supersqualo
Privacy & Sicurezza

DORA: quando il fornitore IA diventa ICT-third-party-provider critico

Sei una banca, una SGR, una assicurazione. Usi un assistente IA basato su OpenAI/Anthropic. Dal 17 gennaio 2025 il Reg. UE 2022/2554 (DORA) ti obbliga a contrattualizzare quel fornitore in modo specifico. Articoli, clausole minime, registro contratti. Niente improvvisazione.

Di Super Squalo·7 min lettura
Nota. L'intelligenza artificiale evolve a una velocità che spaventa. Faccio del mio meglio per aggiornare le guide, ma se questo articolo ha qualche mese alle spalle conviene chiedere conferma per i dettagli più tecnici.

Mercoledì mattina, banca media. Sei il responsabile compliance, ti chiamano in direzione: il direttore generale ha appena firmato un contratto con un fornitore italiano di IA per generare report finanziari. Lui pensa di aver fatto un colpaccio, è felice. Tu apri il contratto, lo leggi due volte, e ti viene il mal di stomaco: non c'è una sola delle clausole che la legge europea sulla resilienza operativa digitale chiede dal 17 gennaio 2025. Tradotto: per la Banca d'Italia, è una violazione tonda.

La norma DORA non è negoziabile. Se sei un soggetto vigilato — banca, società di gestione del risparmio, fondo pensione, assicurazione, infrastruttura finanziaria, fornitore di servizi crypto — hai obblighi precisi e scadenze già scadute.

Il pasticcio in cui finisci se firmi un contratto IA "normale"

La legge dice che chiunque ti fornisca servizi tecnologici a supporto delle tue funzioni operative è un fornitore tecnologico terzo. Il fornitore IA rientra sempre. Se la funzione che ti dà è "critica o importante" — generazione automatica di report di vigilanza, scoring del rischio cliente, antiriciclaggio — gli obblighi sui contratti si rafforzano.

Il chatbot per il customer care di prima linea probabilmente è importante. La generazione interna di policy aziendali no. Ma il punto è che tu lo devi classificare formalmente, non a sensazione.

Cosa NON puoi fare

Non puoi firmare con un fornitore IA senza un contratto che includa diritti di audit, localizzazione dei dati, livelli di servizio misurabili, strategia di uscita.

Non puoi non sapere chi sta dietro al fornitore. Il tuo fornitore italiano usa OpenAI? OpenAI sta su Microsoft Azure? Devi saperlo, e devi approvarlo. Se cambia subappaltatore senza dirtelo, è una violazione.

Non puoi tenere fuori la strategia di uscita. Cosa fai se il fornitore fallisce? Se lo cambi? Tempi, costi, modalità di trasferimento dei dati: tutto scritto.

Non puoi non tenere il registro dei contratti. È obbligatorio, c'è un formato standard pubblicato dalla Commissione, e va trasmesso annualmente alle autorità competenti. Banca d'Italia ha già pubblicato la circolare attuativa.

Non puoi ignorare il rischio di concentrazione. Se tutti i fornitori IA italiani che usi stanno dietro le quinte su OpenAI, hai concentrazione sistemica. Va valutata e documentata nel risk assessment.

Cosa invece si può fare bene

Le clausole minime che il contratto IA deve avere sono dieci, e si scrivono in due ore con l'avvocato giusto.

Descrizione del servizio: modello IA, versione, endpoint, retention dei dati, materiale di addestramento. Localizzazione dei dati: dove sono trattati, dove sono storati, chi li tocca. Disponibilità e performance: uptime, latenza, accuratezza minima, tutti misurabili. Sicurezza: certificazioni ISO 27001 e SOC 2 Type II allegate al contratto, aggiornate.

Protezione dati: contratto sul trattamento dati firmato, clausole standard se i dati escono dall'Europa. Diritti di audit: tu o un tuo delegato potete ispezionare il fornitore; le autorità di vigilanza, idem. Cooperazione con le autorità: il fornitore si impegna a collaborare con la Banca d'Italia e con la BCE quando glielo chiedono.

Strategia di uscita: come migri se serve. Notifica incidenti: tempistiche allineate ai tuoi obblighi (parliamo di ore, non di settimane). Subappalto: ogni subappaltatore va approvato da te.

Sulla concentrazione, la soluzione pratica è semplice: diversifica i modelli. Un fornitore con OpenAI dietro, uno con Anthropic, uno con un modello europeo. Oppure usa una piattaforma multi-modello. Documenti la valutazione e dormi.

I paletti che non si toccano

Le sanzioni non sono uniformi a livello europeo, le definiscono i singoli Stati. In Italia la Banca d'Italia può andare fino al 10% del fatturato per le violazioni più gravi. Per i fornitori critici designati a livello europeo, c'è un framework di vigilanza diretto con penalità fino all'1% del fatturato globale al giorno per ogni giorno di inadempimento. Sì, al giorno. Non sono cifre da prendere a ridere.

E ricordati la regola d'oro: il rischio del fornitore è rischio tuo, sempre. Se il fornitore IA va giù, vai giù tu. Se sbaglia, sbagli tu. La firma ce l'hai messa tu sotto.

Una nota personale

Io di mestiere monto sistemi IA privati per imprese italiane, comprese banche e finanziarie che vogliono tenere parte del rischio in casa. Non vendo corsi, non vendo formule magiche. Mi occupo di gente che ha audit veri e fornitori da contrattualizzare con la testa accesa. Se vuoi confrontarti, sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) se ne discute ogni giorno, e si risponde gratis.

Il contratto del direttore, intanto, riprendilo. Stavolta sai dove guardare prima di firmare l'addendum.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza