(AGENPARL) - Roma, 13 Marzo 2024(AGENPARL) – mer 13 marzo 2024 Mercati, infrastrutture, sistemi di pagamento
(Markets, Infrastructures, Payment Systems)
I fornitori di tecnologia nel sistema dei pagamenti:
evoluzione di mercato e quadro normativo
Numero
Marzo 2024
di Emanuela Cerrato, Enrica Detto, Daniele Natalizi, Federico Semorile,
Fabio Zuffranieri
Mercati, infrastrutture, sistemi di pagamento
(Markets, Infrastructures, Payment Systems)
I fornitori di tecnologia nel sistema dei pagamenti:
evoluzione di mercato e quadro normativo
di Emanuela Cerrato, Enrica Detto, Daniele Natalizi, Federico Semorile,
Fabio Zuffranieri
Numero 47 – Marzo 2024
I lavori pubblicati nella collana “Mercati, infrastrutture, sistemi di pagamento”
presentano documentazioni e studi su aspetti rilevanti per i compiti istituzionali
della Banca d’Italia in tema di monitoraggio dei mercati finanziari e del sistema dei
pagamenti, nonché di sviluppo e gestione delle relative infrastrutture. L’intento è quello
di contribuire alla diffusione della conoscenza su questi argomenti e di favorire il
dibattito tra le istituzioni, gli operatori economici, i cittadini.
I lavori pubblicati riflettono le opinioni degli autori, senza impegnare la responsabilità
dell’Istituto.
La serie è disponibile online sul sito http://www.bancaditalia.it.
Copie a stampa possono essere richieste alla casella della Biblioteca Paolo Baffi:
Comitato di redazione: Stefano Siviero, Livio Tornetta, Giuseppe Zingrillo, Guerino
Ardizzi, Paolo Libri, Giuseppe Maresca, Onofrio Panzarino, Tiziana Pietraforte,
Antonio Sparacino.
Segreteria: Alessandra Rollo.
ISSN 2724-6418 (online)
ISSN 2724-640X (stampa)
Banca d’Italia
Via Nazionale, 91 – 00184 Roma – Italia
Grafica e stampa a cura della Divisione Editoria e stampa della Banca d’Italia
I fornitori di tecnologia nel sistema dei pagamenti:
evoluzione di mercato e quadro normativo
di Emanuela Cerrato, Enrica Detto, Daniele Natalizi, Federico Semorile, Fabio Zuffranieri*1
Sintesi
I fornitori di tecnologia hanno acquisito un ruolo fondamentale a supporto del settore finanziario,
consentendo alle aziende, anche di minori dimensioni, di conseguire guadagni di efficienza
e di stare al passo con l’innovazione. Dalle interdipendenze tra questi soggetti e gli operatori
finanziari, tuttavia, possono scaturire nuovi rischi sistemici, che richiedono l’attenzione delle
autorità di regolamentazione e sorveglianza. Il lavoro illustra il punto di vista delle autorità, con
un focus sul sistema dei pagamenti, e mostra come le numerose iniziative intraprese a livello
internazionale e nazionale siano caratterizzate da coerenza e dinamicità per la creazione di un
quadro regolamentare e di policy orientato all’equilibrio tra sicurezza e innovazione.
JEL: E42, G32, G38, O33.
Parole chiave: sistema dei pagamenti, infrastrutture di mercato, terze parti, resilienza operativa
digitale, DORA, regolazione, sorveglianza.
Banca d’Italia, Dipartimento Mercati e sistemi di pagamento.
INDICE
1. Introduzione
1.1 La terminologia “terza parte” 7
2. I fornitori “terzi” di tecnologia nel sistema dei pagamenti 8
2.1 Il ruolo crescente dei fornitori di tecnologia 8
2.2 I rischi connessi con il ricorso a fornitori di tecnologia e la regolazione 10
3. Principi e standard internazionali sul rischio di terze parti 12
3.1 La cooperazione a livello globale 12
3.2 Il “caso” di SWIFT 13
3.3 Gli “elementi fondamentali” del G7 sul rischio cyber connesso con le terze parti 14
4. Il quadro europeo di sorveglianza 14
4.1 L’identificazione dei Critical Service Provider 15
4.2 L’approccio di sorveglianza 15
4.3 I requisiti e il processo di sorveglianza 16
5. Il quadro italiano di sorveglianza 17
5.1 Fondamento giuridico 17
5.2 Normativa attuativa della Banca d’Italia 17
6. Il Digital Operational Resilience Act 19
6.1 Rapporto con altre normative 20
6.2 La cornice di sorveglianza sui fornitori critici di servizi ICT 21
7. Conclusioni 23
Riferimenti bibliografici 25
1. Introduzione1
Il funzionamento affidabile ed efficiente delle infrastrutture finanziarie di mercato
costituisce da sempre una condizione essenziale per lo sviluppo delle economie avanzate,
salvaguardando la fiducia nella moneta e favorendo lo scambio delle risorse tra i soggetti
economici così come l’allocazione dei rischi tra di loro. In questo contesto, un ruolo
fondamentale è svolto dal sistema dei pagamenti (di seguito indicato anche come “ecosistema”),
che include tutte quelle componenti del sistema finanziario che consentono di eseguire
pagamenti e transazioni in titoli in modo sicuro ed efficiente. I soggetti privati, quali i
consumatori e le imprese, gli operatori pubblici e gli stessi intermediari devono disporre di mezzi
efficaci e convenienti per inviare e ricevere pagamenti. A tal fine sono di fondamentale
importanza gli accordi di scambio, compensazione e regolamento tra operatori finanziari2. Le
attività svolte nel sistema dei pagamenti non sono tuttavia esenti da rischi, che possono essere in
grado di causare anche gravi perturbazioni nel sistema finanziario, con ripercussioni
sull’economia reale.
Il buon funzionamento dell’ecosistema dei pagamenti contribuisce quindi ad assicurare
la fiducia del pubblico nel sistema economico e finanziario. Per conseguirlo, condizioni
essenziali sono l’efficienza, la stabilità e la sicurezza della rete di relazioni tra operatori
finanziari, ma anche tra questi e i fornitori di tecnologia. Proprio i servizi e le infrastrutture
fornite da soggetti terzi non finanziari hanno acquisito negli ultimi anni una sempre maggiore
rilevanza, dovuta al crescente ricorso a soluzioni tecnologiche avanzate, dalle quali dipende in
modo significativo il buon fine di una transazione.
