+

Hai domande? Scrivici!

I nostri professionisti sono pronti a risolvere i tuoi dubbi.
Scrivici, sarai ricontattato quanto prima!


Nuove Linee Guida EBA 2025 sul rischio da terze parti: panoramica pratica per controlli e vertici aziendali

Alert Normative

Nuove Linee Guida EBA 2025 sul rischio da terze parti: panoramica pratica per controlli e vertici aziendali

La European Banking Authority (EBA) ha pubblicato il draft delle Linee Guida 2025 sulla gestione dei rischi da terze parti (EBA/CP/2025/12), destinate a una vasta platea di enti finanziari vigilati, tra cui:

  • banche (istituti di credito),
  • SIM (Società di Intermediazione Mobiliare, ossia imprese di investimento),
  • SGR (Società di Gestione del Risparmio),
  • istituti di pagamento (IP),
  • istituti di moneta elettronica (IMEL),
  • entità DLT (operatori basati su tecnologie Distributed Ledger),
  • emittenti di token referenziati ad asset (ART) e token di moneta elettronica (EMT),
  • e altri soggetti vigilati rilevanti per le funzioni di controllo.

Queste nuove Linee Guida – pubblicate in consultazione l’8 luglio 2025 – mirano a rafforzare in modo pratico la gestione del rischio derivante da fornitori esterni (“third-party risk management”) da parte di tutti gli enti sopra elencati. Di seguito forniamo una panoramica operativa dei punti chiave delle Linee Guida, con un focus su ciò che funzioni di controllo (come risk management, compliance, internal audit) e vertici aziendali devono sapere per assicurare la conformità e la resilienza operativa.

Contesto e obiettivi delle nuove Linee Guida

Negli ultimi anni le istituzioni finanziarie hanno esternalizzato sempre più attività a fornitori terzi, beneficiando di competenze specialistiche, riduzione di costi e maggiore efficienza. Tuttavia, questa crescente dipendenza da terze parti ha portato nuovi rischi: interruzioni operative, problemi di compliance, e potenziali impatti sistemici sul settore finanziario. Le Linee Guida EBA del 2019 sull’outsourcing già affrontavano questi temi, ma si limitavano al tradizionale concetto di outsourcing (funzioni critiche affidate esternamente) e si applicavano principalmente a banche, alcune imprese di investimento, istituti di pagamento e IMEL

Con l’entrata in vigore del Digital Operational Resilience Act (DORA) a gennaio 2025 (che copre i rischi ICT), l’EBA ha colto l’occasione per rivedere e ampliare tali orientamenti. Le nuove Linee Guida 2025 superano il concetto stretto di outsourcing tradizionale adottando una visione più ampia: quella degli “accordi con terze parti” (third-party arrangements), ovvero tutti gli accordi con fornitori esterni, indipendentemente da natura, durata o appartenza al gruppo In pratica, qualsiasi servizio o attività affidata a terzi – non solo le funzioni critiche in senso stretto – rientra ora nel perimetro di attenzione. L’obiettivo è garantire che le società finanziare rafforzino la governance e i controlli su tutte le relazioni esterne importanti, mantenendo allo stesso tempo resilienza operativa e evitando che l’ente diventi dipendente al punto da perdere competenze chiave internamente.

Ambito di applicazione e destinatari

Le Linee Guida aggiornate si applicano esclusivamente ai servizi non-ICT forniti da terze parti, completando così il quadro normativo insieme al DORA che invece disciplina i servizi ICT. In sostanza, DORA copre i rischi ICT, mentre queste Linee Guida coprono tutti gli altri tipi di esternalizzazioni (operazioni, back-office, servizi consulenziali, ecc.), creando un approccio integrato per la gestione del rischio operativo da terze parti.

Rispetto al passato, l’ambito dei destinatari risulta significativamente esteso. Oltre a banche e imprese di investimento (SIM) già coperte nel 2019, ora rientrano formalmente nel perimetro anche categorie come:

  • Istituti di Pagamento e Istituti di Moneta Elettronica, che già seguivano prassi di outsourcing ma ora vedono esplicitati gli obblighi;
  • Emittenti di token referenziati ad asset (ART) e token di moneta elettronica (EMT), ossia gli emittenti di cosiddetti stablecoin regolamentati dal MiCAR, che per la prima volta sono inclusi nelle Linee Guida EBA;
  • Altri operatori finanziari non bancari prima non coperti, ad esempio alcuni creditori sotto la Direttiva sul Credito Immobiliare (MCD) e potenzialmente entità innovative basate su DLT.

Questa ampia lista riflette l’intento di uniformare le prassi di Third-Party Risk Management in modo trasversale a tutto il settore finanziario vigilato. In pratica, qualsiasi soggetto vigilato che affidi funzioni o servizi a fornitori esterni non ICT dovrà adeguarsi a queste indicazioni. Le funzioni di controllo interne (risk management, compliance, IT risk, ecc.) di ciascun ente dovranno quindi aggiornare le proprie policy e procedure di esternalizzazione, tenendo conto dei nuovi requisiti, e coinvolgere attivamente il board aziendale nella supervisione di tali rischi.

Principali novità e requisiti delle Linee Guida

Le nuove Linee Guida EBA sulla gestione dei rischi da terze parti introducono una serie di novità sostanziali e di requisiti pratici che gli enti destinatari dovranno implementare. Riassumiamo di seguito i punti chiave in ottica operativa:

  • Definizione ampia di “accordo con terze parti” – Viene adottato un approccio onnicomprensivo: non si parla più solo di outsourcing classico, ma di qualsiasi accordo con fornitori terzi di servizi o attività. Ogni relazione esterna rilevante, indipendentemente dal fatto che il fornitore sia del gruppo o esterno, lungo termine o temporaneo, ICT (escluso per DORA) o non ICT, viene considerata ai fini del risk management. Questo implica che anche forniture di servizi minori potrebbero richiedere valutazioni di rischio, se ritenute importanti per l’operatività. Le aziende dovranno mappare tutti i loro fornitori e contratti in essere per identificare quali rientrano nel nuovo perimetro.
  • Identificazione di funzioni critiche o importanti – Vengono introdotti criteri armonizzati per individuare le cosiddette funzioni essenziali o importanti (critical or important functions) all’interno dell’ente. Se una funzione è giudicata critica o importante per il profilo di rischio e l’operatività dell’ente, la sua esternalizzazione comporta obblighi più stringenti. In particolare, per tali funzioni occorre effettuare una accurata valutazione dei rischi e due diligence sul fornitore, inserire clausole contrattuali dettagliate (es. diritti di accesso, audit, subappalto limitato, conformità normativa), predisporre piani di uscita e strategie di exit per gestire eventuali interruzioni. L’idea è assicurarsi che, se attività critiche sono affidate fuori, l’ente abbia comunque sotto controllo i rischi e sia preparato a soluzioni alternative in caso di problemi.
  • Ruolo e responsabilità dell’organo di gestione (Board) – Le Linee Guida ribadiscono fortemente che la responsabilità ultima rimane in capo all’ente finanziario, cioè al suo Consiglio di Amministrazione o organo dirigente. Il board deve approvare una politica interna sulla gestione dei rischi da terze parti e ricevere reporting periodico sullo stato delle esternalizzazioni critiche. È richiesto di garantire che l’azienda disponga di risorse adeguate (personale, competenze, strumenti) per gestire e controllare efficacemente tutti i rischi derivanti da accordi esterni. Inoltre, si vieta esplicitamente di trasformarsi in “scatole vuote” (empty shells): un ente finanziario non deve esternalizzare così tanto (o in modo tale da perdere le funzioni essenziali) da diventare un guscio privo di sostanza operativa. In pratica, i vertici aziendali dovranno mantenere il controllo sull’operatività e non affidare mai completamente all’esterno funzioni strategiche senza conservare capacità interne di supervisione e decisione.
  • Maggiore attenzione ai fornitori in Paesi terzi (non UE) – Se il fornitore esterno ha sede al di fuori dell’Unione Europea, l’ente dovrà assicurare il pieno rispetto dei requisiti normativi comunitari e la possibilità di controllo da parte delle autorità di vigilanza europee. In altre parole, i contratti e le valutazioni dovranno considerare aspetti come: tutela dei dati personali e segreto professionale secondo gli standard UE, accessibilità alle informazioni per il cliente e per il regolatore, possibilità per l’Autorità di vigilare e ottenere dati dal fornitore estero. Ciò potrebbe tradursi in clausole contrattuali specifiche o nell’esclusione di fornitori extra-UE se non danno sufficienti garanzie. Le funzioni di compliance dovranno valutare con attenzione i rischi giuridici e operativi transfrontalieri prima di esternalizzare fuori dall’UE.
  • Gestione del rischio di concentrazione – Le nuove Linee Guida pongono enfasi sul concentration risk, cioè il rischio derivante dall’eccessiva dipendenza da pochi fornitori chiave nel sistema. Ad esempio, se molte banche e finanziarie si appoggiano allo stesso provider per un certo servizio critico, un problema su quel provider potrebbe avere impatti a cascata. Viene richiesto agli enti di monitorare quanta parte delle proprie funzioni critiche è affidata a uno stesso fornitore e valutare piani di emergenza se questo fornitore diventasse indisponibile. Allo stesso tempo, le Autorità di vigilanza sono chiamate a sorvegliare le concentrazioni a livello di sistema finanziario, analizzando i registri delle esternalizzazioni per identificare fornitori particolarmente sistemici (ad esempio importanti società di outsourcing di massa servizi finanziari). Questo focus significa che anche internamente le aziende dovrebbero evitare di “mettere tutte le uova nello stesso paniere” in termini di terze parti critiche, diversificando quando possibile i fornitori o preparando misure di backup.
  • Registro delle esternalizzazioni e documentazione – Gli enti dovranno mantenere un registro aggiornato di tutti gli accordi con terze parti, con informazioni chiave su ciascun fornitore e contratto. La novità è che l’EBA vuole assicurare coerenza con il registro previsto da DORA per i servizi ICT, consentendo la possibilità di un registro unico che includa sia fornitori ICT (gestiti sotto DORA) sia fornitori non-ICT. Questo approccio semplifica la vita alle funzioni di controllo: invece di gestire due database separati, si potrà tenere un’unica base dati centralizzata di tutti i fornitori esterni, marcando quali sono ICT (soggetti a DORA) e quali no. Nel registro andranno indicati, per ogni accordo, elementi come: nome del fornitore, funzione/servizio esternalizzato, data inizio e fine contratto, se la funzione è critica o importante, paese in cui opera il fornitore, eventuali subappaltatori, ecc. (con dettaglio maggiore proprio per i servizi critici). Questo registro diventerà uno strumento fondamentale sia per il monitoraggio interno dei rischi di terze parti, sia per eventuali richieste ispettive delle Autorità. Inoltre, per ridurre l’onere amministrativo, le Linee Guida introducono il principio di proporzionalità: gli enti più piccoli o con esternalizzazioni limitate dovranno documentare le informazioni in modo proporzionato alla loro dimensione e complessità, evitando eccessivi appesantimenti burocratici.
  • Proporzionalità negli obblighi – In linea generale, tutti i requisiti sopra descritti dovranno essere applicati in maniera proporzionata alla natura, complessità e dimensione dell’ente e delle sue attività. Le Linee Guida forniscono criteri per applicare il principio di proporzionalità: ad esempio, un piccolo istituto di pagamento avrà procedure semplificate rispetto a una grande banca sistemica. Anche il livello di dettaglio della documentazione (es. contenuto del registro, formalità nei contratti) è calibrato per non gravare eccessivamente sugli enti minori, pur garantendo che i rischi siano gestiti adeguatamente. Le Autorità di vigilanza terranno conto di questo principio nel valutare l’applicazione delle Linee Guida, aspettandosi comunque che anche i player più piccoli abbiano almeno le basi di controllo sui propri fornitori critici.

