I fondi pensione negoziali, preesistenti con soggettività giuridica e le società istitutrici di fondi aperti devono inviare entro il 16 aprile alla Covip il registro delle informazioni (RoI) sui fornitori terzi di servizi Ict in essere al 31 marzo 2025 (per quanto riguarda le società istitutrici di fondi aperti, l’obbligo riguarda i fornitori dello schema pensionistico). Successivamente la Covip procederà all’inoltro delle informazioni all’Eba. Eiopa, Esma ed Eba procederanno poi alla designazione dei fornitori critici per le entità finanziarie, attesa per la seconda parte del 2025. Tali fornitori saranno soggetti alla vigilanza delle ESAs.

Il controllo sui rischi connessi ai servizi Ict forniti da terzi rappresenta uno dei pilastri della regolamentazione Dora e la mappatura dei fornitori, dei contratti con essi stipulati e dei servizi oggetto dei contratti, costituisce la base di tale pilastro.

Al fine di assicurare una efficace vigilanza sui fornitori critici di servizi Ict, le ESAs sono state incaricate di definire la struttura e l’articolazione del RoI, di modo che tutte le entità finanziarie possano inviare informazioni confrontabili. Il Regolamento di esecuzione (UE) 2024/2956 stabilisce i modelli standard del RoI.

Il registro è strutturato in nove macrosezioni, ciascuna delle quali si articola su uno o più modelli di segnalazione, per un totale di 15 tabelle.

Tabella 1. Struttura del Registro delle informazioni

La Circolare Covip 1505/25 dello scorso 19 marzo chiarisce che le informazioni andranno trasmesse attraverso la piattaforma Infostat-Covip all’interno della quale sarà disponibile la survey “Dorari”. La modalità di trasmissione è “upload file”, quindi la suddetta survey funzionerà soltanto come uno spazio di caricamento (upload) e invio del file del RoI. I flussi di segnalazione vanno inviati distintamente per ciascun fondo di competenza.

I contenuti e il formato delle segnalazioni sono descritti nella pagina dedicata sul sito dell’Eba, in essa è disponibile l’intero technical package del registro. Il pacchetto contiene, tra l’altro, la tassonomia del data point per la descrizione delle variabili, gli schemi dei modelli commentati, le codifiche per le variabili, la descrizione dei controlli cui saranno sottoposti i registri. Si segnala, da ultimo, il file contenente le Faq all’interno del quale sono presenti indicazioni utili all’interpretazione delle tabelle e chiarimenti per la loro compilazione.

Nell’ambito del technical package non sono disponibili i file per la tenuta del registro, si chiarisce infatti nelle Faq che le entità finanziarie possono mantenere il RoI al proprio interno utilizzando gli applicativi che ritengono più adeguati. Tali strumenti devono però essere in grado produrre il registro nel formato plain-csv che è richiesto da Eba. Il pacchetto dei file che compongono il registro va inviato mediante cartella zippata (.zip) utilizzando la denominazione che è riportata di seguito (Cfr. Faq Eba n. 24):

ReportSubject.CON/.IND_Country_FrameworkCodeModuleVersion_Module_ReferenceDate_CreationTim estamp.zip

ReportSubject = Codice Lei dell’entità finanziaria 

CON/.IND = Modalità del reporting: entità individuale (IND) o consolidato (CON)

Country = Codice Iso (due lettere) del paese di origine dell’entità

FrameworkCodeModuleVersion = Indicare DORA 010100

Module = DORA

ReferenceDate = data di riferimento del registro (per la prossima trasmissione utilizzare 2025-0331)

CreationTimestamp = momento in cui il file è stato creato

Esempio di denominazione del file: DUMMYLEI123456789012.CON_IT_DORA010100_DORA_2025-03-31_20250421141632000.zip

Per quanto riguarda la tipologia di codici identificativi da utilizzare per i fornitori terzi di servizi Ict, per le entità finanziarie va utilizzato esclusivamente il codice Lei. Più in generale, nel caso di fornitori terzi che sono persone giuridiche registrate nell’Ue è possibile utilizzare il codice Lei o l’EuId, mentre per quelle registrate in paesi extra-Ue il codice Lei è obbligatorio. Nel caso di fornitori terzi che sono persone fisiche vi è maggiore flessibilità ed è possibile utilizzare altre tipologie di identificativi.

Tabella 2 - Codici identificativi dei fornitori terzi di servizi Ict

Durante la riunione del gruppo di lavoro sui temi comunitari dello scorso 27 marzo si è ampiamente discusso del RoI, i materiali della riunione sono scaricabili dai soci e partner Mefop.

La tematica Dora sarà affrontata nei seguenti percorsi formativi: