Parere del Comitato economico e sociale europeo su:

«Proposta di regolamento del Parlamento europeo e del Consiglio relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014 e (UE) n. 909/2014»

[COM(2020) 595 final — 2020/0266 (COD)]

«Proposta di direttiva del Parlamento europeo e del Consiglio che modifica le direttive 2006/43/CE, 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341»

[COM(2020) 596 final — 2020/0268 (COD)]

(2021/C 155/06)

Relatore:

Antonio GARCÍA DEL RIEGO

Consultazione	Parlamento europeo, 17.12.2020 Consiglio dell'Unione europea, 22/12/2020
Base giuridica	Artt. 53, paragrafo 1, 114, paragrafo 1, e 304 del TFUE
Sezione competente	Unione economica e monetaria, coesione economica e sociale
Adozione in sezione	12.2.2021
Adozione in sessione plenaria	24.2.2021
Sessione plenaria n.	558
Esito della votazione (favorevoli/contrari/astenuti)	243/1/4

1.    Conclusioni e raccomandazioni

1.1.

Il Comitato economico e sociale europeo (CESE) accoglie con favore la proposta presentata dalla Commissione europea sulla resilienza operativa digitale (Digital Operational Resilience — DORA), dal momento che essa mira a fare chiarezza sotto il profilo giuridico in merito alle disposizioni sui rischi riguardanti le tecnologie dell'informazione e della comunicazione (TIC), a ridurre la complessità normativa, a definire una serie di norme comuni per attenuare i rischi correlati alle TIC e a favorire un approccio armonizzato alla vigilanza, garantendo nel contempo la certezza del diritto e le necessarie salvaguardie per le imprese finanziarie e i fornitori di TIC. La proposta in esame non soltanto rafforza la resilienza del settore ai rischi connessi alle TIC, ma rientra anche negli interessi di diversi portatori di interessi, tra cui i clienti, gli investitori e i lavoratori, e contribuisce a realizzare uno sviluppo sostenibile.

1.2.

Il CESE raccomanda di migliorare l'efficacia della proposta tramite le azioni descritte di seguito.

1.2.1.

Includere nell'ambito di applicazione della proposta sulla resilienza operativa digitale qualsiasi fornitore di servizi finanziari critici che sviluppi attività finanziarie ed escluderne l'utilizzo di servizi TIC per funzioni non critiche.

1.2.2.

Garantire la coerenza in termini di definizioni e di ambito di applicazione tra la proposta sulla resilienza operativa digitale e i requisiti definiti negli orientamenti in vigore emanati dalle autorità europee di vigilanza (AEV).

1.2.3.

In materia di gestione delle TIC, privilegiare un quadro incentrato su un approccio basato sui principi e sul rischio che favorisca l'attuazione di controlli adeguati alle esigenze future, flessibili e commisurati ai rischi.

1.2.4.

Per quanto riguarda gli incidenti connessi alle TIC, garantire il pieno allineamento agli strumenti di risposta e recupero a seguito di incidenti informatici (Cyber Incident Response and Recovery — CIRR) del Consiglio per la stabilità finanziaria (Financial Stability Board — FSB).

1.2.5.

In materia di test della resilienza operativa digitale, mettere l'accento non solo sulle dimensioni dell'istituto finanziario, ma anche sulla complessità e la natura critica del servizio; evitare di rendere obbligatoria l'esternalizzazione dei test affidata ad un numero ristretto di tester esterni, e il reciproco riconoscimento dei risultati dei test.

1.2.6.

Consolidare i requisiti in materia di esternalizzazione in un corpus unico di norme, al fine di garantire la certezza del diritto a tutti gli operatori del mercato e di soddisfare in modo attendibile le aspettative delle autorità di vigilanza.

1.2.7.

Garantire la piena applicazione delle raccomandazioni formulate dalle autorità primarie di sorveglianza nonché una serie di ruoli e responsabilità chiaramente definiti per le diverse autorità coinvolte nella sorveglianza dei fornitori terzi critici.

1.2.8.

Garantire l'accesso ai servizi esternalizzati ritenuti critici a fornitori terzi stabiliti in paesi terzi, così da evitare di limitare la libertà contrattuale delle imprese e la loro possibilità di accedere a servizi di fornitori ad elevato valore aggiunto.

1.2.9.

