Clicca qui per leggere la versione inglese | Clicca qui per leggere la versione tedesca
Le società finanziarie collaborano sempre più con fornitori di servizi terzi per accedere a competenze specializzate, ridurre i costi e migliorare scalabilità ed efficienza. Sebbene ciò consenta di concentrarsi sulle attività core, la crescente dipendenza introduce rischi significativi per le entità finanziarie, i loro clienti e potenzialmente per l’intero sistema finanziario.
In risposta, l’Autorità Bancaria Europea (EBA) ha aperto l’8 luglio 2025 una consultazione sulle Bozze delle Linee guida sulla sana gestione del rischio di terze parti (le “Linee guida”), conclusa l’8 ottobre 2025. Le Linee guida mirano a sostituire le Linee guida EBA del 2019 sull’esternalizzazione e a fornire un quadro unico a livello europeo per la gestione del rischio di terze parti non legato alle tecnologie dell’informazione e comunicazione (non ICT), da attuarsi secondo il principio del comply or explain entro due anni.1
Le Linee guida mirano a promuovere pratiche di vigilanza coerenti, efficienti ed efficaci, garantendo un’applicazione uniforme del diritto dell’UE nel settore finanziario e completando i quadri normativi esistenti, tra cui la Capital Requirements Directive (CRD) e la Bank Recovery and Resolution Directive (BRRD).
Ancora più importante, queste Linee guida sono progettate per allinearsi al Digital Operational Resilience Act (DORA), che si concentra sul rischio ICT di terze parti, armonizzando terminologia e pratiche affinché le imprese possano gestire il rischio di terze parti anche oltre l’ambito ICT. Esse riflettono inoltre gli standard internazionali del Financial Stability Board (FSB) e del Basel Committee on Banking Supervision (BCBS), assicurando coerenza globale.
Le Linee guida ampliano la portata delle Linee guida EBA del 2019 sull’esternalizzazione, estendendola oltre gli istituti di credito e le imprese di investimento, includendo gli Istituti di Pagamento e di Moneta Elettronica, gli Emittenti di Asset Reference Tokens e i Creditori Ipotecari. Sono invece esclusi gli intermediari del credito e i fornitori di servizi di informazione sui conti registrati unicamente ai sensi della PSD2 (Allegato I, Servizio 8).
Le Linee guida EBA sono state progettate per affiancarsi al DORA, che si concentra sul rischio ICT di terze parti, allineando terminologia e pratiche per la gestione del rischio di terzeparti anche oltre l’ambito ICT.
Implicazioni per le imprese
Le Linee guida ampliano in modo significativo la portata della supervisione sui terzi, richiedendo alle imprese di estendere i registri informativi esistenti per includere tutti gli accordi con terze parti, compresi i servizi non ICT che in precedenza potevano non essere sottoposti a controllo normativo.
Questi registri potenziati devono essere coerenti con quelli previsti dal DORA e fornire un inventario chiaro e documentato di tutti gli accordi con terze parti non ICT, comprensivo di descrizione del servizio, criticità, esposizione al rischio e dipendenze da sub fornitori.
La valutazione di proporzionalità opera insieme all’identificazione delle Funzioni Critiche o Importanti (Critical or Important Functions – CIFs), garantendo che il livello della supervisione rifletta non solo l’importanza del servizio, ma anche la sua complessità, la sostituibilità e l’impatto potenziale sul mercato.
Le imprese dovranno rafforzare i processi di due diligence e onboarding con una gamma più ampia di valutazioni del rischio, includendo non solo fattori operativi, legali e di continuità, ma anche ulteriori rischi quali credito, mercato, ESG e AML/CFT.
Gli accordi contrattuali con terze parti non ICT dovranno essere rivisti e aggiornati per garantire la presenza di clausole adeguate alla mitigazione del rischio, differenziando tra accordi che supportano CIF e quelli che non lo fanno.
Le Linee guida pongono particolare enfasi sulla valutazione e monitoraggio del rischio di concentrazione, inclusa la dipendenza da un singolo fornitore o sub fornitore difficilmente sostituibile, oppure la presenza di molteplici accordi con terze parti appartenenti allo stesso gruppo o strettamente collegati.
Le imprese sono inoltre tenute a testare scenari di uscita e transizione per i fornitori di materiali, garantendo misure di emergenza credibili e attuabili.
Nel complesso, queste aspettative segnano un passaggio verso un approccio più olistico, basato su principi e sensibile al rischio, integrando una supervisione completa delle terze parti all’interno dei quadri di governance e resilienza operativa.
Per soddisfare le aspettative delle Linee guida, le imprese dovranno adottare un approccio strutturato earmonizzato al rischio di terze parti, allineando gli ambiti ICT e non‑ICT.
Oltre alla conformità normativa, Il quadro proposto offre vantaggi strategici significativi, standardizzando le pratiche di governance e risk management nelle relazioni con terze parti, consentendo maggiore controllo e trasparenza sulle funzioni critiche e migliorando la comprensione dei rischi intrinseci.
I modelli avanzati di pianificazione delle contingenze e degli scenari offrono una visione più chiara delle potenziali azioni da intraprendere in caso di interruzioni operative, consentendo una risposta e un ripristino più efficaci.
Nel complesso, le Linee guida favoriscono un modello operativo più resiliente e trasparente, aiutando le imprese a gestire le dipendenze da terze parti con maggiore sicurezza e agilità.
Come può aiutare Capco
Per soddisfare le aspettative delle Linee guida entro il periodo di transizione di due anni, le imprese dovranno adottare un approccio strutturato e armonizzato al rischio di terze parti.
Un primo passo fondamentale è condurre una valutazione di maturità del framework e del modello operativo esistenti in relazione alle Linee guida e alle best practice di settore, identificando lacune e aree in cui governance e documentazione possono essere armonizzate tra domini ICT e non ICT.
Capco supporta le imprese nell’esecuzione di queste revisioni, garantendo una valutazione coerente e una classificazione trasparente degli accordi con terze parti.
L’adattamento dei contratti non ICT esistenti sarà essenziale per colmare eventuali lacune, assicurando che le clausole contrattuali siano adeguatamente aggiornate ai fini della conformità.
Supportiamo inoltre la revisione contrattuale per mitigare il rischio e potenziamo le capacità per rafforzare la supervisione del sub appalto, del rischio di concentrazione e delle strategie di uscita.
Parallelamente, possiamo contribuire a migliorare l’efficacia degli ambienti di controllo, integrando il principio di proporzionalità nelle attività di onboarding, nelle valutazioni del rischio, nelle due diligence e nel monitoraggio continuo.
Sfruttando tecnologie e soluzioni abilitate dall’intelligenza artificiale, Capco supporta i clienti nella maturazione e automazione dei loro framework e flussi di lavoro per la gestione del rischio di terze parti, migliorando efficienza, efficacia e tracciabilità ai fini di audit.
Grazie a questi miglioramenti, le imprese possono ottenere una piena conformità normativa, ma anche un approccio lungimirante e resiliente alla governance e al controllo delle terze parti.
Contenuti Correlati
Contattaci
Per saperne di più su come collaborare con Capco e su come possiamo aiutarti ad affrontare ogni possibile sfida, contatta i nostri esperti attraverso il modulo che trovi qui sotto.