Interazione con DORA (Digital Operational Resilience Act)

Un aspetto fondamentale da comprendere è come queste Linee Guida si integrano con il Regolamento DORA, entrato in applicazione nel gennaio 2025. In breve: DORA si occupa dei rischi ICT e dei fornitori di servizi tecnologici, mentre le Linee Guida EBA 2025 coprono tutti gli altri rischi da terze parti non-ICT. L’aggiornamento proposto chiarisce infatti che le esternalizzazioni ICT escono dal campo di applicazione delle Linee Guida EBA, essendo già disciplinate dal DORA. Di conseguenza, un contratto con un fornitore cloud o un servizio IT critico seguirà le regole DORA (ad esempio per quanto riguarda notifiche di incidenti, obblighi contrattuali ICT, ecc.), mentre un contratto con un fornitore di servizi operativi non-ICT (es. gestione documentale, call center, consulenza, servizi di back-office) seguirà le indicazioni di queste Linee Guida.

Nonostante la separazione tra ambiti ICT e non-ICT, EBA ha lavorato per garantire coerenza tra i due quadri normativi. Molti principi sono allineati: la necessità di identificare le funzioni critiche, la governance sui fornitori, i requisiti contrattuali essenziali e il mantenimento di un registro delle esternalizzazioni sono concetti presenti sia in DORA (per ICT) sia in queste Linee Guida (per non ICT). Inoltre, come visto, è lasciata facoltà agli enti di utilizzare un unico registro integrato per tutte le terze parti, il che favorisce un approccio olistico alla resilienza operativa.

In pratica, grazie a DORA e a queste Linee Guida combinate, le istituzioni finanziarie avranno un framework completo di gestione dei rischi operativi legati a terzi: DORA tutela la resilienza digitale (cybersecurity, sistemi informativi, cloud computing, etc.), mentre le Linee Guida EBA 2025 assicurano che anche outsourcing e forniture non digitali (es. processi di business, attività esternalizzate tradizionali) siano gestiti con rigore. Per i vertici aziendali e le funzioni di controllo, ciò significa dover integrare entrambe le dimensioni nei propri programmi di gestione del rischio: ad esempio, i Comitati Rischi e Comitati ICT dovranno collaborare strettamente per tenere sotto controllo tutti i fornitori critici dell’ente, senza lasciare zone d’ombra.