Introdurre la proporzionalità nel regime sanzionatorio per evitare di disincentivare i fornitori di TIC dal fornire servizi alle entità finanziarie dell'UE, e abbandonare l'attuale riferimento al fatturato globale.

1.2.10.

Fare chiarezza sulla capacità delle imprese di condividere informazioni sulle minacce informatiche, assicurando che gli accordi in materia siano attuati su base volontaria e che la proposta sulla resilienza operativa digitale contenga una disposizione esplicita che consenta lo scambio di informazioni personali.

1.2.11.

Considerare la possibilità di innalzare la soglia di esenzione per includervi le microimprese e le piccole imprese, in base alla definizione di cui all'allegato I, articolo 2, paragrafo 2, della raccomandazione 2003/361/CE della Commissione (1): «un'impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di EUR», e di ridurre il numero di obblighi applicabili alle PMI proporzionalmente al profilo di rischio digitale dell'impresa.

1.3.

Il CESE è favorevole a conferire alle autorità primarie di sorveglianza il potere di eseguire le procedure di audit e ispezione nei confronti di fornitori terzi critici, poiché in tal modo dette autorità otterrebbero una visione più chiara dei rischi che questi fornitori potrebbero presentare, il che potrebbe contribuire a ottimizzare le procedure di esternalizzazione delle banche.

2.    Contesto

2.1.

I consumatori e le imprese europei si affidano sempre più ai servizi finanziari digitali, e tale tendenza si accompagna a un utilizzo sempre maggiore di soluzioni innovative basate sulle nuove tecnologie da parte degli operatori del mercato. La trasformazione digitale è fondamentale per la ripresa europea e per la creazione di un'economia europea sostenibile e resiliente.

2.2.

In linea con le proprie priorità, ovvero rendere l'Europa pronta per l'era digitale e creare un'economia che guardi al futuro e operi a vantaggio dei cittadini, la Commissione ha presentato un pacchetto sulla finanza digitale. Il pacchetto delinea una serie di misure volte ad abilitare e sostenere ulteriormente il potenziale della finanza digitale in termini di innovazione e concorrenza, attenuando i rischi che ne derivano.

2.3.

Accanto alla proposta riguardante la resilienza operativa digitale, il pacchetto sulla finanza digitale include una nuova strategia in materia di finanza digitale per il settore finanziario dell'UE (2), una proposta di regolamento relativo ai mercati delle cripto-attività e una proposta di regolamento relativo ad un regime pilota per le infrastrutture di mercato basate sulla tecnologia di registro distribuito (3).

2.4.

La resilienza operativa digitale è la capacità delle imprese di garantire di poter resistere ad ogni tipo di perturbazione e minaccia collegata alle tecnologie dell'informazione e della comunicazione (TIC). La dipendenza sempre più elevata del settore finanziario dai software e dai processi digitali comporta che i rischi collegati alle TIC siano ormai intrinseci all'attività delle imprese del settore. Le imprese finanziarie sono diventate il bersaglio di attacchi informatici che possono causare gravi danni finanziari o alla reputazione per i consumatori e le imprese. Tali rischi devono essere ben compresi e gestiti, soprattutto in periodi di stress.

2.5.

Sebbene le riforme che hanno seguito la crisi finanziaria del 2008 abbiano rafforzato la resilienza del settore finanziario dell'UE, i rischi collegati alle TIC sono stati affrontati soltanto indirettamente. La mancanza di un quadro normativo completo a livello europeo sulla resilienza operativa digitale ha fatto sì che si facesse affidamento su iniziative legislative nazionali. Tale soluzione ha tuttavia una ridotta efficacia transfrontaliera e ha causato una frammentazione del mercato unico, che a sua volta mina la stabilità e l'integrità del settore finanziario europeo. In tale contesto, la Commissione propone di creare un quadro globale sulla resilienza operativa digitale per le entità finanziarie dell'Unione europea.

2.6.

La proposta legislativa sulla resilienza operativa digitale (DORA) (4) mira a rafforzare e razionalizzare la gestione dei rischi relativi alle TIC da parte delle entità finanziarie, introdurre dei test accurati della resilienza dei sistemi di TIC, promuovere la condivisione di informazioni e sensibilizzare le autorità di vigilanza in merito ai rischi informatici e agli incidenti connessi alle TIC cui sono esposte le entità finanziarie, nonché conferire alle autorità di vigilanza finanziaria poteri di sorveglianza sui rischi dovuti alla dipendenza delle entità finanziarie da fornitori terzi di servizi TIC. La proposta intende altresì creare un meccanismo coerente di segnalazione degli incidenti che potrebbe contribuire a ridurre gli oneri amministrativi a carico delle entità finanziarie e rafforzare l'efficacia della vigilanza.