Il lavoro analizza dapprima le principali linee evolutive dello scenario che ha accentuato
l’importanza di tali “terze parti” (paragrafo 2), per poi presentare le principali iniziative dei
regolatori, nelle sedi di cooperazione internazionale (paragrafo 3) e a livello europeo e italiano
(paragrafi 4 e 5). Tra queste ricopre un ruolo preminente il Regolamento UE sulla “digital
operational resilience for the financial sector” (c.d. Digital Operational Resilience Act –
DORA), per quanto il suo ambito di applicazione non ricomprenda tutti i soggetti attivi
nell’ecosistema dei pagamenti (paragrafo 6).
1.1 La terminologia “terza parte”
Da un punto di vista economico appare agevole identificare i meccanismi alla base
dell’esternalizzazione (outsourcing) di servizi, come del ricorso a fornitori “terzi” in senso più
ampio. Da un punto di vista terminologico, tuttavia, la definizione di “terza parte” può divergere
tra regolamentazioni, ragion per cui appare utile chiarire l’ambito soggettivo utilizzato nel
presente articolo.
In questo lavoro l’utilizzo del termine terza parte si riferisce a un fornitore, non
finanziario, di servizi e infrastrutture di supporto al business di operatori finanziari o
all’ecosistema finanziario nel suo complesso, con un focus sul comparto dei pagamenti.
Gli autori ringraziano Luca Arciero, Gino Giambelluca, Giuseppe Grande, Claudio Impenna e il revisore anonimo per gli utili suggerimenti.
Si fa riferimento alle definizioni contenute nel Provvedimento della Banca d’Italia del 9 novembre 2021. Per “scambio” si intende l’attività
attraverso la quale vengono scambiate fra i partecipanti al sistema le informazioni di pagamento, ossia i messaggi e gli ordini diretti a trasferire
fondi o, comunque, ad estinguere obbligazioni tramite compensazione. La successiva fase di “compensazione” prevede la conversione, secondo
le regole del sistema, in un’unica posizione – a credito o a debito – dei crediti e dei debiti di uno o più partecipanti nei confronti di uno o più
partecipanti. Il “regolamento” estingue le posizioni a credito o a debito di due o più partecipanti.
Questa accezione è ad esempio presente nella normativa secondaria nazionale e nelle
linee guida delle Autorità europee di vigilanza che, con il termine “terza parte”, fanno in genere
riferimento a quei fornitori che svolgono attività per conto dei soggetti finanziari serviti (es.
gestori di infrastrutture di mercato, inclusi i sistemi di pagamento, banche, assicurazioni). In caso
di esternalizzazione di funzioni essenziali o importanti3, viene richiesto ai committenti
(outsourcee) di porre in essere una serie di presidi aggiuntivi a livello contrattuale e
organizzativo, che le autorità di vigilanza controllano secondo un approccio di “vigilanza
indiretta” sulle terze parti per il tramite del soggetto finanziario vigilato. Un esempio può essere
una banca che esternalizza l’archiviazione di dati.
Più di recente, il Regolamento europeo n. 2554/2022 sulla resilienza operativa digitale
per il settore finanziario (DORA) definisce il fornitore di servizi di tecnologie dell’informazione
e della comunicazione come quel soggetto che somministra, su base continuativa, all’entità
finanziaria servizi digitali e di dati attraverso sistemi di Information and Communication
Technology (ICT), inclusa l’assistenza tecnica ed esclusi i servizi telefonici analogici
tradizionali.
Il lavoro non considera le “terze parti” introdotte dalla Direttiva europea n. 2366/2015
sui servizi di pagamento nel mercato interno (cd. Payment Services Directive 2 – PSD2), ovvero
gli operatori specializzati nell’offerta di servizi nell’ambito del cd. open banking4, qualificabili
come servizi finanziari a tutti gli effetti.
2. I fornitori “terzi” di tecnologia nel sistema dei pagamenti
2.1 Il ruolo crescente dei fornitori di tecnologia
La nascita di internet e soprattutto la successiva diffusione del Web 2.0, affiancato al
rapido sviluppo di altre tecnologie digitali quali la telefonia mobile, hanno rivoluzionato la
struttura del sistema produttivo e le abitudini degli individui (Marchetti, 2022). Sono stati
automatizzati processi che in precedenza richiedevano un’elevata interazione umana; nuovi
prodotti e servizi sono divenuti di uso corrente anche grazie a una progressiva capacità degli
utenti di avvalersi di strumenti digitali. Lavorare attraverso un computer, comunicare con uno
smartphone, ma anche disporre un bonifico online sono solo alcuni esempi di come la vita delle
persone sia cambiata grazie alla tecnologia.
Si vedano, ad es. le Linee guida dell’Autorità bancaria europea in tema di outsourcing e la Circolare n. 285 della Banca d’Italia.
Per open banking si intende un modello di utilizzo di dati finanziari inerenti ai conti di pagamento dei clienti detenuti presso prestatori di servizi
di pagamento, da parte di prestatori di servizi “terzi”, tramite l’uso di apposite interfacce tecnologiche via web per realizzare nuovi servizi e
applicazioni. Per una descrizione di questo comparto dell’industria, con riferimento all’esperienza italiana, si veda Pellitteri et al. (2023).
La PSD2 introduce due nuove tipologie di prestatori di servizi, spesso indicati come Third-Party Provider (TPP): gli Account Information Service
Provider, che offrono ai clienti la possibilità di accedere attraverso un’unica interfaccia alle informazioni consolidate relative a uno o più conti
di pagamento di cui siano intestatari e detenuti presso altri intermediari; i Payment Initiation Service Provider, che permettono di effettuare
un’operazione di pagamento a valere sui conti detenuti presso altri intermediari. Inoltre, viene introdotta la possibilità per un provider di emettere
carte di pagamento legate a conti accesi presso un altro istituto. I servizi citati non comportano la diretta detenzione di fondi, ma richiedono che
il provider sia autorizzato a verificare le disponibilità su conti esterni, in maniera funzionale all’offerta dei propri servizi.
A differenza dei fornitori di tecnologia oggetto di questo lavoro, la cui operatività non è soggetta a specifici regimi normativi di “riserva di
attività”, i TPP di cui alla PSD2 possono operare all’interno dell’Unione solo con apposita licenza e offrono servizi direttamente all’utenza finale.
