rischio terze parti in relazione ai servizi non-ICT

1. Introduzione

Negli ultimi anni il quadro normativo europeo in materia di resilienza operativa ha subito una trasformazione rilevante, accelerata dall’entrata in vigore del Regolamento (UE) 2022/2554, noto come DORA. Tra gli ambiti più impattati emerge la gestione dei fornitori terzi, in particolare quelli che erogano servizi ICT, che si è progressivamente affermata come elemento cruciale per la stabilità operativa degli intermediari finanziari.

A partire da questo punto di svolta, le Autorità di Vigilanza europee (ESAs – EBA, ESMA ed EIOPA) hanno avviato un percorso coordinato volto a rafforzare e armonizzare le regole relative alla gestione del rischio di terze parti. L’obiettivo è creare un framework coerente, capace di affrontare la crescente complessità delle dipendenze operative da fornitori esterni, fenomeno ormai strutturale per il sistema finanziario.

In questo contesto si colloca la bozza delle nuove EBA Guidelines on the sound management of third-party risk (EBA/CP/2025/12), pensate per allineare la disciplina esistente alle disposizioni di DORA e ampliare significativamente l’approccio regolamentare. Le Linee Guida non si limitano a sostituire le precedenti norme sull’outsourcing, ma introducono una visione complessiva della gestione delle relazioni con terze parti, includendo anche servizi non ICT e rafforzando il presidio su un rischio ormai strategico per la continuità operativa e la sostenibilità dei modelli di business.

Il presente contributo analizza le principali innovazioni introdotte e i loro effetti sui modelli organizzativi, sulla governance e sui processi interni delle istituzioni finanziarie, fornendo una chiave di lettura pratica per orientarsi nella fase di adeguamento.

 

2. Evoluzione normativa e calendario regolamentare

EBA ha avviato l’8 luglio 2025 una consultazione pubblica per definire il nuovo impianto normativo sulla gestione del rischio di terze parti, con l’intento di rafforzare governance e resilienza del sistema finanziario europeo. Il framework proposto si inserisce nel solco di DORA ma ne amplia l’ambito, superando l’approccio limitato all’outsourcing e introducendo una visione olistica delle dipendenze da fornitori esterni, sia ICT sia non ICT.

La consultazione si è conclusa l’8 ottobre 2025 con un’ampia partecipazione del mercato. Gli operatori hanno evidenziato diversi punti di attenzione, tra cui:

• chiarimento della definizione di servizio ICT rispetto ai servizi non ICT;
• rischio di un’estensione eccessiva del perimetro applicativo;
• maggiore precisione nella definizione di funzioni critiche o importanti;
• linee guida specifiche per la gestione del rischio infragruppo.

La versione definitiva delle Linee Guida sarebbe attesa entro aprile 2026 ma è probabile uno slittamento. Dopo la pubblicazione è previsto un periodo di adeguamento, incluso un “grace period” di (verosimilmente) due anni per l’aggiornamento dei contratti e del registro delle terze parti.

Le implicazioni normative sono rilevanti:

• superamento delle EBA Guidelines on outsourcing arrangements (2019);
• aggiornamento delle normative nazionali, come la Circolare 285 della Banca d’Italia;
• iniziative convergenti delle altre ESAs: ESMA ha già pubblicato principi sulla supervisione del rischio terze parti, mentre EIOPA ha previsto una revisione dei requisiti di outsourcing nel 2027.

Nel complesso, emerge un percorso pluriennale di armonizzazione normativa, con DORA come fondamento di un approccio integrato alla resilienza operativa del sistema finanziario.

 

3. Innovazioni principali delle nuove Linee Guida EBA

3.1 Ampliamento del perimetro di applicazione

Le nuove Linee Guida estendono sia il perimetro soggettivo sia quello oggettivo. Oltre a banche e imprese di investimento, rientrano ora anche:

• imprese di investimento non classificate come piccole e non interconnesse;
• emittenti di asset-referenced tokens soggetti al regolamento MiCAR;
• creditori finanziari ai sensi della Mortgage Credit Directive.

Parallelamente, la disciplina non si limita più all’outsourcing o ai servizi ICT, ma include l’intero spettro dei Third-Party Arrangements (TPA), ossia qualsiasi accordo con fornitori esterni, inclusi quelli infragruppo. DORA resta la normativa di riferimento per i servizi ICT, mentre le nuove Linee Guida estendono principi analoghi anche ai servizi non ICT, garantendo coerenza regolamentare.