2.7.

La Commissione ha anche presentato una proposta di direttiva (5), poiché è necessario introdurre un'esenzione temporanea per i sistemi multilaterali di negoziazione e modificare o chiarire talune disposizioni delle vigenti direttive UE relative ai servizi finanziari onde conseguire gli obiettivi previsti dalla proposta sulla resilienza operativa digitale.

2.8.

Il mercato delle TIC rappresenta una delle più importanti industrie del mondo; si stima che il suo valore fosse superiore ai cinquemila miliardi di dollari USA nel 2019 e che sia destinato a superare i seimila miliardi di dollari USA entro il 2022. Questa costante crescita non fa che confermare la sempre maggiore diffusione e importanza della tecnologia nella società odierna. La valutazione d'impatto della proposta legislativa precisa che il settore finanziario rappresenta il principale utilizzatore di TIC al mondo, con una quota pari al 20 % della spesa totale per le TIC.

2.9.

La pandemia di COVID-19 ha dato slancio alla proliferazione di servizi finanziari digitali, mentre le reti di filiali degli istituti finanziari rimangono poco utilizzate. Ciò stimolerà gli investimenti negli strumenti digitali self-service, in applicazioni di finanza aperta e in servizi dal valore aggiunto. Nel complesso, la situazione attuale costringerà gli istituti finanziari a investire di più nelle infrastrutture informatiche, a dare priorità alla migrazione di carichi di lavoro critici e ad aggiornare le applicazioni esistenti. Il settore finanziario europeo sta già attraversando una profonda trasformazione digitale e la sua competitività su scala globale dipenderà in larga misura dalla capacità delle istituzioni europee di trarre vantaggio dalle tecnologie più avanzate.

3.    Osservazioni generali

3.1.

Il CESE accoglie con favore la proposta sulla resilienza operativa digitale presentata dalla Commissione, che affronta molti degli aspetti evidenziati dal settore finanziario e mira a fare chiarezza sotto il profilo giuridico in merito alle disposizioni sui rischi riguardanti le TIC, a ridurre la complessità normativa e ad alleviare l'onere amministrativo derivante dalle diverse norme applicabili alle entità finanziarie nell'Unione europea. Tale proposta non soltanto rafforza la resilienza del settore ai rischi legati alle TIC, ma rientra anche negli interessi di diversi portatori di interessi, tra cui i clienti, gli investitori e i lavoratori, e contribuisce a realizzare uno sviluppo sostenibile.

3.2.

Il CESE ritiene che la proposta sulla resilienza operativa digitale costituisca un importante passo avanti nella definizione di una serie di norme comuni per attenuare i rischi correlati alle TIC e agevolare un approccio armonizzato alla vigilanza; tuttavia, bisogna fare attenzione a non aggiungere ulteriori ostacoli che potrebbero impedire agli istituti finanziari dell'UE di essere protagonisti del processo innovativo globale.

3.3.

Il CESE è del parere che le autorità europee debbano prefiggersi come obiettivo generale quello di cercare di realizzare un sistema proporzionato e basato sui rischi che fornisca alle autorità di vigilanza gli strumenti necessari per affrontare le loro preoccupazioni, garantendo nel contempo la certezza del diritto e le necessarie salvaguardie per le imprese finanziarie e i fornitori di TIC.

4.    Osservazioni particolari

4.1.   Ambito di applicazione e sovrapposizioni normative

4.1.1.   Inclusione di ulteriori operatori del mercato finanziario pertinenti

Sebbene riconosca e accolga con favore il fatto che la proposta legislativa si rivolge ad un ampio ventaglio di operatori del mercato finanziario, cosa che garantirà l'applicazione coerente dei requisiti previsti nell'intero settore finanziario dell'Unione, il CESE raccomanda ai responsabili politici europei di includere anche gli operatori finanziari che non sono considerati parte dell'ambito di applicazione della proposta legislativa in esame — ad es. i fornitori di crediti ipotecari e i fornitori di crediti al consumo — fino a un livello appropriato che dipenderà dal rischio eventuale che tali operatori rappresentano per il sistema. Ciascun fornitore di servizi finanziari, purché sviluppi le stesse attività e si assuma i medesimi rischi, dovrebbe essere oggetto delle stesse norme e della stessa vigilanza, al fine di garantire lo stesso quadro minimo per la resilienza digitale che protegge i consumatori e la stabilità finanziaria.