La digitalizzazione ha rimodellato in primis il settore bancario e finanziario, facilitando
l’affermarsi di nuovi modelli di business, nuovi concorrenti e nuove forme di competizione,
attraverso un progressivo passaggio dai canali fisici a quelli virtuali.
L’ecosistema dei pagamenti non è stato risparmiato da tali cambiamenti, anzi è stato
spesso un ambito di sperimentazione precoce. In passato era molto più difficile entrare in
competizione con gli operatori tradizionali, come le banche e i più consolidati circuiti di
pagamento con carta di credito o di debito, dove le modalità di erogazione dei servizi e il
conseguente rapporto privilegiato con la clientela costituivano le principali barriere all’entrata.
L’innovazione ha consentito agli utilizzatori di scegliere tra diverse modalità di pagamento
alternative al contante, armonizzate a livello europeo e orientate all’istantaneità delle interazioni
digitali5. Oggi BigTech6 e start up del settore fintech7 possono sfruttare economie di rete e nicchie
di mercato non adeguatamente servite per attrarre clienti grazie al valore aggiunto dei propri
servizi, espandendo o disegnando agilmente la propria offerta. Buona parte delle BigTech ha già
sviluppato servizi di pagamento come borsellini (wallet) digitali (ad es. Apple Pay, Google Pay
e Samsung Pay) e fa leva su partnership con istituzioni finanziarie per introdurne di nuovi in
ambito bancario e finanziario (EBA, 2021). Alcune di esse operano già nel settore, ad esempio
attraverso la presenza all’interno del proprio gruppo di società registrate o autorizzate dalle
rispettive autorità per la prestazione di servizi di pagamento (Crisanto et al., 2021; Feyen et al.,
2021).
Anche i meccanismi che sono “dietro le quinte”, le infrastrutture, sono stati oggetto di
una profonda trasformazione: i sistemi di pagamento nazionali sono oggi profondamente
interconnessi e si sono consolidate soluzioni paneuropee, con una trama di relazioni dirette e
indirette a livello transfrontaliero. Ne sono conseguiti vantaggi in termini sia di flessibilità ed
efficacia nell’esecuzione delle transazioni, sia di contenimento dei costi.
In questo mutato contesto tecnologico e industriale, la necessità e l’opportunità per gli
operatori finanziari di ricorrere a soluzioni offerte da terze parti è cresciuta nel tempo. I servizi
esternalizzati, in particolare, possono riguardare alcune funzioni tradizionali, come i sistemi
informativo-contabili, ma soprattutto lo sviluppo di prodotti innovativi, le connessioni di rete,
l’elaborazione di pagamenti commerciali, etc.
Le principali ragioni economiche che spingono gli operatori del sistema finanziario a
esternalizzare servizi, soprattutto in ambito ICT, sono indicate in letteratura (cfr. ad esempio
McFarlan & Nolan, 1995; Currie et al., 2008; González et al., 2016; Könning et al., 2019) e
possono riguardare gli obiettivi di: i) contenere i costi; ii) focalizzarsi sul core business aziendale
e su attività strategiche; iii) acquisire know-how e professionalità non presenti internamente; iv)
ampliare la propria offerta commerciale con prodotti innovativi; v) attivare tempestivamente
nuovi servizi in segmenti in rapido sviluppo; vi) arrivare a una struttura patrimoniale
relativamente snella.
Basti pensare all’introduzione, nell’area unica dei pagamenti in euro (Single Euro Payments Area – SEPA), di regole comuni per effettuare
bonifici instant, con immediato riconoscimento dei fondi al beneficiario, oppure alla dematerializzazione delle carte di pagamento, che fa sì che
la loro emissione non presupponga necessariamente un supporto fisico.
Le società tecnologiche di grandi dimensioni Amazon, Apple, Google, Meta (già Facebook) e Microsoft.
Il Financial Stability Board definisce fintech come: “technologically enabled innovation in financial services that could result in new business
models, applications, processes or products with an associated material effect on financial markets and institutions and the provision of financial
services”.
Il ricorso a servizi forniti da terzi agevola soprattutto l’operatività dei soggetti di minori
dimensioni che, con una minore disponibilità di risorse per investimenti tecnologici, sono in
grado di contenere i costi e restare competitivi sul mercato. Ciò si traduce in potenziali esternalità
positive sotto forma di una maggiore contendibilità del mercato.
Anche in Italia il cambiamento è stato particolarmente pronunciato, in un contesto in cui
le banche assicuravano storicamente una capillare diffusione di sportelli, caratterizzandosi per
uno stretto legame con il territorio e per canali di promozione e distribuzione tradizionali. Il
percorso di digitalizzazione è stato intrapreso proprio a partire dai servizi di pagamento (Arnaudo
et al., 2022)8, che ha visto gli intermediari fare crescente ricorso a soggetti specializzati al fine
di fare evolvere la propria offerta. Esempi di queste tendenze possono essere individuati nello
sviluppo di soluzioni “di sistema” per i servizi introdotti dalla PSD2 (al riguardo, cfr. piattaforme
multi-operatore di cui al paragrafo 5.2); discorso simile sul fronte dell’accettazione dei
pagamenti, dove il ricorso a soggetti terzi, le c.d. Paytech, è imprescindibile per lo sviluppo di
soluzioni per l’e-commerce o i POS evoluti (ECB, 2021b)9.
2.2 I rischi connessi con il ricorso a fornitori di tecnologia e la regolazione
Accanto ai vantaggi appena descritti, gli investimenti in tecnologia e le partnership con
fornitori terzi hanno tuttavia determinato nel tempo il manifestarsi di una forte dipendenza degli
operatori del sistema finanziario da tali fornitori e la necessità di presidiare adeguatamente i
rischi correlati.
Gli operatori dell’industria finanziaria dispongono sempre più raramente delle capacità
tecniche ed economiche necessarie per sviluppare nuove soluzioni in-house, per adeguarsi
all’innovazione del mercato o per re-internalizzare servizi. Tale condizione determina una forte
dipendenza economica verso i fornitori, con effetti di lock-in. La crescente dipendenza da
fornitori esterni ha attirato l’attenzione dei regolatori sulle conseguenze che i rischi cosiddetti
“di terze parti” possono causare sia in prospettiva “micro” a livello di singolo operatore, sia
“macro” per il sistema nel suo complesso.
