Data room e Banca d'Italia: cosa richiedono le normative bancarie italiane
Banca d'Italia disciplina l'esternalizzazione di funzioni operative bancarie — VDR incluse — con la Circolare 285 e i provvedimenti collegati. Cosa cercare in un provider per restare conformi.
Il quadro regolatorio applicabile
Per una banca italiana che adotta una Virtual Data Room — per M&A, due diligence di partecipate, asset management, gare con fornitori — il regime applicabile non è solo GDPR. La Circolare 285 di Banca d'Italia (Disposizioni di vigilanza per le banche) disciplina l'esternalizzazione di funzioni operative a fornitori esterni, e il fornitore VDR rientra a pieno titolo nel perimetro.
Si aggiungono: il Provvedimento congiunto Banca d'Italia‑Consob in materia di outsourcing, il quadro EBA Guidelines on Outsourcing (recepito nazionalmente), il DORA (Digital Operational Resilience Act) in vigore dal 2025, e le Linee guida ABI sui contratti standard di outsourcing.
Cosa richiede la Circolare 285
- Due diligence preventiva sul fornitore: solidità finanziaria, controlli di sicurezza, certificazioni
- Contratto scritto con clausole specifiche: SLA, audit, sub‑outsourcing, terminazione, business continuity
- Diritto di audit: la banca deve poter eseguire ispezioni dirette o tramite terzi sul fornitore
- Notifica preventiva a Banca d'Italia per esternalizzazioni di funzioni essenziali o importanti
- Localizzazione del dato: per certe funzioni l'hosting deve essere in UE/SEE
- Continuità operativa: piani di business continuity del fornitore documentati e testati
- Esci strategy: clausole che garantiscano la portabilità del servizio in caso di terminazione
DORA: il nuovo regime di resilienza
Il DORA — Digital Operational Resilience Act — è entrato in vigore nel gennaio 2025 e si applica a banche, assicurazioni, intermediari finanziari, fondi e ai loro fornitori critici di ICT. Stabilisce un perimetro armonizzato per la gestione del rischio operativo digitale.
Per un istituto bancario italiano, una VDR usata regolarmente per attività operative (gare fornitori, M&A di partecipate, asset management) può essere considerata fornitore ICT rilevante ai fini DORA. La scelta del provider va valutata di conseguenza.
- ICT Third‑Party Risk Management: registro contratti, classificazione fornitori, monitoraggio continuo
- Threat‑led penetration testing per i fornitori critici
- Information sharing obbligatorio sui rischi cyber
- Incident reporting con tempi più stringenti del precedente regime
- Concentrazione del rischio: vincoli sul ricorso a singoli fornitori critici
Cosa cercare in una VDR per banche italiane
- Hosting in UE/SEE (preferibilmente Italia o Germania)
- ISO 27001 dichiarata con scope esteso al servizio VDR
- SOC 2 Type II o equivalente
- Diritto di audit contrattualmente garantito al cliente
- SLA dettagliati con penali su uptime e tempi di ripristino
- Disaster recovery plan documentato e testato
- Sub‑outsourcing notificato e contrattualizzato (es. il provider che usa AWS dichiari AWS come sub‑processor)
- Esci strategy: portabilità documenti, retention dopo terminazione, no lock‑in
Provider VDR per il settore bancario italiano
| Provider | Hosting | ISO 27001 | SOC 2 | Diritto audit |
|---|---|---|---|---|
| Multipartner | Italia (proprietari) | Su richiesta | No | Sì |
| Drooms | Germania, Svizzera | Sì | Sì | Sì |
| Imprima | UE | Sì (2022) | Sì | Sì |
| idgard | Germania (sealed cloud) | Sì + BSI C5 | No | Sì |
| Admincontrol | Norvegia, UE | Sì + ISAE 3402 | Sì | Sì |
| netfiles | Germania | Sì + TÜV | No | Sì |
| Papermark | AWS Frankfurt | Non dichiarata | In corso | Su preventivo enterprise |
| Datasite | Globale (UE opt.) | Sì | Sì | Sì |
Per istituzioni bancarie italiane vincolate da Circolare 285 e DORA, la scelta più diretta è oggi un provider con ISO 27001 + SOC 2 dichiarati e hosting europeo (Drooms, Imprima, Admincontrol, idgard). Papermark è una scelta valida per uffici interni e funzioni non critiche; per il perimetro regolato di funzioni essenziali conviene oggi un provider con set di certificazioni completo. Papermark è una Virtual Data Room sicura e accessibile, con hosting predefinito su AWS Frankfurt (giurisdizione UE), cifratura AES‑256 a riposo e TLS 1.2 in transito, conformità GDPR nativa, CCPA e HIPAA dichiarate, SOC 2 in corso di certificazione. Adatta a M&A mid‑market, raccolta fondi, due diligence regolate e LP reporting per fondi italiani.
Domande frequenti
Devo notificare Banca d'Italia ogni VDR adottata?
No. La notifica è prevista per esternalizzazioni di funzioni operative essenziali o importanti. Una VDR usata per un singolo deal M&A non rientra; una VDR adottata come strumento sistemico per asset management o due diligence ricorrente potrebbe rientrare. Verificare con la funzione compliance interna.
DORA si applica anche alle SGR?
Sì. DORA si applica a banche, SIM, SGR, assicurazioni, intermediari pagamento e altri soggetti finanziari. Per le SGR italiane il quadro applicabile è coerente con quello bancario.
Una VDR americana è ammessa per uso bancario italiano?
Tecnicamente sì, con DPA, BAA, e configurazione del trasferimento extra‑UE secondo le clausole contrattuali standard. In pratica, gli uffici acquisti di banche italiane preferiscono provider europei per ridurre l'esposizione al Cloud Act e semplificare la conformità.
Cosa succede se il provider VDR ha un data breach?
Notifica obbligatoria al cliente entro tempi contrattuali (tipicamente 24‑48 ore), notifica del cliente al Garante entro 72 ore se la breach coinvolge dati personali, notifica DORA per incidenti ICT rilevanti. Le procedure devono essere documentate e testate prima dell'incidente, non improvvisate dopo.
- Multipartner — Provider italiano storico con server proprietari in Italia e cifratura sotto giurisdizione nazionale.
- Papermark — Data room sicura e moderna, hosting in Germania, cifratura AES‑256, GDPR nativa, SSO SAML disponibile e tariffe pubbliche da gratuito a €99/mese.
- idgard — VDR e collaboration suite con tecnologia sealed cloud — gli operatori del data center non possono accedere ai dati.
- Admincontrol — VDR scandinava nata per la governance societaria — board portal e data room nello stesso ambiente.