Il presente articolo esamina il rapporto tra banche e sviluppo tecnologico dall’angolo visuale dell’esternalizzazione di servizi tecnologici. Nel contesto della sua crescente diffusione, tale pratica aziendale incrementa i rischi intrapresi dagli enti creditizi e risulta dunque determinante indagare la fase genetica e dinamica del rapporto con il fornitore. Nella prima prospettiva, l’articolo identifica i criteri che orientano la decisione degli amministratori di affidarsi a terzi nello svolgimento dell’attività di impresa nonché la selezione della controparte contrattuale. Nella seconda prospettiva, si analizza l’impatto di tali criteri sotto il profilo del monitoraggio sul fornitore e dei rimedi attivabili dalla banca in situazioni patologiche. Alla luce dell’adozione del Regolamento DORA, assume infine particolare rilievo il regime di enforcement pubblico come strumento per governare le asimmetrie di potere esistenti tra banche e fornitori di servizi tecnologici, senza trascurare il ruolo complementare assolto dalla responsabilità civile.
This article examines the interplay between banks and technology development from the perspective of the outsourcing of technological services. In the context of its growing spread, this business practice increases the risks undertaken by credit institutions, and therefore it is crucial to investigate the relationship with the provider. From a first standpoint, the article identifies the criteria that guide the directors’ decision to outsource and the selection of the contractual counterparty. From a second standpoint, the article analyzes the impact of these criteria on the monitoring activity of the supplier and the remedies potentially exercised by the bank in case of violations. Finally, in light of the DORA Regulation adoption, the public enforcement regime governing the power asymmetries between banks and technological service providers is discussed, without neglecting the complementary role played by civil liability.
1. L’emersione del fenomeno. - 2. La decisione di esternalizzare servizi tecnologici. - 3. La competenza dell’organo amministrativo. - 4. Il ruolo delle funzioni aziendali. - 5. Scelta informata e valutazione del rischio. - 6. I paradigmi della scelta. - 7. Continuità e qualità del servizio come criteri conformativi della scelta. - 8. La composizione dei criteri e la responsabilità degli amministratori. - 9. Monitoraggio e rimedi verso il fornitore di servizi tecnologici. - 10. Asimmetria di potere nell’esternalizzazione di servizi tecnologici. - 11. L’enforcement di natura pubblica. - 12. L’enforcement di natura privata. - NOTE
Il ricorso a tecnologie all’avanguardia è diventato un imperativo strategico per le società bancarie. Una pluralità di fattori favorisce il percorso di trasformazione digitale: l’impatto dell’emergenza pandemica sull’operatività delle banche, la netta preferenza dei clienti per soluzioni digitali nella gestione quotidiana dei servizi bancari, la possibilità per la banca di efficientare i propri processi interni e la pressione competitiva di nuovi players in grado di elaborare tecniche di automazione pionieristiche in ambito finanziario [1]. Le banche possono “stare al passo” con la rivoluzione tecnologica decidendo di sviluppare internamente e autonomamente le tecnologie che le stesse considerano opportune per automatizzare la loro attività. La strategia di realizzazione in house impone alle società bancarie di assumere personale con un elevato expertise in ambito tecnologico e avviare piani di formazione delle risorse già incardinate nell’organigramma. Un’ulteriore scelta strategica che rientra nel modello in discussione è la possibilità di effettuare direttamente l’acquisizione o fondersi con start-up che abbiano realizzato tecnologie avanzate per l’erogazione di servizi bancari o lo svolgimento di funzioni interne [2]. In alternativa, al fine di intercettare i benefici derivanti dalla digitalizzazione dell’attività bancaria, la banca può affidare a terzi servizi tecnologici (d’ora in poi, “servizi IT”): come indicato dalla letteratura economica e giuridica, tale scelta comporta il duplice vantaggio di ottenere risparmi di spesa in ragione delle economie di scala del fornitore e, nel contempo, un servizio di elevata qualità per la presenza di un soggetto dotato di risorse specializzate [3]. I vantaggi derivanti dal ricorso al mercato per la prestazione di servizi IT trovano conferma nell’elevata diffusione del fenomeno [4], mostrata dai dati raccolti in ambito bancario. A livello europeo, un recente report realizzato dalle autorità di vigilanza europee – sulla base di un campione di quindicimila fornitori e circa milleseicento istituzioni finanziarie – mostra come più dell’80% di questi enti deleghi a terzi lo svolgimento di servizi IT a supporto di funzioni essenziali o importanti [5]. Coerentemente, l’ultima [...]
La banca dispone di diverse modalità per integrare servizi IT nella propria attività, che spaziano dalla realizzazione in house a pratiche di esternalizzazione. La conformazione tecnologica delle attività e dei processi bancari transita da questa importante decisione strategica, della quale diviene indispensabile – in punto di poteri e responsabilità – stabilire i criteri che ne guidano l’assunzione.
Risulta in primo luogo necessario stabilire quale organo sociale sia deputato ad assumere la scelta di esternalizzare un servizio IT. Al riguardo, significative indicazioni sono fornite dalla Circolare n. 285/2013 adottata da Banca d’Italia. Infatti, nell’ambito delle strategie aziendali, l’organo con funzione di supervisione strategica è incaricato di definire l’«eventuale adozione di modelli imprenditoriali, applicazioni, processi o prodotti nuovi, anche con modalità di partnership o esternalizzazione, connessi all’offerta di servizi finanziari ad alta intensità tecnologica (Fintech)» (Parte Prima, Titolo IV, Cap. 1, Sez. III, par. 2.2, lett. f, punto ii). Nella medesima prospettiva, l’organo con funzione di supervisione strategica «definisce e approva la strategia ICT», che a sua volta comprende le «dipendenze chiave da soggetti terzi» (Parte Prima, Titolo IV, Cap. 4, Sez. II, par. 2.1, lett. a). La Circolare 285/2013 aggiunge inoltre che l’organo con funzione di supervisione strategica non dovrebbe essere «investito di questioni che – per il loro contenuto o rilevanza non strategica – possono più efficacemente essere affrontate dall’organo con funzione di gestione o dalle strutture aziendali» (Parte Prima, Titolo IV, Cap. 1, Sez. III, par. 2.2, lett. e). A ben vedere, la medesima distinzione per impatto strategico si riscontra anche nell’ambito dell’esternalizzazione di servizi IT. Infatti, la legge riconosce l’essenzialità o l’importanza della funzione quando è destinata ad incidere sui «risultati finanziari» della banca, sulla «solidità o continuità» dei servizi finanziari e sul «costante adempimento» degli «obblighi previsti dalla normativa applicabile in materia di servizi finanziari» (art. 3, punto 22, Regolamento DORA). Si pensi, per esempio, a tecniche di automazione impiegate per l’esecuzione delle segnalazioni di vigilanza [23] o per la determinazione dei requisiti di capitale. In questo quadro normativo, l’assetto di competenze viene dunque a differenziarsi a seconda della tipologia di funzione esternalizzata e risente del sistema di amministrazione e controllo adottato dalla società bancaria. Nel sistema tradizionale e monistico, quando l’outsourcing riguarda una funzione [...]
Nell’esercizio della loro competenza decisionale, l’organo di supervisione strategica e quello di gestione sono coadiuvati dalle funzioni aziendali interne. La politica di esternalizzazione deve, infatti, prevedere il «coinvolgimento delle funzioni di controllo interno e di altri soggetti con riferimento agli accordi di esternalizzazione» (Orientamenti EBA, par. 42, lett. b). La normativa non precisa, tuttavia, il momento dal quale l’attivazione delle funzioni aziendali interne costituisce un atto dovuto. Diversi argomenti depongono nel senso che tale compartecipazione è richiesta sin dalla fase di selezione del fornitore. Dal punto di vista letterale, occorre soffermarsi sul significato da attribuire al termine «coinvolgimento». Quando tale vocabolo è utilizzato nei confronti dell’attività in capo all’organo di amministrazione, la disciplina chiarisce espressamente che, tra gli ambiti nel quale deve esplicarsi il contributo gestorio, è ricompreso il «processo decisionale» (Orientamenti EBA, par. 42, lett. a). Pertanto, al termine «coinvolgimento» dovrebbe essere attribuito il medesimo significato quando ricorre nei confronti delle funzioni aziendali: la partecipazione delle funzioni interne è, dunque, richiesta sin dalla fase decisionale. Tale osservazione trova conferma nel fatto che la funzione di risk management deve fornire supporto alle decisioni che implicano l’assunzione di rischi [34] e l’affidamento a terzi di attività tecnologiche rientra in tale categoria, incrementando i rischi (in particolare, quello operativo) intrapresi dall’ente (supra, n. 1). L’ordinamento italiano, infine, prevede una forma di coinvolgimento ex ante della funzione di compliance nei «progetti innovativi (…) che la banca intenda» avviare (Circolare n. 285/2013, Parte I, Titolo IV, Capitolo 3, Sezione III, par. 3.2), tra i quali potrebbe rientrare l’attribuzione di servizi tecnologici a soggetti altamente specializzati. Occorre ora identificare le forme in cui si deve concretizzare il coinvolgimento delle funzioni aziendali nella scelta di esternalizzare servizi tecnologici. In primo luogo, i responsabili del risk management e della compliance sono tenuti ad attivare flussi informativi verso l’organo di gestione [35]. In qualità di interlocutori privilegiati dei componenti [...]
Il primo compito richiesto ai componenti dell’organo amministrativo di una banca in sede di scelta consiste nella valutazione degli elementi su cui fondare la decisione di esternalizzare. In proposito, i componenti devono confrontarsi con un paradigma di gestore informato ampiamente dettagliato dal Regolamento DORA e dagli Orientamenti EBA [45]. Infatti, tale quadro normativo specifica i fattori che gli organi competenti devono prendere in considerazione «prima di stipulare l’accordo contrattuale»: (1) l’essenzialità o l’importanza della funzione a supporto della quale è impiegato il servizio IT; (2) il rispetto delle condizioni di vigilanza; (3) i rischi rilevanti; (4) l’idoneità del potenziale fornitore; (5) l’esistenza di conflitti di interesse (art. 28, quarto par., Regolamento DORA). Seppure tali elementi risultino collocati sullo stesso piano, la valutazione del servizio come essenziale o importante assume un ruolo preliminare: se svolta positivamente, comporta un arricchimento dei fattori che devono essere considerati dall’organo di amministrazione, segnando una biforcazione nel modello dell’agire informato. Nel caso di funzione non essenziale o importante, l’organo delegato deve valutare, accanto al rispetto delle condizioni di vigilanza e all’esistenza di conflitti di interesse, la sostenibilità economica e finanziaria dell’outsourcer – avendo particolare riguardo al business model e alla struttura proprietaria [46] –, nonché l’eventuale affidamento infragruppo del servizio [47]. Diversamente, nel caso di funzione essenziale e importante, l’organo amministrativo è tenuto ad estendere il proprio patrimonio informativo all’adeguatezza della struttura organizzativa [48]; al pregio del servizio in termini tecnico-informatici [49]; alla concentrazione dei servizi IT [50]; all’eventualità di un conseguente sub-appalto [51]; alle regole applicabili al fornitore, con particolare riguardo alle disposizioni che ne governano l’eventuale crisi [52] e all’effettiva applicazione della legge in caso di paese terzo [53]. La distinzione dei fattori da prendere in considerazione risulta determinante in quanto delimita il perimetro dell’attività istruttoria e informativa assolta dalle funzioni interne di controllo, sulla cui base [...]
È a questo punto che si innesta la scelta definitiva da parte degli amministratori o dei consiglieri. Tale decisione viene a confrontarsi con due rilevanti paradigmi di gestione. Nel primo, sulla base delle premesse informative e del rischio misurato, gli amministratori della banca compiono la scelta di esternalizzare il servizio, dopo aver svolto una analisi dei costi e dei benefici derivanti dal ricorso alla pratica aziendale [56]. In questo caso, tale scelta sarebbe coperta dalla business judgement rule e risulterebbe pertanto insindacabile, al di fuori delle ipotesi di scelta non informata o manifestamente irragionevole [57]. Indicazioni in questo senso si rintracciano anche nel regime giuridico in materia di outsourcing. In primo luogo, nella valutazione del rischio propedeutica alla decisione, l’autorità di vigilanza competente richiede alla banca di «considerare i benefici e i costi attesi dell’accordo di esternalizzazione proposto» (Orientamenti EBA, par. 66). Sulla stessa linea, le funzioni aziendali sono ritenute essenziali o importanti anche quando la loro interruzione «comprometterebbe sostanzialmente i risultati finanziari» della banca (art. 3, punto 22, Regolamento DORA; Orientamenti EBA, par. 29, lett. a, punto ii). Nel secondo paradigma di gestione, una volta stabilito il livello di rischio residuo, gli amministratori e i consiglieri non beneficiano di una piena libertà decisionale, ma sono tenuti a contemplare all’interno della loro scelta alcuni interessi che la legge intende proteggere. La scelta di esternalizzare sarebbe consentita soltanto nel caso in cui – alla luce del rischio misurato (o misurabile) – tali interessi non siano pregiudicati. In questo caso, la business judgement rule subirebbe un parziale restringimento, in quanto la discrezionalità degli amministratori sarebbe conformata da criteri normativi. La scelta del modello cui adeguare l’azione gestoria dipende necessariamente dal quadro normativo dettato dal legislatore.
Occorre ora stabilire se il legislatore abbia individuato con un sufficiente grado di chiarezza alcuni criteri in grado di conformare la scelta gestoria. In proposito, le regole che espressamente governano l’«analisi preventiva» dell’esternalizzazione si limitano a indicare dal punto di vista metodologico i fattori da considerare, senza nulla dire intorno all’obiettivo cui tale valutazione risulta servente [58]. La ricerca di eventuali criteri normativamente rilevanti deve pertanto essere allargata ad un esame sistematico delle disposizioni in materia di outsourcing. Al riguardo, sembra necessario muovere dalla finalità di resilienza operativa digitale che, come noto, informa l’intera strategia normativa sottesa al Regolamento DORA [59]. Nella sintomatica definizione fornita dal legislatore europeo, la «resilienza operativa digitale» della banca che presta attività «direttamente o indirettamente tramite il ricorso ai servizi offerti dai fornitori terzi» si identifica in due caratteristiche fondamentali: la «costante offerta dei servizi e la loro qualità» (art. 3, punto 1, Regolamento DORA). In tale contesto normativo, assume dunque primaria importanza la necessità di garantire la continuità e la qualità del servizio. Ulteriori indici normativi in questa direzione si rinvengono nelle disposizioni relative al monitoraggio e alla cessazione dell’accordo di esternalizzazione, confermando come tali criteri informino l’intera durata del rapporto di fornitura di servizi IT. In primo luogo, con grande enfasi, il legislatore europeo ha dichiarato che il «monitoraggio dei rischi» associati al fornitore di servizi IT deve essere svolto «in ultima analisi sulla base di un’attenta valutazione di eventuali impatti sulla continuità e la qualità dei servizi finanziari» (Considerando n. 64 Regolamento DORA). Echeggiando tale rilievo, il legislatore europeo ha inoltre richiesto alle banche di avviare strategie di uscita nell’ipotesi del «deterioramento della qualità dei servizi TIC forniti», nonché nel caso di «gravi rischi connessi all’adeguatezza e alla continuità dell’esercizio del rispettivo servizio TIC» (art. 28, ottavo par., primo comma, Regolamento DORA). Infine, in caso di cessazione dell’accordo contrattuale, le [...]
Alla luce di tali considerazioni, la scelta di esternalizzare servizi IT deve essere subordinata al perseguimento dell’efficienza e al contemporaneo soddisfacimento degli standard di continuità e qualità del servizio. Due esempi aiutano a comprendere la portata applicativa del risultato raggiunto. In un primo scenario, la scelta della banca potrebbe ricadere in favore di un fornitore che, pur presentandosi critico sotto l’aspetto della prestazione del servizio, offre la propria collaborazione ad un prezzo significativamente inferiore rispetto ai competitors sul mercato. In questo caso, la necessità di rispettare entrambi i criteri impedisce alla banca di stipulare l’accordo di esternalizzazione IT con quel fornitore. In un secondo scenario, la banca potrebbe avvalersi di un fornitore che, pur offrendo un significativo vantaggio in termini di competitività, beneficia di un potere negoziale difficilmente governabile. In un contesto di mercato che continua ad essere caratterizzato da un forte grado di concentrazione, la banca dovrà privilegiare i soggetti che – a parità di asimmetria di potere – offrono i migliori standard qualitativi e i più ampi poteri di controllo sulla loro operatività. Nell’impossibilità di individuare fornitori adeguati, la banca non è tuttavia immediatamente costretta a internalizzare l’esecuzione del servizio IT. L’opzione intermedia è costituita dalla fornitura infragruppo: da un lato, l’istanza di efficienza è garantita dal maggior grado di specializzazione che consegue alla segmentazione dell’impresa; per altro verso, il rischio di pregiudizi all’operatività è significativamente mitigato per il fatto che la banca è in grado di esercitare un più elevato controllo sull’operatività della società controllata [63]. È soltanto in assenza di quest’ultima opzione strategica che la banca sarà tenuta a realizzare il servizio in house [64]. In questa prospettiva, gli amministratori sono tenuti a dare conto delle ragioni per cui la selezione del fornitore non presenta un rischio residuo tale da compromettere gli interessi protetti dal legislatore e, nel contempo, non dimentica esigenze di efficienza. La qualità e la continuità del servizio IT, ricavabili dagli indici normativi indicati e dal [...]
La rilevanza normativa dell’accordo tra banca e fornitore di servizi IT non si esaurisce al termine della scelta; a tale fase, segue la cruciale attività di monitoraggio sulla controparte contrattuale svolta dalla banca e, in particolare, dai soggetti responsabili del monitoraggio [74], nonché dalle funzioni di controllo interne [75]. Lo svolgimento di un’adeguata attività di controllo è assicurato tramite due principali strategie normative: la conformazione degli assetti organizzativi della banca e la eterodeterminazione da parte del legislatore europeo di alcune clausole del contratto concluso con il fornitore di servizi IT a supporto di funzioni essenziali o importanti [76]. La politica di esternalizzazione deve poi prevedere i diversi metodi attraverso cui la banca deve condurre la propria attività di monitoraggio [77]. Tale attività è ultimamente funzionale ad aggiornare regolarmente la valutazione di rischio compiuta in sede di scelta [78] e verificare la compliance dell’attività del fornitore con gli obblighi normativi e contrattuali [79]. A questo scopo, diviene cruciale definire il perimetro sul quale deve ricadere l’attività di monitoraggio nel rispetto del dovere di diligenza richiesto alle banche [80]. Il framework normativo europeo afferma espressamente che l’attività di controllo del servizio esternalizzato deve essere diretta a verificare la performance del fornitore [81]. I numerosi riferimenti da parte del legislatore alla «performance» del servizio potrebbero essere intesi come rivolti all’esclusivo rispetto dei livelli di servizio prescritti a livello contrattuale [82]. Se così fosse, verrebbe segnalata una restrizione del perimetro del monitoraggio in confronto al novero di fattori esaminato in sede di scelta. Tale interpretazione restrittiva è tuttavia superata dalla forza espressiva della previsione per cui il monitoraggio è ultimamente governato dalla «valutazione di eventuali impatti sulla continuità e la qualità dei servizi finanziari» (Considerando n. 64 Regolamento DORA); in conformità a tale approccio, il diritto europeo prevede che la banca «è tenuta a valutare se i fornitori (…) soddisfano standard (…) di qualità adeguati» [art. 9, secondo par., Regolamento Delegato (UE) [...]
Le considerazioni svolte sinora presuppongono la possibilità di monitorare perfettamente il fornitore, potendo la banca rilevare nel continuo le criticità della fornitura di servizi IT e approntare tempestivamente i rimedi opportuni. Tuttavia, è sufficiente immaginare la difficoltà per un ente creditizio di monitorare e, successivamente, contestare il funzionamento del software di gestione del portafoglio fornito da un soggetto come BlackRock [104]. Tale esemplificazione mostra come il monitoraggio della banca si confronti con il problema dell’asimmetria di potere di cui può godere il fornitore [105], specialmente all’interno di un mercato di servizi IT particolarmente concentrato. Tale asimmetria può essere ricondotta almeno ad una triplice forma: (1) un outsourcer tanto influente per dimensioni e reputazione al punto di pregiudicare la capacità della banca di incidere sulla sua operatività; (2) un outsourcer tanto specializzato da impedire alla banca una sostituzione agevole; (3) un outsourcer tanto integrato nei sistemi operativi perché la banca possa supplire a tale fornitura. In questi casi, la banca potrebbe trovare difficoltà ad effettuare in maniera adeguata il monitoraggio [106] oppure a “farsi rispettare” e assicurare la continuità e la qualità del servizio. In altri termini, la banca si attiva per adempiere ai propri obblighi, ma si inserisce un fattore esterno (= il potere negoziale dell’outsourcer) che, da un lato, impedisce di monitorare il fornitore o dare seguito alle risultanze del controllo e, per altro verso, conduce ad approdi incerti in tema di responsabilità degli amministratori e consiglieri della banca per l’inefficacia dell’attività di controllo svolta [107]. Tali osservazioni aiutano a comprendere le ragioni per cui la mitigazione dei rischi associati all’esternalizzazione di servizi IT non possa prescindere da un efficace regime di enforcement pubblico, tanto nella sua accezione di potere di vigilanza, quanto nella forma di apparato sanzionatorio. Il danno causato dall’inefficace condotta della banca sarebbe infatti destinato a impattare sulla tenuta dell’ente vigilato e a trasmettersi ai clienti. In questo modo, la stabilità del sistema finanziario e, in particolare, la fiducia dei depositanti potrebbero essere compromessi o quantomeno [...]
A fronte dell’esigenza di contrastare la predetta asimmetria di potere, l’inferiorità contrattuale della banca attribuisce importanza alla previsione di poteri di vigilanza, capaci di incidere effettivamente sulla condotta del fornitore. Tuttavia, l’attuale ordinamento configura un modello di vigilanza c.d. indiretto, poiché i poteri assegnati all’autorità competente possono essere esercitati esclusivamente nei confronti della banca e, per il tramite di essa, riflettersi sulla condotta del fornitore. Infatti, l’esercizio dei poteri informativi [108] e ispettivi [109] verso l’outsourcer consente all’autorità di acquisire una maggior cognizione di causa del rapporto di esternalizzazione, in modo da indicare alla banca le misure correttive da apportare sulla propria struttura organizzativa e patrimoniale [110] oppure richiedere l’esercizio di rimedi nei confronti del fornitore di servizi IT [111]. Nel caso di inadempimento delle indicazioni pubbliche senza adeguata motivazione nella prospettiva dei criteri conformativi in materia di outsourcing, l’autorità di vigilanza competente potrà impiegare i propri strumenti di reazione verso gli amministratori e i consiglieri della banca quali, ad esempio, i poteri di intervento previsti dall’art. 53-bis, primo comma, t.u.b. Anche la potestà sanzionatoria vede come destinatari principali la banca e, in determinati casi, gli esponenti e il personale. Nel quadro normativo italiano, tale considerazione vale nonostante il potere in capo all’autorità competente di irrogare una sanzione amministrativa ex art. 144, primo comma, t.u.b. [112] a coloro ai «quali sono state esternalizzate funzioni aziendali» o «funzioni aziendali essenziali o importanti» per la violazione delle disposizioni da esso indicate [113]. Benché preveda un perimetro particolarmente ampio, infatti, tale previsione non deve essere interpretata nel senso che la potestà sanzionatoria sia diretta a punire la condotta del fornitore per la prestazione dei propri servizi IT. Appare inevitabile affermare che quest’ultimo non è un soggetto sottoposto a vigilanza pubblica e, per conseguenza, non può essere destinatario di alcun obbligo che legittimi la sanzione comminata. In questi termini, la sanzione può essere irrogata soltanto per [...]
La responsabilità civile del fornitore di servizi IT potrebbe giocare un ruolo significativo per il perseguimento delle finalità di tutela del Regolamento DORA, poiché potrebbe incentivarlo ad adottare le cautele necessarie affinché venga evitata ad un costo ridotto la realizzazione di danni particolarmente rilevanti [123]. In questi termini, tale meccanismo di enforcement pare idoneo a svolgere una funzione complementare rispetto al regime di vigilanza diretto introdotto dall’intervento normativo europeo. Il framework europeo, per la verità, ruota attorno al principio cardine della responsabilità della banca per il rispetto di tutte le regole ad essa applicabili, a prescindere dalle tecniche con il quale viene articolato il proprio processo produttivo. Tale aspetto, già presente negli Orientamenti EBA [124] ha ricevuto palese conferma in ambito tecnologico nel Regolamento DORA: le «entità finanziarie … rimangono sempre pienamente responsabili del rispetto e dell’adempimento di tutti gli obblighi previsti dal presente regolamento e dalla normativa applicabile in materia di servizi finanziari» (art. 28, primo par., lett. a, Regolamento DORA) [125]. Il corollario di tale principio è che l’affidamento di servizi IT al di fuori dell’organizzazione aziendale non può in alcun modo rappresentare un mezzo attraverso il quale la banca trasferisce in capo al fornitore la formale imputazione delle regole imposte dal diritto bancario e dal diritto del mercato dei capitali [126]. Tale esito, del resto, non è per nulla sorprendente poiché discenderebbe anche dall’applicazione delle regole previste nel codice civile. Come sostenuto in dottrina, l’affidamento a terzi di una fase dell’impresa per l’adempimento delle obbligazioni assunte verso i clienti è riconducibile alla previsione dell’art. 1228 c.c. [127], secondo cui il «debitore che nell’adempimento dell’obbligazione si vale dell’opera di terzi, risponde anche dei fatti dolosi o colposi di costoro». Nel silenzio della normativa, il principio di responsabilità non esclude che quando il fatto è imputabile – in tutto o in parte – all’outsourcer possa insorgere un inadempimento del contratto stipulato con la banca [128]. In tale caso, [...]