L’intervento delle autorità è inoltre giustificato dal fatto che da un punto di vista operativo
l’esternalizzazione può rappresentare un ponte in grado di trasferire rischi tra un settore
regolamentato, quale quello del soggetto finanziario servito, e un settore non regolamentato,
quello del fornitore (BCBS, 2005)10. Diventa necessario adottare un assetto di gestione delle
attività e allocazione delle responsabilità tale da non creare una breccia nell’efficacia della
supervisione. In questo senso, la regolamentazione è stata finalizzata da un lato ad assicurare un
adeguato presidio dei rischi da parte dei soggetti che si affidano a fornitori terzi, anche per evitare
possibili ripercussioni sugli utenti finali; dall’altro, a istituire nuovi assetti di sorveglianza sui
provider tecnologici, non assoggettati alla regolamentazione settoriale finanziaria.
Alcuni studi (es. Coletti et al., 2022) confermano tale trend, mostrando come l’utilizzo del contante sia in costante declino dal 2016, sebbene
esso resti ancora il mezzo di pagamento più utilizzato; di converso, i pagamenti effettuati tramite strumenti elettronici sono in continua crescita:
dal 2017 al 2021 il numero di bonifici effettuati in Italia è cresciuto come nel resto dell’Area Euro ad un tasso del 6%, mentre il numero di
pagamenti con carta ha registrato una crescita del 17%, superiore alla media dell’Area (12%). È probabile che nel prossimo futuro tali strumenti
saliranno in cima alle preferenze degli utilizzatori in tutta Europa.
L’ampliamento dell’offerta sul mercato di metodi e strumenti di pagamento sempre più innovativi e digitali è correlato con il cambiamento
nelle aspettative di livello di servizio e nelle abitudini di pagamento dei consumatori. Per ulteriori approfondimenti su questo tema si veda Coletti
et al. (2022).
A fronte di tali rischi, nonostante il contesto tecnologico di inizio millennio non presentasse il livello di complessità odierna, fu pubblicata una
prima serie di principi guida, a testimonianza della crescente importanza che l’outsourcing stava assumendo nel mercato finanziario.
Il ricorso all’outsourcing, e più specificamente, la tipologia di servizi affidati e le
condizioni economiche delle parti coinvolte, richiedono all’outsourcee di gestire una serie di
rischi11. Tra i principali troviamo: 1) il rischio operativo, nel caso in cui un problema occorso a
un fornitore possa ripercuotersi sull’attività dell’entità finanziaria; 2) il rischio cyber, laddove
l’inadeguatezza delle policy di sicurezza di un fornitore possa facilitare attacchi all’entità
finanziaria tali da compromettere la disponibilità dei servizi, la riservatezza e l’integrità dei dati;
3) il rischio reputazionale, nel caso in cui un fornitore metta in atto comportamenti che possano
danneggiare la reputazione dell’entità finanziaria. Tra gli altri troviamo il rischio di conformità
con il quadro normativo e il rischio strategico, legato ad esempio alle scelte di pianificazione,
programmazione e controllo.
Da un punto di vista sistemico, il ricorso a terze parti può essere foriero di rischi alla
stabilità complessiva del sistema. Per esempio il rischio di interconnessione, che si verifica
quando una terza parte fornisce servizi a un gran numero di soggetti. Sono numerose le
interdipendenze che si sono create nel tempo tra i diversi sistemi di pagamento e le infrastrutture
tecniche di supporto. Specifici fornitori, posti su nodi critici della rete, potrebbero divenire single
points of failure e causare effetti di spill-over nel settore finanziario. Inoltre va considerato che
molto spesso la dipendenza dai fornitori critici è dovuta alla particolarità dei servizi offerti.
Alcuni di essi, come il cloud computing, per loro natura richiedono un’ampia scala dimensionale
e sono diffusi a livello intersettoriale. Queste condizioni amplificano di fatto la rischiosità
sistemica, poiché gli effetti di un eventuale incidente potrebbero propagarsi su tutti i soggetti
serviti, anche al di fuori del settore finanziario.
Le interconnessioni tra operatori finanziari e infrastrutture di supporto possono essere di
tipo fisico e ambientale, ma con la crescente digitalizzazione hanno assunto connotazioni
ulteriori nello spazio cibernetico. Pertanto, agli operatori sistemici per il mercato finanziario si
richiede di diversificare il profilo di rischio delle proprie sedi sia da un punto di vista geografico,
per far fronte a catastrofi naturali (ad esempio un’inondazione, un terremoto), sia dal punto di
vista tecnologico, apprestando adeguati presidi di resilienza contro il rischio cyber, al fine di
scongiurare un’interruzione totale o parziale dei servizi (Giannetto e Fazio, 2022).
Questi sono gli elementi sui quali si sono fondati gli interventi dei regolatori degli ultimi
20 anni, che hanno introdotto requisiti e cornici di sorveglianza, coordinando nella misura
possibile le iniziative tra i vari livelli istituzionali.
La stessa regolamentazione ha costituito a sua volta un vero e proprio driver di
cambiamento. La gran parte dei recenti sviluppi tecnologici è stata infatti non solo accompagnata
ma anche stimolata da un significativo sviluppo normativo. Un esempio è quello della PSD2,
che, oltre ad aver regolamentato importanti innovazioni nei servizi offerti alla clientela12 e
irrobustito la filiera dei pagamenti attraverso la previsione di nuove e più stringenti misure di
sicurezza, ha spinto gli operatori a sviluppare soluzioni tecnologiche “di sistema” a supporto
Sin dai primi casi di esternalizzazione di servizi IT, Earl (1996) aveva identificato ben 11 rischi generici derivanti dal processo: i) possibilità
di indebolimento del management; ii) staff senza esperienza nel processo; iii) maggiore incertezza del business; iv) obsolescenza delle
competenze tecnologiche interne; v) incertezza endemica; vi) costi nascosti; vii) assenza di economie di esperienza; viii) perdita di capacità
innovativa; ix) difficoltà di allineamento tra le parti coinvolte; x) indivisibilità e rigidità dell’offerta tecnologica verso la clientela; xi) perdita di
pianificazione strategica IT.