4.1.2.   Coerenza a livello internazionale e dell'UE, nonché con le attuali normative

È fondamentale garantire chiarezza per le imprese, in particolare per quelle attive a livello transfrontaliero, assicurando la coerenza delle definizioni e dei termini ed evitando duplicazioni, sovrapposizioni e interpretazioni divergenti su come soddisfare aspettative simili in termini di normative in giurisdizioni diverse. Il CESE invita i responsabili politici europei a modificare la definizione di resilienza operativa al fine di garantirne la coerenza con la definizione del Comitato di Basilea per la vigilanza bancaria (CBVB) (6) e di assicurare che tale resilienza operativa costituisca il sistema principale applicabile agli istituti finanziari dell'UE, onde evitare il rischio che entri in contraddizione con altri sistemi. Molti dei principi e requisiti stabiliti nella proposta sulla resilienza operativa digitale sono peraltro già definiti negli orientamenti esistenti sull'esternalizzazione (7). I requisiti riguardanti i rischi correlati alle TIC e la gestione dei rischi di sicurezza sono già stabiliti negli orientamenti dell'Autorità bancaria europea (ABE). Sarà essenziale garantire la coerenza, in termini di definizioni e di ambito di applicazione, tra la proposta sulla resilienza operativa digitale e i requisiti definiti negli orientamenti in vigore, al fine di pervenire all'armonizzazione dei requisiti normativi dell'UE.

4.1.3.

Analogamente, il CESE raccomanda alla Commissione di assicurare che la revisione attualmente in corso della direttiva sulla sicurezza delle reti e dell'informazione e la proposta sulla resilienza operativa digitale contengano le stesse definizioni e gli stessi requisiti per quanto riguarda la politica di segnalazione degli incidenti di sicurezza per le entità finanziarie.

4.2.   La gestione dei rischi relativi alle TIC

Taluni elementi del quadro sono eccessivamente incentrati sulla conformità piuttosto che su come le imprese possano dimostrare i risultati ottenuti nel quadro di un approccio basato sui principi e sul rischio. Essendo troppo prescrittivi e particolareggiati, essi corrono il rischio di diventare obsoleti con il passare del tempo e con l'evolversi dei rischi informatici e legati alle TIC. Il CESE raccomanda di adottare un approccio maggiormente basato sui principi e sui rischi che favorisca l'attuazione di controlli adeguati alle esigenze future, flessibili, proporzionati e commisurati ai rischi.

4.3.   Incidenti connessi alle TIC

Il CESE raccomanda il pieno allineamento tra lo strumento di risposta e recupero a seguito di incidenti informatici (CIRR) (8) pubblicato di recente dal Consiglio per la stabilità finanziaria (FSB), che illustra le prassi migliori per la segnalazione degli incidenti, e la proposta di gestione, classificazione e segnalazione degli incidenti connessi alle TIC contenuta nella proposta legislativa sulla resilienza operativa digitale. Vi sono sovrapposizioni che creano incertezza normativa e aggravano l'onere normativo a carico delle imprese.

4.4.   Test di resilienza operativa digitale

4.4.1.

Il CESE accoglie con favore il sistema paneuropeo di test di penetrazione basati su minacce (Threat Led Penetration Testing — TLPT) da applicare in tutta l'UE, poiché migliorerà l'efficienza e ridurrà la frammentazione, e tuttavia raccomanda alle autorità di concentrarsi non solo sulle dimensioni dell'istituto finanziario o sulla scala su cui esso opera, ma anche sulla complessità e la natura critica del servizio, tenendo conto, ove opportuno, del principio di proporzionalità per eliminare la distinzione tra test di base per tutti gli istituti finanziari e test più avanzati per gli istituti finanziari più importanti, in modo che i clienti delle entità finanziarie più piccole siano ugualmente protetti e vi siano condizioni di parità tra tutte le entità finanziarie.

4.4.2.