Tempistiche di adeguamento e prossimi passi

Le Linee Guida EBA 2025 sulle terze parti sono attualmente in fase di consultazione pubblica fino all’8 ottobre 2025. Dopo tale data, l’EBA finalizzerà il testo tenendo conto dei commenti ricevuti e lo pubblicherà definitivamente (indicativamente entro alcuni mesi dalla chiusura della consultazione). Una volta emanate in forma definitiva, le Linee Guida entreranno in vigore dopo un periodo di implementazione che sarà specificato dall’EBA – secondo il draft, si applicheranno ai nuovi accordi con terze parti stipulati dopo la data di entrata in vigore, mentre per gli accordi già esistenti è previsto un periodo transitorio di 2 anni per adeguarsi. Ciò significa che gli enti finanziari avranno fino a due anni per rivedere tutti i contratti e le relazioni esterne in essere, aggiornarli in linea con le nuove regole (es. aggiungendo clausole mancanti, effettuando nuove due diligence, aggiornando il registro non-ICT) e, se necessario, rinegoziare o cessare accordi non più conformi.

È consigliabile che fin da subito le funzioni di controllo inizino a prepararsi all’adeguamento. In particolare, come passi pratici iniziali:

  1. Mappare tutte le terze parti utilizzate dall’ente (ICT e non) e classificare le funzioni/servizi forniti, identificando quelli potenzialmente critici o importanti.
  2. Verificare le clausole contrattuali esistenti con i principali fornitori non-ICT, identificando se mancano aspetti richiesti (es. diritto di audit, obblighi di conformità a norme UE, sub-outsourcing, piani di exit).
  3. Rafforzare la governance interna: aggiornare o predisporre una policy aziendale sul Third-Party Risk Management, definire ruoli e responsabilità (assicurando coinvolgimento del CDA e delle funzioni di controllo), e stabilire flussi informativi periodici sui rischi da terze parti.
  4. Implementare/aggiornare il registro delle esternalizzazioni: raccogliere tutti i dati necessari sui fornitori e predisporre un database (possibilmente integrato con quello dei fornitori ICT per DORA) che consenta un monitoraggio centralizzato.
  5. Formare e sensibilizzare le unità di business: assicurarsi che chiunque nell’organizzazione intenda affidare attività a un fornitore esterno segua le nuove linee guida interne, sottoponendo la decisione a valutazione di rischio e approvazione secondo la procedura.

Seguendo questi passi, gli enti potranno trovarsi pronte quando le Linee Guida diverranno effettive, minimizzando lo sforzo di adattamento durante il periodo transitorio. Ricordiamo che lo scopo ultimo di queste regole non è burocratico, bensì aumentare la resilienza e la sicurezza operativa delle istituzioni finanziarie in un contesto dove l’ecosistema di fornitori esterni è sempre più esteso e strategico. Una gestione sana e prudente dei rischi di terze parti, infatti, protegge non solo la singola azienda da interruzioni e criticità, ma tutela anche i clienti e l’intero sistema finanziario da potenziali effetti domino.

In conclusione, le Linee Guida EBA 2025 sul rischio da terze parti rappresentano un importante tassello nel quadro normativo europeo: esse integrano DORA e aggiornano le prassi di outsourcing, chiedendo alle banche e agli altri operatori vigilati di fare un salto di qualità nella gestione dei propri fornitori. Per i vertici aziendali e le funzioni di controllo, la sfida sarà tradurre questi principi in processi interni efficienti, sfruttandoli anche come opportunità per rivedere strategie, contratti e fornitori in un’ottica di maggiore efficienza e robustezza operativa. Affrontare per tempo questo adeguamento normativo, con un approccio pratico e ben organizzato, consentirà alle organizzazioni finanziarie di mitigare i rischi nascosti nelle proprie filiere di fornitura e di allinearsi alle migliori prassi di mercato sulla continuità operativa e la gestione del rischio. In definitiva, una solida gestione del rischio da terze parti diventerà parte integrante della buona governance aziendale e un fattore di fiducia per clienti, investitori e Autorità di vigilanza nell’era post-DORA.

Fonti:

  • EBA, Consultation Paper on Draft Guidelines on the sound management of third-party risk (EBA/CP/2025/12)

Sede di Milano

Via Vincenzo Monti, 8 - 20123 Milano
(+39) 02 87186784

Recapiti Email