Cfr. in particolare European Commission (2017), Revised rules for payment services in the EU: Summary of Directive (EU) 2015/2366 on EUwide payment services.
dell’evoluzione del mercato (cfr. paragrafo 5.2). A testimonianza della costante attenzione del
legislatore europeo per l’innovazione nel settore dei pagamenti, la Commissione europea ha
svolto consultazioni generalizzate e mirate in vista della revisione della PSD2 e in tale ambito
ha posto quesiti anche sul ruolo dei fornitori di tecnologia a supporto di questo mercato 13. In
aggiunta, i lavori in sede europea sui mercati delle cripto-attività e sul regime pilota per le
infrastrutture di mercato che utilizzano la Distributed Ledger Technology (DLT) stanno
contribuendo a delineare la necessaria base giuridica a sostegno di una profonda innovazione,
ma anche del presidio del potenziale rischio tecnologico e di terza parte che le soluzioni
sviluppate dall’industria potranno rappresentare.
3. Principi e standard internazionali sul rischio di terze parti
L’intervento pubblico nel sistema finanziario, incluso l’ecosistema dei pagamenti, si
giustifica in ragione della presenza di carenze nel mercato – esternalità negative, asimmetrie
informative e limiti nel grado di sviluppo dell’industria – che non consentono di raggiungere una
situazione di equilibrio idonea a garantire un livello ottimale dei servizi.
Fin dai primi anni duemila, nel quadro dei controlli sulla gestione dei rischi degli
operatori finanziari, i regolatori hanno sviluppato specifici requisiti in materia di
esternalizzazione e ricorso a fornitori esterni. Le cornici regolamentari contengono principi,
raccomandazioni e standard per un efficace presidio dei rischi da parte degli operatori finanziari
e un efficace controllo da parte delle autorità.
3.1 La cooperazione a livello globale
Nell’ambito dei sistemi di pagamento, i primi accenni al tema delle esternalizzazioni si
ritrovano nei Core Principles for Systemically Important Payment Systems (di seguito Core
Principles) pubblicati nel 2001 dal Committee on Payment and Settlement Systems (CPSS)14
della Bank for International Settlements (BIS). I Core Principles invitavano i gestori di sistemi
di pagamento a dotarsi di linee e apparati di telecomunicazione ridondanti e a negoziare
opportuni accordi sui livelli di servizio garantiti (Service Level Agreement) con i fornitori di
servizi di telecomunicazione.
Un ulteriore passo avanti nella definizione del quadro di sorveglianza sulle terze parti è
avvenuto nel 2012 quando il CPSS della BIS, insieme al Technical Committee della International
Organization of Securities Commissions (IOSCO), ha aggiornato la cornice per la gestione dei
rischi riguardanti le infrastrutture del sistema finanziario (inclusi i Core Principles15),
pubblicando un corpo unitario di principi, i Principles for Financial Market Infrastructures
(PFMI). Considerata la significativa crescita dell’importanza delle terze parti nel fornire
Per un approfondimento si possono consultare le seguenti pagine web:
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13331-Payment-services-review-of-EU-rules_en
https://finance.ec.europa.eu/regulation-and-supervision/consultations/finance-2022-psd2-review_en
Da ultimo, il 28 giugno 2023 la Commissione europea ha pubblicato le proposte di revisione della PSD2, oggetto di negoziato.
Oggi Committee on Payments and Market Infrastructures (CPMI).
Alle altre infrastrutture del sistema finanziario erano rivolti specifici set di raccomandazioni, elaborati dal CPSS e dal Technical Committee
della International Organization of Securities Commissions (IOSCO), in particolare le Recommendations for securities settlement systems e le
Recommendations for central counterparties.
tecnologia a supporto del sistema finanziario, i PFMI contengono numerosi riferimenti ai
fornitori esterni, non solo con riguardo al rischio operativo, ma anche ad altri profili per i quali
le terze parti possono avere un ruolo, sia “attivo” sia “passivo”, introducendo o subendo rischi
nei rapporti con una Financial Market Infrastructure (FMI)16. In aggiunta, i PFMI sono
accompagnati da uno specifico allegato (Annex F) che contiene le Oversight expectations
applicable to critical service providers, in larga misura derivate dalle High Level Expectations
for the oversight of SWIFT (Society for Worldwide Interbank Financial Telecommunication)
(cfr. paragrafo 3.2), direttamente rivolte ai fornitori critici. Le nuove expectations coprono
l’identificazione e la gestione dei rischi, una solida gestione della sicurezza delle informazioni,
l’affidabilità e la resilienza, una pianificazione tecnologica efficace e comunicazioni sicure con
gli utenti.
I PFMI e i relativi allegati costituiscono una forma di regolamentazione per principi, che
si sta dimostrando capace di rimanere attuale e utilizzabile nel tempo, come guida per le autorità
e gli operatori. Integrati da successivi documenti di riferimento e interpretati in senso evolutivo,
i PFMI sono la base di lavori che mirano a mitigare i rischi emergenti dall’applicazione di nuove
tecnologie in campo finanziario, incluse quelle a supporto delle cripto-attività, senza impedire
che esse esprimano il proprio potenziale a vantaggio dell’ecosistema, delle sue componenti e dei
cittadini quali utilizzatori finali17.
3.2 Il “caso” di SWIFT
Anche se non direttamente indirizzati alle terze parti, ma solo ai sistemi di pagamento da
esse serviti18, i Core Principles hanno costituito la base per la definizione di un quadro di requisiti
applicabili a SWIFT, uno dei maggiori fornitori di servizi di messaggistica e di rete del sistema
finanziario internazionale, che mette in collegamento tra loro operatori di tutto il mondo per i
pagamenti transfrontalieri e lo scambio dei titoli19.
Il rispetto dei requisiti da parte di SWIFT è monitorato dalle banche centrali, sulla base
di quello che ha costituito uno dei primi modelli di sorveglianza cooperativa internazionale,
resasi necessaria dalla sua attività “borderless”. SWIFT, infatti, dal 2004 è assoggettata alla
sorveglianza cooperativa delle banche centrali del G10, con la National Bank of Belgium (NBB),
banca centrale del paese in cui SWIFT ha stabilito la propria sede legale, nel ruolo di autorità
capofila (Lead Overseer). La NBB ha siglato con SWIFT un protocollo che regola obiettivi,
ambiti e modalità di svolgimento delle attività di sorveglianza, a cui è seguita la stipula di
Secondo i PFMI, un’infrastruttura di mercato può essere definita come un sistema multilaterale tra istituzioni partecipanti, ivi incluso
l’operatore del sistema, specializzato nelle attività di compensazione, regolamento o registrazione di pagamenti, transazioni in titoli, derivati o
altre transazioni finanziarie. Sono ricomprese nella definizione i sistemi di pagamento, i sistemi di regolamento titoli, i depositari centrali di
titoli, le controparti centrali e i repertori di dati sulle negoziazioni (cd. trade repository).