3.2 Funzioni critiche o importanti

Le Linee Guida rafforzano il concetto di funzioni critiche o importanti, coerentemente con DORA. Una funzione è considerata critica quando la sua interruzione può incidere significativamente su stabilità finanziaria, conformità normativa o continuità operativa.

Il concetto si estende anche agli scenari di recovery e resolution, in linea con la direttiva BRRD, ponendo maggiore attenzione alla sostituibilità dei fornitori e alla resilienza complessiva.

3.3 Armonizzazione con il registro DORA

Le Linee Guida introducono la possibilità di un registro unico delle terze parti, che integri servizi ICT e non ICT, superando il registro delle esternalizzazioni. Viene inoltre rafforzata la governance lungo l’intero ciclo di vita degli accordi con i fornitori, con maggiore coinvolgimento delle funzioni di controllo e dell’Internal Audit.

 

4. Impatti operativi e trasformazione organizzativa

Le nuove Linee Guida non richiedono semplicemente un adeguamento formale, ma implicano una revisione sostanziale dei modelli operativi. Gli interventi principali si articolano in quattro aree.

4.1 Evoluzione della governance

Molte istituzioni presentano oggi una gestione frammentata del rischio terze parti. Le Linee Guida richiedono:

• responsabilità interne chiaramente assegnate;
• supervisione attiva del Board;
• una policy formalizzata;
• integrazione nel framework complessivo di risk management.

La sfida principale sarà semplificare la governance, coordinando ruoli diversi (procurement, vendor management, outsourcing, risk management) e garantendo adeguate competenze.

4.2 Integrazione dei processi

Le Linee Guida definiscono un ciclo completo di gestione del rapporto con il fornitore:

• 1. Analisi pre-contrattuale con due diligence e valutazione del rischio.
• 2. Fase contrattuale con clausole rafforzate e KPI audit.
• 3. Monitoraggio continuo con verifiche periodiche e diritti di audit.
• 4. Exit strategy definita e testata.

La difficoltà principale sarà bilanciare standardizzazione e flessibilità, adottando template comuni ma mantenendo adattabilità alle specificità operative.

4.3 Revisione dei contratti

L’adeguamento contrattuale rappresenta uno degli interventi più complessi. Le nuove regole richiedono:

• metriche di performance più stringenti;
• diritti di audit e accesso per l’ente e la vigilanza;
• regole sul subappalto;
• revisione dei contratti esistenti.

La rinegoziazione con fornitori storici potrebbe essere difficile, rendendo necessario prioritizzare i contratti critici, definire strategie negoziali alternative e valutare la razionalizzazione del portafoglio fornitori.

4.4 Strumenti e tecnologie di supporto

Le Linee Guida favoriscono l’evoluzione degli strumenti di Third-Party Risk Management:

• registro unificato dei fornitori;
• sistemi di monitoraggio continuo delle performance;
• integrazione tra piattaforme procurement, GRC, risk e compliance.

La vera sfida sarà evitare duplicazioni tra framework ICT e non ICT e costruire un ecosistema informativo integrato.

 

5. Considerazioni conclusive

Le nuove Linee Guida EBA segnano un cambiamento strutturale, spostando l’attenzione dall’outsourcing alla gestione complessiva del rischio di terze parti. Gli effetti riguarderanno non solo gli intermediari ma anche i fornitori, chiamati ad adeguarsi a standard più rigorosi.

Restano tuttavia alcune aree da considerare:

• discrezionalità nella definizione del perimetro applicativo;
• difficoltà nel garantire condizioni uniformi tra settori;
• assenza di un sistema di supervisione per fornitori critici non ICT (al contrario di quanto previsto da DORA).

Gli operatori che hanno già sviluppato una solida base con DORA partono avvantaggiati, ma l’estensione ai servizi non ICT richiederà ulteriori adattamenti. Il tempo disponibile per l’adeguamento sarà limitato e molte attività possono essere avviate già ora.

Un approccio strategico, orientato oltre la mera compliance, permetterà di trasformare l’obbligo normativo in un’opportunità: maggiore resilienza operativa, riduzione del rischio e rafforzamento della fiducia degli stakeholder, elementi ormai essenziali per la competitività nel sistema finanziario contemporaneo.