La Guida mira a chiarire sia la visione della BCE dei relativi requisiti giuridici sia le sue aspettative nei confronti delle banche da essa vigilate. Ciò renderà la vigilanza più coerente contribuendo nel contempo a garantire condizioni di parità per tutte le banche. La guida si basa sui rischi e sulle migliori pratiche osservati dai gruppi di vigilanza congiunti nel contesto della vigilanza continua e delle ispezioni dedicate.
Le banche utilizzano sempre più i servizi di cloud computing offerti da fornitori di servizi terzi. Questi servizi sono potenzialmente più economici, più flessibili e più sicuri, ma anche la dipendenza da terzi può esporre le banche a rischi, ad esempio per quanto riguarda la sicurezza informatica e possibili interruzioni dell’attività. Inoltre, il mercato dei servizi cloud è altamente concentrato, con molte banche che si affidano solo a pochi fornitori di servizi situati in paesi extraeuropei. Pertanto, la BCE ritiene che sia una buona pratica che le banche prendano esplicitamente in considerazione questi rischi.
La BCE ha individuato varie vulnerabilità negli accordi di esternalizzazione informatica delle banche durante il processo di revisione e valutazione prudenziale del 2023. Conseguentemente la gestione del rischio di terze parti, compreso l’outsourcing del cloud, rimane in cima alla lista delle priorità di vigilanza della BCE per il periodo 2024-2026 .
Nel tentativo di migliorare la gestione dei rischi legati alle ICT, i legislatori dell’UE hanno introdotto il Digital Operational Resilience Act (DORA), evidenziando la necessità di mitigare in modo proattivo i rischi che potrebbero portare all’interruzione di funzioni o servizi critici. Atti giuridici come la DORA e la Direttiva sui requisiti patrimoniali richiedono alle banche di stabilire una governance efficace del rischio derivante dall’outsourcing, nonché di creare quadri per la sicurezza informatica e la resilienza informatica. La Guida delinea il modo in cui la BCE interpreta queste norme specifiche e il modo in cui si applicano alle banche vigilate.
La consultazione terminerà il 15 luglio 2024.