Il CESE raccomanda di non rendere obbligatoria l'esternalizzazione dei test a tester esterni, dato che il numero di questi ultimi è limitato. Le imprese possono infatti disporre di proprie équipe interne incaricate di eseguire i test, che conoscono bene il contesto in cui operano le imprese e sono in grado di passare in tempi brevi alla realizzazione di test più avanzati e mirati.

4.4.3.

Sarebbe opportuno riesaminare la possibilità di far rientrare i fornitori terzi di servizi TIC nell'ambito di applicazione dei test di penetrazione basati su minacce. Il fatto che fornitori terzi di TIC possano servire un certo numero di clienti potrebbe comportare una notevole duplicazione dei test, il che a sua volta potrebbe creare gravi rischi per i fornitori terzi di TIC e per i clienti da essi serviti.

4.4.4.

Inoltre, il CESE raccomanda di introdurre un riferimento esplicito al reciproco riconoscimento dei risultati dei test, visto il ruolo di tale riconoscimento nel ridurre i rischi e nell'assicurare il corretto funzionamento del mercato unico, nonché per evitare l'aumento dei costi per le entità finanziarie che operano a livello transfrontaliero.

4.5.   Gestione dei rischi derivanti dai fornitori terzi di TIC e quadro di sorveglianza per i fornitori terzi critici

4.5.1.   Garantire la coerenza con gli orientamenti esistenti in merito all'esternalizzazione

Il CESE accoglie con favore il fatto che la proposta sulla resilienza operativa digitale definisca un quadro normativo comune per la corretta gestione dei rischi derivanti dai fornitori terzi di TIC per tutti gli operatori del mercato finanziario in Europa. Sarà tuttavia fondamentale garantire il pieno allineamento tra questa base comune definita nei principi chiave (articoli 25, 26 e 27) e le norme esistenti, quali gli orientamenti emanati dalle autorità europee di vigilanza (AEV) in materia di esternalizzazione (ossia risolvere l'attuale dicotomia, in termini di ambito di applicazione, tra «esternalizzazione» e «servizio di terzi» (9)). Il CESE è altresì del parere che le autorità europee abbiano la grande opportunità di consolidare i requisiti riguardanti l'esternalizzazione in un unico regolamento — con un livello di dettaglio sufficiente per evitare divergenze interpretative — che potrebbe garantire la certezza del diritto a tutti gli operatori del mercato, nonché di soddisfare in modo attendibile le aspettative delle autorità di vigilanza.

4.5.2.   Requisiti applicabili ad attività esternalizzate critiche o importanti

Ai sensi dell'articolo 25, paragrafo 2, per mantenere un approccio orientato ai rischi, il regolamento deve specificare con maggiore precisione come sarà applicato il principio di proporzionalità, illustrando quali requisiti sarebbero applicabili alle attività esternalizzate critiche o importanti e quali sarebbero applicabili alle restanti attività (10). Il CESE raccomanda di escludere l'utilizzo di servizi TIC per funzioni non critiche dall'ambito di applicazione della proposta di regolamento sulla resilienza operativa digitale.

4.5.3.   Quadro di sorveglianza diretta per i fornitori terzi critici

Il CESE accoglie con favore l'introduzione di un quadro di sorveglianza diretta che consentirà un costante monitoraggio delle attività di fornitori terzi critici da parte delle autorità finanziarie in assenza di un quadro orizzontale intersettoriale dell'UE. Nella proposta di regolamento, le autorità dell'UE dovrebbero riconoscere che quando un fornitore critico di TIC è oggetto di tale vigilanza, l'esposizione al rischio da parte degli istituti finanziari diminuisce in virtù del controllo costante cui sono sottoposte le loro attività. Di conseguenza, il nuovo quadro di sorveglianza dovrebbe anche contribuire a ottimizzare le procedure di esternalizzazione delle banche, riducendo alcuni degli oneri attualmente sostenuti dalle entità finanziarie, ad esempio in relazione all'esecuzione di procedure di audit e ispezione riguardanti i fornitori terzi ritenuti critici.

4.5.4.

