Le Autorità di vigilanza europee siglano un accordo con il Regno Unito per la vigilanza con-giunta sui fornitori ICT critici richiesta dal Regolamento DORA.

Le Autorità europee di vigilanza (ESA) e le autorità di regolamentazione del Regno Unito (Banca d’Inghilterra, Prudential Regulation Authority e Financial Conduct Authority) hanno sottoscritto un protocollo d’intesa (MoU) per coordinare la vigilanza transfrontaliera sui fornitori terzi di servizi ICT considerati critici che operano a supporto di entità finanziarie sia nell’UE sia nel Regno Unito (nel quadro UE: CTPP; nel quadro UK: CTP). L’obiettivo dichiarato è rafforzare la resilienza operativa, attraverso cooperazione strutturata, scambio tempestivo di informazioni e iniziative di supervisione coordinate.

L’intesa si inserisce nel perimetro della disciplina UE sulla resilienza operativa digitale (DORA) e, sul versante britannico, nel regime previsto dal Financial Services and Markets Act 2023, che consente la designazione di terze parti critiche e attribuisce poteri di vigilanza alle autorità UK. In parallelo, DORA prevede che i fornitori ICT critici designati siano sottoposti alla supervisione di un’autorità capofila tra le ESA, con poteri quali richieste di informazioni, indagini e ispezioni.

Il protocollo d’intesa è presentato come non vincolante (dichiarazione d’intenti) e può essere modificato o risolto con preavviso, preservando obblighi di riservatezza. L’ambito copre:

• fornitori designati in entrambe le giurisdizioni (priorità a una cooperazione più intensa);

• fornitori designati in una sola giurisdizione ma rilevanti per l’altra perché prestano servizi a soggetti finanziari locali.

Le parti si impegnano a scambi informativi tempestivi, supporto interpretativo e coordinamento anche nei casi di mancata cooperazione del fornitore, nel rispetto dei rispettivi vincoli legali.

Lo scambio avverrebbe principalmente tramite canali elettronici sicuri, con alternative (ad es. email cifrate) e canali “urgenti” con passaggio da orale a scritto. La gestione della sensibilità informativa viene impostata secondo logiche di classificazione e condivisione controllata (con indicazione delle autorità abilitate alla “condivisione successiva” e condizioni/obblighi di notifica), per mantenere proporzionalità e segretezza.

Ispezioni coordinate in loco

Un passaggio operativo rilevante riguarda la possibilità di ispezioni in loco coordinate. In sintesi:

• se gli obiettivi di supervisione non sono raggiungibili tramite filiali UE o misure nazionali, le ESA possono condurre ispezioni presso sedi nel Regno Unito connesse a servizi resi a un CTPP UE, a condizioni specifiche (necessità, correlazione diretta, consenso del fornitore e assenza di obiezioni UK);

• è previsto un preavviso con dettagli su portata e tempi, e un canale strutturato per la risposta/cooperazione;

• meccanismi analoghi operano nel senso inverso, quando le autorità UK richiedono accesso a sedi nell’UE, con supporto delle ESA e, se necessario, delle autorità competenti degli Stati membri.

Il MoU mira a favorire allerte tempestive e risposte coordinate in caso di incidenti rilevanti (in particolare quelli con potenziale impatto sistemico). È inoltre previsto il supporto a forme di attività congiunte (ad es. osservazione di esercitazioni di gestione incidenti) e canali di notifica reciproca quando una parte rilevi non conformità o intenda adottare misure, incluse iniziative equivalenti quali sospensione o risoluzione di accordi contrattuali.

Le informazioni scambiate sono trattate come riservate per impostazione predefinita e utilizzabili esclusivamente per finalità di vigilanza, con regole stringenti su divulgazione, consenso e protezione del segreto professionale. È inoltre richiamata l’equivalenza del regime UK di riservatezza/segretazione rispetto ai presìdi UE.

Implicazioni pratiche: per gruppi finanziari che dipendono da fornitori ICT critici “globali”, l’intesa segnala una maggiore probabilità di approcci coordinati tra UE e UK su richieste informative, verifiche, ispezioni e gestione degli incidenti. In prospettiva, questo può tradursi in aspettative più elevate su tracciabilità, auditability e capacità di risposta, soprattutto per fornitori che servono simultaneamente mercati regolati nelle due giurisdizioni.