Le ESA rispondono alla bocciatura da parte della Commissione del registro delle informazioni di DORA

Le Autorità di vigilanza europee (EBA, EIOPA ed ESMA – le ESA) hanno emesso la scorsa settimana un parere sulla bocciatura da parte della Commissione europea della bozza di Implementing Technical Standards (ITS) sui registri delle informazioni ai sensi del Digital Operational Resilience Act (DORA).

Le ESA esprimono preoccupazione per l’impatto e la praticità delle modifiche proposte dalla Commissione europea alla bozza di ITS sui registri delle informazioni in relazione agli accordi contrattuali delle entità finanziarie con i fornitori di servizi ICT di terze parti.

La bozza di ITS proposta dalle ESA è stata respinta dalla Commissione europea in quanto è necessario consentire alle entità finanziarie di scegliere se identificare i propri fornitori di servizi ICT terzi registrati nell’UE utilizzando l’identificatore di entità giuridica (LEI) o l’identificatore unico europeo (EUID).

Secondo le ESA, la proposta della CE di aggiungere un ulteriore identificatore, consentendo alle società con sede nell’UE di utilizzare l’EUID, causerà un’inutile complessità e potrebbe avere un impatto negativo sull’attuazione del DORA da parte delle entità finanziarie, delle autorità competenti e delle ESA.

Le ESA osservano che, sebbene l’EUID sia disponibile gratuitamente per le società registrate nell’UE, la sua introduzione nei registri di informazioni comporterebbe un impegno di implementazione e manutenzione imprevisto per gli enti finanziari. In particolare, limiterebbe l’accesso e la possibilità di verifica delle informazioni da parte degli enti finanziari e delle autorità competenti. Ciò comporterebbe un potenziale aumento dell’onere complessivo di segnalazione per le entità finanziarie nel contesto del DORA. Inoltre, la coesistenza di due identificatori potrebbe comportare un’ulteriore complessità che avrebbe un impatto negativo sulla qualità dei dati utilizzati e rischierebbe di ritardare la designazione dei fornitori terzi di servizi ICT critici (CTPP) da parte delle ESA.

Se la Commissione decide di procedere con l’introduzione dell’EUID, nonostante le preoccupazioni di cui sopra, saranno necessarie ulteriori modifiche alla bozza di ITS. Il parere indica come la bozza di ITS debba essere ulteriormente adattata per tener conto dell’uso dell’EUID. Senza queste modifiche, l’ITS non potrebbe essere applicato in pratica per una corretta identificazione dei fornitori di servizi ICT di terze parti, il che avrebbe un impatto negativo sulla designazione dei CTPP. Le ESA osservano inoltre che, in caso di coesistenza di LEI e EUID, le entità finanziarie dovrebbero preferire l’uso del LEI, soprattutto quando entrambi gli identificatori sono disponibili, mentre nel caso dei gruppi è importante garantire l’omogeneità dei codici di identificazione registrati per tutti i fornitori di servizi ICT di terze parti.

Nel loro parere, le Authority suggeriscono anche ulteriori modifiche alla bozza di ITS, che riflettono il feedback pratico ricevuto dai soggetti finanziari che hanno partecipato all’esercizio volontario di dry run sulla segnalazione dei registri di informazioni.

Chiedono che la decisione finale sull’uso degli identificatori e la rapida adozione della bozza di ITS da parte della CE. Ciò è particolarmente importante per le ESA, che designeranno i CTPP nel 2025. Infine, facendo leva sull’esperienza dell’esercizio di dry run, le ESA invitano le entità finanziarie ad aumentare gli sforzi di implementazione per essere pronte a presentare i propri registri di informazioni alle autorità competenti nella prima metà del 2025.