Cfr. CPMI-IOSCO (2016), Guidance on cyber resilience for financial market infrastructures; CPMI-IOSCO (2022), Application of the
Principles for Financial Market Infrastructures to stablecoin arrangements.
La maggior parte dei Core Principles (6 di 10) si riferiva infatti a profili di rischio di natura finanziaria tipici dei sistemi di pagamento e dei
loro partecipanti non riconducibili alle terze parti. Solo alcuni dei Core Principles, opportunamente reinterpretati, apparivano applicabili anche
alle terze parti, quali l’aspettativa di possedere una solida base legale per la propria operatività, prevedere criteri non discriminatori di accesso ai
propri servizi e adeguati assetti di governance. Solo uno dei dieci Core Principles sarebbe stato facilmente applicabile anche ai fornitori terzi di
servizi tecnologici, quello riguardante il rischio operativo.
SWIFT ha sedi in 28 paesi e conta un organico di oltre 2.800 dipendenti. L’infrastruttura SWIFT connette circa 11.000 operatori finanziari
(banche, depositari, istituti di investimento, banche centrali, infrastrutture di mercato e clienti corporate), distribuiti in più di 200 paesi, che nel
2022 si sono scambiati in media 44,8 milioni di messaggi al giorno.
Memorandum of Understanding bilaterali con le banche centrali del G10, che definiscono i
rispettivi ambiti di responsabilità e di partecipazione ai lavori20.
Il caso SWIFT è particolarmente rilevante perché il quadro di controllo sviluppato dal
gruppo di sorveglianza cooperativa ha condotto alla formulazione di cinque principi specifici per
la gestione del rischio operativo: le High Level Expectations for the oversight of SWIFT, già
citate nel paragrafo 3.1. Queste hanno costituito la base per la definizione dell’Annex F dei PFMI,
che al momento costituisce l’insieme di requisiti a cui ogni fornitore critico dovrebbe fare
riferimento. Al momento dell’iniziale redazione, per “expectation” si intendeva ciascun obiettivo
che le autorità si attendevano che SWIFT raggiungesse in termini di resilienza e presidio del
rischio operativo. La qualificazione “high level” mirava a lasciare un margine di flessibilità a
SWIFT nella scelta delle modalità per conseguire gli obiettivi, nonché nell’adozione dei processi
di gestione dei rischi e della reportistica con la quale rendicontare le autorità. Non si trattava
neanche di seguire best practices di settore, perché considerata l’importanza globale di SWIFT,
ci si aspettava che la società andasse oltre tali standard.
3.3 Gli “elementi fondamentali” del G7 sul rischio cyber connesso con le terze parti
Una sempre maggiore esposizione al rischio cyber è determinata dalla crescente
interconnessione tra tecnologia e finanza. Non a caso, i Ministri delle Finanze e i Governatori
delle banche centrali del G7 hanno dedicato crescente attenzione ai possibili rischi per il settore
finanziario connessi con il ricorso ai servizi di terze parti. A ottobre 2022 è stata pubblicata
l’ultima versione del documento “The G7 Fundamental Elements for Third Party Cyber Risk
Management in the Financial Sector”, frutto del continuo aggiornamento di principi adottati nel
2016.
Il documento contiene una serie di elementi chiave per la gestione del rischio informatico
di terze parti, tenendo conto del crescente ricorso all’esternalizzazione dei servizi ICT e delle
nuove forme di minaccia che interessano la filiera finanziaria. Si tratta di principi di alto livello
ai quali le autorità finanziarie delle diverse giurisdizioni possono fare riferimento nelle attività
di policy, regolazione e supervisione, relativi a sette ambiti: 1. governance; 2. risk management;
3. risposta agli incidenti; 4. piani di emergenza e strategie di uscita; 5. monitoraggio del rischio
sistemico potenziale; 6. coordinamento intersettoriale; 7. specificità delle terze parti nel settore
finanziario.
4. Il quadro europeo di sorveglianza
L’articolo 3 dello Statuto del Sistema europeo delle banche centrali e l’articolo 127 del
Trattato sul funzionamento dell’Unione europea assegnano alle banche centrali europee
l’obiettivo di promuovere il regolare funzionamento dei sistemi di pagamento. Nell’area
dell’euro tale obiettivo è stato trasposto in standard, linee guida e atti normativi che dettano
requisiti di sorveglianza sul sistema e sui soggetti che vi operano. I requisiti si inquadrano nello
L’attività di sorveglianza si svolge attraverso le attività di quattro gruppi: 1) Cooperative Oversight Group composto dalle banche centrali del
G10 che definisce le strategie e politiche di sorveglianza; 2) Executive Group composto da rappresentati di NBB, ECB, Federal Reserve Board,
Bank of Japan, Bank of England che rappresenta l’Oversight Group nelle discussioni e comunicazioni con il Board di SWIFT; 3) Technical
Group che discute gli aspetti tecnici per la loro discussione nell’Oversight Group; 4) SWIFT Oversight Forum per la discussione delle strategie
globali di SWIFT e l’evoluzione tecnologica dei provider dei servizi tecnologico al settore finanziario in un contesto più ampio rispetto al G10.
Sono oggetto di sorveglianza gli assetti di governance, le strutture, i processi, le procedure e il sistema dei controlli, con un particolare focus
sugli aspetti di rischio operativo e continuità di servizio.
Eurosystem Oversight Policy Framework (ECB, 2016) e sono accompagnati da metodologie
comuni tese ad assicurare armonizzazione attuativa e parità di trattamento tra i soggetti
sorvegliati delle varie giurisdizioni.
Nel perimetro della sorveglianza – che si modifica nel tempo, in ampiezza e profondità,
in relazione al mutamento del contesto di riferimento – rientrano anche i Critical Service
Provider (CSP), fornitori di servizi e infrastrutture tecnologiche che svolgono un ruolo chiave
per l’ecosistema dei pagamenti.
