1 min read

di Nadia Denisi

Avvocato e PhD

La BCE avvia oggi una consultazione pubblica sulla nuova Guide on outsourcing cloud services to cloud service providers.

La Guida mira a chiarire sia la comprensione da parte della BCE dei relativi requisiti legali, sia le sue aspettative nei confronti delle banche su cui vigila. Ciò renderà la vigilanza più coerente e contribuirà a garantire condizioni di parità per tutte le banche. La Guida si basa sui rischi e sulle migliori pratiche osservate dai team di vigilanza congiunta nel contesto della vigilanza continua e delle ispezioni in loco dedicate.

Le banche utilizzano sempre più spesso servizi di cloud computing offerti da fornitori di servizi terzi. Questi servizi sono potenzialmente più economici, più flessibili e più sicuri, ma la dipendenza da terzi può anche esporre le banche a rischi, ad esempio per quanto riguarda la sicurezza informatica e le possibili interruzioni dell’attività. Ad esempio, se una banca non può sostituire facilmente i servizi esternalizzati in caso di guasto, le sue funzioni potrebbero essere interrotte. Inoltre, il mercato dei servizi cloud è altamente concentrato, con molte banche che si affidano a pochi fornitori di servizi situati in Paesi extraeuropei. Pertanto, la BCE ritiene che sia buona prassi per le banche prendere esplicitamente in considerazione questi rischi.

Inoltre, la BCE ha individuato diverse vulnerabilità negli accordi di esternalizzazione informatica delle banche durante il processo di revisione e valutazione prudenziale 2023. Di conseguenza, la gestione del rischio di terzi, compreso l’outsourcing del cloud, rimane in cima alla lista delle priorità di vigilanza della BCE per il periodo 2024-2026.

Nel tentativo di migliorare la gestione dei rischi legati all’ ICT, i legislatori dell’UE hanno introdotto il Digital Operational Resilience Act (DORA), sottolineando la necessità di mitigare in modo proattivo i rischi che potrebbero portare all’interruzione di funzioni o servizi critici. Atti giuridici come il DORA e la Direttiva sui requisiti patrimoniali (CRD) richiedono alle banche di istituire una governance efficace dei rischi derivanti dall’esternalizzazione, nonché di creare quadri di riferimento per la sicurezza informatica e la resilienza informatica. La Guida illustra la comprensione della BCE di queste norme specifiche e la loro applicazione alle banche su cui vigila.


Governance of cloud services
Availability and resilience of cloud services
ICT security, data confidentiality and integrity
Exit strategy and terminationrights
Oversight, monitoring and internal audits


La consultazione pubblica sulla Guida all’esternalizzazione dei servizi cloud inizia oggi e termina il 15 luglio 2024.

La BCE pubblicherà successivamente i commenti ricevuti, insieme a una dichiarazione di feedback e alla Guida finale.

Seguici sui social: