In data 8 luglio 2025 l’Autorità Bancaria Europea (EBA) ha posto in consultazione le “Linee guida per la gestione del rischio da terze parti con riferimento ai servizi non ICT” (n.EBA/CP/2025/12) (documento integrale).

Il documento aggiorna e sostituisce le linee guida in materia di esternalizzazione del 2019 (documento integrale), estendendo in modo significativo sia il contenuto che l’ambito di applicazione.

La principale novità riguarda il superamento del concetto tradizionale di outsourcing, su cui si basava il precedente impianto normativo. Il nuovo testo adotta una visione più ampia, riferendosi ai cosiddetti third-party arrangements, ossia tutti gli accordi con fornitori terzi, indipendentemente dalla loro natura, durata o dal fatto che il fornitore faccia parte dello stesso gruppo.

Particolare attenzione è riservata anche ai fornitori localizzati in Paesi terzi, per i quali le entità finanziarie devono garantire il rispetto dei requisiti normativi europei, come la tutela dei dati, l’accessibilità alle informazioni e l’effettiva possibilità di controllo da parte delle autorità competenti.

Le Linee guida si applicano esclusivamente ai servizi non ICT, integrando così il Regolamento DORA e completando il quadro per una gestione solida del rischio operativo da terze parti.

Un’altra modifica significativa riguarda l’estensione dei destinatari: oltre alle banche e alle imprese di investimento già coperte nel 2019, sono ora incluse anche le istituzioni di pagamento, le istituzioni di moneta elettronica, gli emittenti di asset-referenced tokens (ARTs) e i creditori disciplinati dalla direttiva sul credito immobiliare (MCD).

Tra le altre novità di rilievo, le linee guida:

–  introducono criteri armonizzati per identificare le funzioni “critiche o importanti, la cui esternalizzazione comporta obblighi più stringenti in termini di valutazione dei rischi, due diligence, diritti contrattuali e piani di uscita;

–  rafforzano il ruolo dell’organo di gestione, ribadendo che la responsabilità ultima rimane sempre interna, anche in presenza di esternalizzazioni complesse, e vietando strutture societarie prive di sostanza (cd. empty shells);

– prevedono presìdi rafforzati nei confronti di fornitori terzi localizzati in Paesi non UE, al fine di assicurare la piena conformità alle normative europee e l’effettiva capacità di vigilanza da parte delle autorità competenti;

–  pongono un focus esplicito sul rischio di concentrazione, con particolare riguardo ai casi in cui un numero limitato di fornitori eroga funzioni rilevanti a più soggetti del sistema finanziario;

– stabiliscono tempistiche transitorie, concedendo alle entità finanziarie fino a due anni dall’entrata in vigore per riesaminare e adeguare gli accordi esistenti alle nuove regole.

Con queste modifiche, l’EBA intende fornire un quadro più coerente e completo per la gestione del rischio operativo derivante da terze parti, promuovendo una maggiore resilienza delle entità finanziarie e una più efficace convergenza delle pratiche di vigilanza all’interno dell’Unione Europea.

La consultazione resterà aperta fino all’8 ottobre 2025.