Workshop sulla Resilienza Operativa Digitale con le associazioni di categoria del settore finanziario

9 febbraio 2026

Il 4 febbraio si è tenuto a Roma un incontro sul tema "Resilienza Operativa Digitale. Terze parti ICT: i Registri delle Informazioni. Prime evidenze e futuri sviluppi". All'incontro, oltre a rappresentanti della Banca d'Italia, hanno partecipato le principali associazioni del settore finanziario.

L'iniziativa è stata dedicata all'analisi del rischio informatico di terza parte, ovvero il rischio a cui un'entità finanziaria può essere esposta in relazione al ricorso a servizi informatici (ICT) offerti da fornitori terzi. Esso rappresenta uno dei principali temi affrontati dal Regolamento UE 2022/2554 sulla Resilienza Operativa Digitale (cd "DORA") ed è da tempo oggetto di attenzione della Vigilanza alla luce del crescente ricorso a terze parti negli ultimi anni e della progressiva digitalizzazione del mercato finanziario.

L'incontro ha rappresentato l'occasione per la Banca di Italia di condividere le principali evidenze emerse dall'analisi orizzontale sul rischio di terza parte ICT condotta nel corso del 2025 (cfr. la presentazione allegata). In particolare, sono stati discussi i profili di rischio prudenziale collegati a:

  • la dimensione del ricorso alle terze parti ICT e la complessità delle interconnessioni;
  • un mercato dei fornitori informatici fortemente concentrato e la limitata sostituibilità dei servizi;
  • catene di fornitura articolate e complesse, in particolare per alcuni servizi.

Con l'occasione, si è sensibilizzato il mercato sulla qualità e completezza dei dati contenute nei Registri delle Informazioni, con l'obiettivo di rafforzarne l'utilità sia per la gestione del rischio da parte degli intermediari sia per l'attività delle Autorità. A tal fine, sono state anche fornite alcune indicazioni operative in vista della prossima segnalazione dei Registri delle Informazioni e condivise le principali lezioni apprese nel primo esercizio,

La Banca di Italia ha sottolineato come la gestione del rischio di terza parte ICT assuma una valenza strategica per la resilienza e la stabilità degli intermediari e per questo richiede un sistema di governance solido, in cui l'organo di gestione mantenga conoscenze e comprensione adeguate di questi rischi, definisca strategia, politiche e assetto dei controlli e, in particolare, valuti periodicamente le forniture relative alle funzioni critiche o importanti.

L'incontro rientra nel più ampio percorso volto a rafforzare il dialogo tra Autorità e industria e segue quello, organizzato dalla Banca d'Italia a giugno 2025, dedicato al percorso di adeguamento delle entità finanziarie ai requisiti introdotti dal Regolamento UE 2022/2554 sulla Resilienza Operativa Digitale (cfr. link).