Il CESE è favorevole a conferire alle autorità primarie di sorveglianza il potere di eseguire le procedure di audit e ispezione nei confronti di fornitori terzi critici, poiché in tal modo esse otterrebbero una visione più chiara dei rischi che questi fornitori potrebbero presentare, in virtù di una conoscenza diretta dei loro processi e delle loro strutture, invece di fare affidamento sulle informazioni attualmente fornite dagli istituti finanziari oggetto di sorveglianza e sulle ispezioni eseguite dalle autorità nazionali competenti. Sebbene le politiche di mitigazione dei rischi delle entità finanziarie dovrebbero essere mantenute e tali entità rimangano vincolate al relativo obbligo giuridico, nel caso in cui le ispezioni e gli audit siano già eseguiti dalle autorità primarie di sorveglianza, gli istituti finanziari dovrebbero avvalersi di questo ulteriore livello di sicurezza e non essere tenuti a condurli di nuovo.

4.5.5.   Autorità primaria di sorveglianza e autorità nazionali competenti

Una volta completato il processo di sorveglianza, le autorità nazionali competenti daranno seguito alle raccomandazioni dell'autorità primaria di sorveglianza, adottando il proprio approccio su come attuare le conclusioni di quest'ultima per i fornitori terzi critici interessati. Il CESE raccomanda di fare piena chiarezza sui ruoli e le responsabilità delle diverse autorità, al fine di evitare una situazione in cui interpretazioni divergenti incidano in modo diverso su ciascun cliente dei fornitori terzi critici a seconda dell'autorità competente, nonché per ridurre il rischio di frammentazione. Queste raccomandazioni dovrebbero inoltre essere rese pienamente applicabili, tenendo presente l'ambiguità delle attuali disposizioni dell'articolo 37 relativamente al carattere vincolante delle raccomandazioni stesse.

4.5.6.   Sospensione di un fornitore terzo critico

La proposta sulla resilienza operativa digitale conferisce alle autorità nazionali di regolamentazione finanziaria il potere di imporre ai clienti la sospensione temporanea o l'interruzione del ricorso a un fornitore di TIC fino a quando non si sia posto rimedio ai rischi individuati nelle raccomandazioni. I requisiti riguardanti l'immediata cessazione della collaborazione con un fornitore terzo critico avrebbero un impatto notevole sulle decisioni economiche e commerciali attuali e future (ad esempio, scoraggiando gli investimenti nell'UE) e potrebbero incidere sulla stabilità finanziaria. Prima di assumere una tale decisione, le autorità competenti dovrebbero ponderare con attenzione, fra gli altri fattori, il possibile impatto negativo che la cessazione del servizio avrebbe per le entità finanziarie che utilizzano tale specifico fornitore terzo critico (11), definire criteri ben precisi per l'applicazione di tale requisito in materia di cessazione e valutare possibili misure correttive.

4.5.7.

Il CESE raccomanda altresì che, nell'eventualità che si verifichi una tale situazione, le entità finanziarie siano informate con congruo anticipo e abbiano il tempo sufficiente per cessare il rapporto.

4.6.   Preservare la competitività globale delle imprese finanziarie europee

4.6.1.

Il nuovo quadro deve preservare la capacità delle imprese finanziarie europee di accedere almeno alle stesse tecnologie dei loro concorrenti globali. Le imprese finanziarie dell'UE competono su scala globale e il prossimo quadro normativo europeo non dovrebbe svantaggiarle limitando il loro accesso alle tecnologie più avanzate, purché i fornitori di dette tecnologie soddisfino le norme europee in materia di resilienza e sicurezza.

4.6.2.   Fornitori terzi stabiliti in paesi terzi

Il regolamento in esame non dovrebbe limitare la possibilità di esternalizzare servizi ritenuti critici a fornitori terzi stabiliti in paesi terzi. È indubbio che tale limitazione restringerebbe la libertà contrattuale delle singole entità nonché la possibilità che gli istituti finanziari europei accedano a servizi di fornitori ad elevato valore aggiunto che in Europa, con ogni probabilità, non sarebbero disponibili in numero sufficiente. Si tratta di un aspetto ancor più rilevante se si considera che il quadro di sorveglianza proposto è limitato al settore finanziario e crea perciò condizioni di concorrenza ineguali per altri operatori non soggetti al regolamento in esame e potrebbe finire per aumentare il rischio di concentrazione, cosa che la proposta sulla resilienza operativa digitale intende evitare.