4.1 L’identificazione dei Critical Service Provider
L’Eurosistema svolge attività di sorveglianza sui CSP che supportano le FMI che
ricadono nella sua sfera di competenza, in linea con la policy adottata dal Consiglio direttivo
della Banca centrale europea nel 201721. La policy si inquadra nel citato Eurosystem Oversight
Policy Framework e si ispira alle prassi invalse in ambito internazionale sulla scorta, in
particolare, dell’Annex F dei PFMI.
Sotto il profilo definitorio, la policy considera un CSP come “a service provider that has
a direct contractual arrangement with an FMI to provide, on a continuous basis, services to that
FMI (and potentially its participants) which are essential for ensuring information
confidentiality and integrity and service availability, as well as the smooth functioning of its core
operations”, dove sono considerati come servizi essenziali “data centres, financial
messaging/network services, payment processing services, settlement functionality, or other
business applications related to payment/clearing/settlement services”22.
Da un punto di vista pratico, per identificare i CSP l’Eurosistema conduce un’indagine
periodica indirizzata alle FMI dell’area dell’euro. L’indagine riguarda l’ecosistema dei
pagamenti in senso lato, un concetto che comprende i sistemi di pagamento di importanza
sistemica, i sistemi di pagamento al dettaglio, gli schemi di carte e la piattaforma per il
regolamento delle transazioni in titoli TARGET2-Securities23.
I fornitori censiti grazie all’indagine sono valutati sulla base di criteri che consentono di
determinarne la criticità per le FMI nell’ecosistema di riferimento, classificarli in base alla
tipologia di servizi offerti e adottare il più appropriato approccio di sorveglianza (cfr. paragrafo
4.2).
La policy testimonia l’attenzione che le autorità rivolgono alle terze parti che forniscono
servizi e infrastrutture strumentali agli attori dell’ecosistema finanziario, alla luce della
significativa dipendenza degli operatori dai fornitori esterni di risorse digitali e
dell’interdipendenza creata dal ricorso a fornitori comuni. La natura intersettoriale e
transnazionale delle tecnologie digitali rende cruciale la cooperazione tra autorità.
4.2 L’approccio di sorveglianza
Eurosystem policy for the identification and oversight of critical service providers of financial market infrastructures.
Si veda ECB (2017) Eurosystem oversight report 2016 e ECB (2021a) Eurosystem oversight report 2020.
La policy e l’indagine correlata hanno ampia copertura, includendo gli schemi di carte e la piattaforma T2S, che pure non rientrano nella
nozione di FMI. Da ultimo, lo Eurosystem oversight framework for electronic payment instruments, schemes and arrangements (cd. PISA
Framework) esprime l’aspettativa che i gestori degli schemi di carte e degli “arrangements” partecipino all’indagine, con un prevedibile ulteriore
ampliamento della copertura del sistema dei pagamenti in tale esercizio. Il Framework definisce l’arrangement come “a set of operational
functionalities which support the end users of multiple payment service providers in the use of electronic payment instruments. The arrangement
is managed by a governance body which, inter alia, issues the relevant rules or terms and conditions”.
I CSP sono sottoposti a sorveglianza diretta o indiretta o a monitoraggio, in funzione
delle loro caratteristiche e di quelle dell’ecosistema che supportano. Tra i CSP si annoverano
soggetti stabiliti sia all’interno sia al di fuori dell’Unione europea, che sono attivi in segmenti
specifici o forniscono una pluralità di servizi.
L’Eurosistema definisce un approccio di sorveglianza in tre fasi:
i. identificazione dei fornitori che prestano servizi tecnologici a supporto delle FMI
rientranti nel proprio mandato di sorveglianza;
ii. individuazione del sottoinsieme dei fornitori considerati critici, sulla base di criteri di alto
livello quali l’importanza del fornitore per il soggetto servito e per l’ecosistema in
generale e l’assenza di fornitori alternativi;
iii. adozione dell’approccio più appropriato e delle modalità più efficaci per condurre la
sorveglianza, tenendo conto di numerosi fattori tra i quali i poteri disponibili in base
all’ordinamento nazionale di riferimento, che possono spaziare dalla moral suasion
all’applicazione di norme cogenti24.
Tipicamente, se il CSP offre servizi a una pluralità di infrastrutture di mercato, esso viene
assoggettato a sorveglianza diretta, che potrà assumere un connotato nazionale o cooperativo, in
base al livello di operatività transfrontaliera del CSP.
La sorveglianza sul CSP può essere esercitata anche indirettamente, attraverso requisiti
imposti al soggetto sorvegliato servito. In linea con i principi e le prassi comuni in ambito
finanziario, il soggetto servito rimane pienamente responsabile per le attività esternalizzate.
Sui CSP per i quali non emerge l’esigenza di una sorveglianza diretta, l’autorità può
preferire un’azione di monitoraggio, soprattutto se le caratteristiche dell’operatore richiedono
un’attenzione costante all’evoluzione della sua attività (es. se la sua crescita potenziale appare
elevata, o se esso è particolarmente rilevante per specifiche FMI).
4.3 I requisiti e il processo di sorveglianza
Tra gli strumenti di sorveglianza, un ruolo di primo piano viene svolto dal citato Annex
F dei PFMI (cfr. paragrafo 3.1) che si configura come una guida per il CSP e le autorità e
definisce la metodologia di verifica del rispetto delle aspettative contenute nell’allegato sulla
base, per ciascuno dei cinque profili di analisi, di una serie di domande chiave.
Di norma, su richiesta dell’autorità veicolata dal soggetto servito, il CSP esegue un
esercizio di autovalutazione rispetto alle aspettative. L’Annex F nasce infatti come strumento di
sorveglianza indiretta, ma costituisce un riferimento fondamentale anche per la sorveglianza
diretta. In particolare, nel caso di sorveglianza indiretta l’autorità analizza: i) l’autovalutazione
del CSP, fornita alla FMI, rispetto alle aspettative dell’Annex F; ii) il rapporto di
esternalizzazione tra FMI e CSP in termini di robustezza contrattuale complessiva e di previsioni
specifiche (livelli di servizio, indicatori di performance, possibilità di audit e ispezioni presso la
sede del CSP).
Ad esempio, il Testo Unico Bancario attribuisce espressamente alla Banca d’Italia poteri di sorveglianza sui gestori di infrastrutture
strumentali tecnologiche o di rete (cfr. paragrafo 5.2).
