Articolo 31 – Designazione dei fornitori terzi critici di servizi TIC

Sintesi Articolo 31

Le Autorità di Vigilanza Europee (ESAs) sono responsabili di designare quali fornitori di servizi di terze parti TIC sono cruciali per le entità finanziarie. Questa designazione si basa su un insieme di criteri che valutano l’impatto sistemico e la sostituibilità di questi fornitori. Una volta designati, viene nominata un’Autorità di Sorveglianza Capofila per gestire i rapporti. I fornitori cruciali sono soggetti a attività di vigilanza e devono notificare ai loro clienti entità finanziarie il loro stato cruciale. Le ESAs pubblicheranno e aggiorneranno annualmente un elenco di questi fornitori cruciali. I fornitori non presenti nell’elenco possono richiedere lo stato cruciale e quelli con sede in paesi terzi devono istituire una filiale nell’UE.

  1. Le AEV, tramite il comitato congiunto e su raccomandazione del forum di sorveglianza istituito ai sensi dell’articolo 32, paragrafo 1:
    • a) designano i fornitori terzi di servizi TIC che sono critici per le entità finanziarie, a seguito di una valutazione che tiene conto dei criteri di cui al paragrafo 2;
    • b) nominano quale autorità di sorveglianza capofila di ciascun fornitore terzo critico di servizi TIC la AEV che è responsabile, a norma dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010, delle entità finanziarie che possiedono complessivamente la quota maggiore delle attività totali rispetto al valore delle attività totali di tutte le entità finanziarie che utilizzano i servizi del pertinente fornitore terzo critico di servizi TIC, secondo quanto risulta dalla somma dei singoli bilanci di quelle entità finanziarie.
  2. La designazione di cui al paragrafo 1, lettera a), si fonda su tutti i criteri indicati di seguito in relazione ai servizi TIC prestati da un fornitore terzo di servizi TIC:
    • a) l’impatto sistemico sulla stabilità, la continuità o la qualità della fornitura di servizi finanziari qualora il fornitore terzo di servizi TIC pertinente sia interessato da una disfunzione operativa su vasta scala che gli impedisca di fornire i suoi servizi, tenendo conto del numero di entità finanziarie e del valore totale delle attività delle entità finanziarie cui quel fornitore terzo di servizi TIC presta servizi;
    • b) il carattere sistemico o l’importanza delle entità finanziarie che dipendono da quel fornitore terzo di servizi TIC, valutati in conformità dei parametri seguenti:
      • i) il numero di enti a rilevanza sistemica a livello globale (G-SII) o di altri enti a rilevanza sistemica (O-SII) che dipendono dal rispettivo fornitore terzo di servizi TIC;
      • ii) l’interdipendenza tra i G-SII o gli O-SII di cui al punto i) e altre entità finanziarie, comprese le situazioni in cui i G-SII o gli O-SII prestano servizi finanziari infrastrutturali ad altre entità finanziarie;
    • c) la dipendenza delle entità finanziarie dai servizi prestati dal pertinente fornitore terzo di servizi TIC in rapporto alle funzioni essenziali o importanti delle entità finanziarie che in ultima analisi coinvolgono quel medesimo fornitore terzo di servizi TIC, indipendentemente dal fatto che le entità finanziarie dipendano da tali servizi direttamente o indirettamente, mediante accordi di subappalto;
    • d) il grado di sostituibilità del fornitore terzo di servizi TIC, prendendo in considerazione i parametri seguenti:
      • i) la mancanza di alternative reali, anche parziali, dovuta al limitato numero di fornitori terzi di servizi TIC attivi su un mercato specifico, alla quota di mercato del fornitore terzo di servizi TIC in questione, o ancora alla complessità tecnica o al grado di sofisticazione, anche in relazione a eventuali tecnologie proprietarie, o alle caratteristiche specifiche dell’organizzazione o dell’attività del fornitore terzo di servizi TIC;
      • ii) difficoltà inerenti alla migrazione, totale o parziale, dei dati e dei carichi di lavoro dal fornitore terzo di servizi TIC pertinente a un altro, a causa dei cospicui costi finanziari, del tempo o di altre risorse che possono essere necessarie per il processo di migrazione, oppure dei maggiori rischi informatici o di altri rischi operativi cui l’entità finanziaria può esporsi a causa di tale migrazione.
  3. Laddove il fornitore terzo di servizi TIC appartenga a un gruppo, i criteri di cui al paragrafo 2 sono presi in considerazione in relazione ai servizi TIC prestati dal gruppo nel suo insieme.
  4. I fornitori terzi critici di servizi TIC che fanno parte di un gruppo designano una persona giuridica come punto di coordinamento per garantire un’adeguata rappresentanza e la comunicazione con l’autorità di sorveglianza capofila.
  5. L’autorità di sorveglianza capofila informa il fornitore terzo di servizi TIC in merito all’esito della valutazione che ha portato alla designazione di cui al paragrafo 1, lettera a). Entro sei settimane dalla data della notifica, il fornitore terzo di servizi TIC può presentare all’autorità di sorveglianza capofila una dichiarazione motivata contenente tutte le informazioni pertinenti ai fini della valutazione. L’autorità di sorveglianza capofila esamina la dichiarazione motivata e può richiedere ulteriori informazioni da presentare entro 30 giorni di calendario dal ricevimento di detta dichiarazione. Dopo aver designato un fornitore terzo di servizi TIC come critico, le AEV, tramite il comitato congiunto, notificano al fornitore terzo di servizi TIC tale designazione e la data di inizio a partire dalla quale sarà effettivamente soggetto ad attività di sorveglianza. La data di inizio è fissata a non più di un mese dall’avvenuta notifica. Il fornitore terzo di servizi TIC notifica alle entità finanziarie a cui presta servizi la propria designazione come critico.
  6. Alla Commissione è conferito il potere di adottare un atto delegato, conformemente all’articolo 57, per integrare il presente regolamento specificando ulteriormente i criteri di cui al paragrafo 2 del presente articolo, entro il 17 luglio 2024.
  7. Il meccanismo di designazione di cui al paragrafo 1, lettera a), non è utilizzato fino a quando la Commissione non abbia adottato un atto delegato in conformità del paragrafo 6.
  8. Il meccanismo di designazione di cui al paragrafo 1, lettera a), non si applica:
    • i) alle entità finanziarie che forniscono servizi TIC ad altre entità finanziarie;
    • ii) ai fornitori terzi di servizi TIC che sono soggetti a quadri di sorveglianza istituiti a supporto dei compiti di cui all’articolo 127, paragrafo 2, del trattato sul funzionamento dell’Unione europea;
    • iii) ai fornitori intragruppo di servizi TIC;
    • iv) ai fornitori terzi di servizi TIC che prestano servizi TIC unicamente in uno Stato membro a entità finanziarie attive solo in tale Stato membro.
  9. Le AEV, tramite il comitato congiunto, redigono, pubblicano e aggiornano ogni anno l’elenco dei fornitori terzi critici di servizi TIC a livello di Unione.
  10. Ai fini del paragrafo 1, lettera a), le autorità competenti, con cadenza annuale e in forma aggregata, trasmettono le relazioni di cui all’articolo 28, paragrafo 3, terzo comma, al forum di sorveglianza istituito ai sensi dell’articolo 32. Il forum di sorveglianza valuta la dipendenza delle entità finanziarie da terzi nel settore delle TIC sulla base delle informazioni ricevute dalle autorità competenti.
  11. I fornitori terzi di servizi TIC che non sono inseriti nell’elenco di cui al paragrafo 9 possono chiedere di essere designati come critici conformemente al paragrafo 1, lettera a). Ai fini del primo comma, il fornitore terzo di servizi TIC presenta una domanda motivata all’ABE, all’ESMA o all’EIOPA; queste ultime, tramite il comitato congiunto, decidono se designare tale fornitore terzo di servizi TIC come critico conformemente al paragrafo 1, lettera a). La decisione di cui al secondo comma è adottata e notificata al fornitore terzo di servizi TIC entro sei mesi dalla data in cui è stata ricevuta la domanda.
  12. Le entità finanziarie ricorrono ai servizi di un fornitore terzo di servizi TIC stabilito in un paese terzo e che è stato designato come critico conformemente al paragrafo 1, lettera a), soltanto se detto fornitore ha istituito un’impresa figlia nell’Unione entro 12 mesi dalla designazione.
  13. Il fornitore terzo critico di servizi TIC di cui al paragrafo 12 notifica all’autorità di sorveglianza capofila eventuali cambiamenti nella struttura gestionale dell’impresa figlia istituita nell’Unione.

Tutti gli articoli