4.6.3.   Sanzioni punitive basate sul fatturato globale

La proposta sulla resilienza operativa digitale include sanzioni punitive in relazione al fatturato globale per i fornitori di TIC nel caso in cui non soddisfino le richieste delle autorità di vigilanza finanziaria dell'UE. Un'applicazione sproporzionata di tali sanzioni rischierebbe di scoraggiare i fornitori globali di TIC dal fornire servizi a imprese finanziarie europee, il che potrebbe, di fatto, limitare la scelta di fornitori da parte di queste ultime. Potrebbe inoltre scoraggiare i fornitori terzi non critici dall'optare a favore del regime di sorveglianza a causa del timore di essere penalizzati con sanzioni sproporzionate, e ridurre quindi la concorrenza nel mercato a monte. Il CESE chiede di introdurre un certo grado di proporzionalità nel regime sanzionatorio, il che è fondamentale per non disincentivare i fornitori di TIC che desiderano fornire servizi alle entità finanziarie dell'UE.

4.7.   Meccanismi per la condivisione di informazioni

4.7.1.

Dal momento che uno scambio tempestivo di informazioni è essenziale per individuare efficacemente i vettori di attacco e isolare e prevenire possibili minacce, il CESE accoglie con favore la disposizione che prevede di agevolare l'istituzione di meccanismi, su base volontaria, per la condivisione di informazioni tra gli istituti finanziari sugli attacchi informatici.

4.7.2.

Il CESE raccomanda altresì alle autorità dell'UE di fornire una base esplicita per consentire lo scambio di informazioni personali (quali gli indirizzi IP) tra le condizioni della proposta in esame, in modo da ridurre l'incertezza e dare alle entità finanziarie maggiori possibilità di rafforzare le proprie capacità di difesa, di identificare in modo più efficace le minacce e di ridurre il rischio di contagio reciproco. È necessario fare maggiore chiarezza per via della natura riservata/sensibile dei dati.

---

(1)  GU L 124 del 20.5.2003, pag. 36.

(2)  Cfr. il parere del CESE (ECO/534) sul tema «Strategia in materia di finanza digitale per l'UE» (cfr. pag. 27 della presente Gazzetta ufficiale).

(3)  Cfr. il parere del CESE (ECO/535) sul tema «Cripto-attività e tecnologia di registro distribuito» (cfr. pag. 31 della presente Gazzetta ufficiale).

(4)  COM(2020) 595 final.

(5)  COM(2020) 596 final.

(6)  Comitato di Basilea per la vigilanza bancaria, Principles for operational resilience (Principi di resilienza operativa), 6 novembre 2020.

(7)  Come quelli elaborati dall'ABE e dall'EIOPA, nonché il progetto di orientamenti dell'ESMA, oggetto di consultazione.

(8)  Consiglio per la stabilità finanziaria, Final Report on Effective Practices for Cyber Incident Response and Recovery (Relazione finale su pratiche efficaci di risposta e recupero a seguito di incidenti informatici), 19 ottobre 2020.

(9)  La resilienza operativa digitale si riferisce unicamente ai «servizi TIC di terzi» per quanto riguarda i principi fondamentali per la gestione corretta dei rischi relativi alle TIC derivanti da terzi (capo V), mentre l'ambito di applicazione degli orientamenti dell'ABE in materia di esternalizzazione si basa su una definizione di esternalizzazione che implica che l'attività sia eseguita in modo ricorrente o continuativo (paragrafo 26). Gli orientamenti dell'ABE forniscono inoltre un elenco di eccezioni che non sono considerate come rientranti nell'ambito dell'esternalizzazione (paragrafo 28).

(10)  Anche in questo caso sarà fondamentale allineare la definizione di «funzioni critiche o importanti» sia nella proposta sulla resilienza operativa digitale che negli orientamenti dell'ABE in materia di esternalizzazione. In particolare, gli orientamenti dell'ABE definiscono i fattori che dovrebbero essere considerati dagli istituti finanziari nel valutare se un accordo di esternalizzazione riguardi una funzione critica o importante (articoli 29, 30 e 31).

(11)  Uno dei criteri per designare un fornitore di TIC come fornitore critico sarebbe il grado di sostituibilità, tenendo conto della mancanza di alternative reali o della difficoltà di migrare i servizi, in parte o totalmente (articolo 28, paragrafo 2). Se così fosse, sarebbe difficile per gli istituti finanziari trasferire il servizio a un altro fornitore. Inoltre, chiedere che gli istituti finanziari esposti passino a un diverso fornitore di servizi contribuirebbe in ultima analisi a una maggiore concentrazione sul mercato europeo, contraria allo spirito del regolamento in esame.