5. Il quadro italiano di sorveglianza
5.1 Fondamento giuridico
Con l’art. 146 del Decreto legislativo n. 385/1993 (cd. Testo Unico Bancario – TUB) il
legislatore italiano ha affidato alla Banca d’Italia l’obiettivo di assicurare il corretto operare del
sistema dei pagamenti25 in termini di affidabilità, efficienza e tutela degli utenti, attribuendole a
tal fine poteri regolamentari, informativi, ispettivi e inibitori.
La stessa norma individua le categorie di soggetti nei confronti dei quali la Banca d’Italia
può esercitare l’azione di sorveglianza; vi sono ricomprese le infrastrutture strumentali
tecnologiche o di rete.
5.2 Normativa attuativa della Banca d’Italia
Nel 2021 la Banca d’Italia ha emanato il Provvedimento recante “Disposizioni in materia
di sorveglianza sui sistemi di pagamento e sulle infrastrutture strumentali tecnologiche o di rete”,
che ha innovato la normativa secondaria di sorveglianza preesistente estendendone – in
conformità con l’art. 146 del TUB – l’ambito di applicazione ai gestori di tutti i sistemi di
pagamento, anche all’ingrosso, e ai gestori di infrastrutture strumentali tecnologiche o di rete.
L’ampliamento dell’ambito applicativo risponde sia alla progressiva attenuazione della
distinzione tra pagamenti all’ingrosso e al dettaglio26, in termini di velocità di esecuzione delle
transazioni27 e di importi trattati, sia al crescente ruolo nell’industria finanziaria delle
infrastrutture strumentali tecnologiche o di rete, il che richiede di rafforzare il presidio dei rischi
legati al ricorso a fornitori esterni da parte degli operatori di mercato.
Il ruolo dei fornitori di tecnologia è stato oggetto di particolare attenzione nella revisione
della normativa di sorveglianza: come si è già visto, infatti, l’evoluzione tecnologica e la
diversificazione dei modelli di business hanno reso più complessa la filiera dei pagamenti e
aumentato il novero dei soggetti coinvolti, rendendo necessario disciplinare in maniera più
dettagliata non solo le attività di scambio, compensazione e regolamento delle transazioni28, ma
anche attività tecniche strumentali, da cui dipendono sempre più l’affidabilità e l’efficienza
dell’ecosistema nel suo complesso.
Il Provvedimento del 2021 dedica quindi una sezione ai fornitori di tecnologia, indicando
i principali servizi tecnici funzionali al sistema dei pagamenti, dai più tradizionali servizi di
Esistono significative connessioni tra il regolare funzionamento dei sistemi di pagamento e altri interessi pubblici: l’efficienza e l’affidabilità
dei sistemi di pagamento contribuiscono alla corretta trasmissione della politica monetaria e alla stabilità finanziaria.
Ad es., la distinzione tra ingrosso e dettaglio non rileva ai fini della valutazione dell’importanza sistemica di un sistema di pagamento, ai sensi
del Regolamento della Banca centrale europea n. 715/2014 sui requisiti di sorveglianza per i sistemi di pagamento di importanza sistemica (e
successive modifiche e integrazioni).
I pagamenti istantanei introdotti da alcuni anni consentono di effettuare anche in ambito retail trasferimenti immediati di fondi tra conti, un
tempo possibili solo a livello interbancario utilizzando sistemi all’ingrosso di regolamento lordo in tempo reale.
L’articolo 1 del Provvedimento del 9 novembre 2021 definisce lo scambio come “l’attività attraverso la quale vengono scambiate fra i
partecipanti al sistema le informazioni di pagamento, ossia i messaggi e gli ordini diretti a trasferire fondi o, comunque, ad estinguere
obbligazioni tramite compensazione”, specificando che “il gestore può disciplinare direttamente l’attività di scambio ovvero fare riferimento a
regole definite da soggetti terzi”; la compensazione come “la conversione, secondo le regole del sistema, in un’unica posizione – a credito o a
debito – dei crediti e dei debiti di uno o più partecipanti nei confronti di uno o più partecipanti e risultanti dallo scambio delle informazioni di
pagamento”; il regolamento come “l’estinzione delle posizioni a credito o a debito di due o più partecipanti”.
messaggistica e di rete alle piattaforme multi-operatore29, che abilitano funzionalità di open
banking (Tavola 1).
Tavola 1: “Esempi di infrastrutture strumentali tecnologiche o di rete soggette a sorveglianza
in Italia” (1)
servizi di messaggistica e di rete
servizi e/o applicazioni di business strumentali a trattamento e scambio di flussi finanziari e informativi,
compensazione e/o regolamento di operazioni di pagamento tra prestatori di servizi di pagamento e/o
tra prestatori di servizi di pagamento e clienti
servizi di conservazione e trattamento di dati sensibili relativi ai pagamenti, incluse le credenziali di
sicurezza degli utenti e i dati per l’indirizzamento dei pagamenti
servizi per il trattamento delle operazioni di pagamento (2)
servizi tecnologici di interfaccia multi-operatore per l’accesso di terze parti ai conti (3)
(1) Cfr. art. 19 del Provvedimento della Banca d’Italia “Disposizioni in materia di sorveglianza sui sistemi di pagamento e sulle
infrastrutture strumentali tecnologiche o di rete” del 9 novembre 2021.
(2) Servizi di cui all’art. 2, comma 1, numero 28 del Regolamento (UE) n. 2015/751 relativo alle commissioni interbancarie sulle
operazioni di pagamento basate su carta.
(3) Ai sensi del Regolamento delegato (UE) n. 2018/389 della Commissione del 27 novembre 2017 che integra la Direttiva (UE)
2015/2366 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per
l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri.
Il Provvedimento prevede per i fornitori l’obbligo di notificare l’inizio dell’operatività
con un preavviso non inferiore a 3 mesi. La notifica è funzionale anche alla più ampia attività di
monitoraggio del mercato e dei suoi soggetti da parte della Banca d’Italia.
In applicazione del principio di proporzionalità, la Banca d’Italia individua quei fornitori
che sono critici per l’ordinato funzionamento del sistema dei pagamenti italiano, che vengono
sottoposti a specifici obblighi informativi e requisiti per la gestione dei rischi30. La criticità del
fornitore è valutata prioritariamente sulla base di alcuni criteri sanciti dal Provvedimento:
