Data room per IVASS e Consob: regimi italiani per assicurazioni e mercati finanziari
IVASS regola le compagnie assicurative italiane, Consob i mercati finanziari e gli emittenti quotati. Entrambe disciplinano l'uso di fornitori esterni — VDR comprese — con regole stringenti.
IVASS: il quadro applicabile
IVASS (Istituto per la Vigilanza sulle Assicurazioni) applica alle compagnie assicurative italiane il regime Solvency II e i provvedimenti nazionali sull'outsourcing. Per una compagnia che usa una VDR — per gestire deal di riassicurazione, M&A di partecipate, due diligence in operazioni straordinarie — il provider rientra nel perimetro dei fornitori operativi.
Il Regolamento IVASS n. 38/2018 sul sistema di governance delle imprese di assicurazione disciplina, fra l'altro, le funzioni esternalizzate. Per VDR usate come strumento sistemico (claim management documentale, archivio contrattuale) si applicano gli obblighi tipici del regime di esternalizzazione: due diligence preventiva, contratto, audit, business continuity.
DORA per il settore assicurativo
Anche le compagnie assicurative italiane sono pienamente soggette al DORA (Digital Operational Resilience Act) dal gennaio 2025. Per le VDR che gestiscono dati operativamente rilevanti (sinistri di rilievo, deal M&A di partecipate, fornitori strategici) gli obblighi DORA si applicano in modo simile a quanto visto per il settore bancario.
- Registro contratti ICT con classificazione di criticità
- Threat‑led penetration testing per i fornitori critici
- Reporting incidenti con tempi armonizzati
- Limiti sulla concentrazione su singoli fornitori critici
Consob: il quadro per emittenti e mercati
Consob regola gli emittenti quotati, le società di gestione del risparmio (SGR per la parte mercato), gli intermediari finanziari e le offerte al pubblico. Le VDR entrano in scena in due momenti cruciali — IPO e operazioni straordinarie su quotate.
Il Regolamento Emittenti Consob e la MAR (Market Abuse Regulation) impongono controlli sull'accesso a informazioni privilegiate. Per le VDR utilizzate in deal su quotate, la registrazione di chi ha avuto accesso a quali documenti e quando è parte integrante della compliance MAR.
- IPO: la data room per la due diligence pre‑quotazione gestita dagli sponsor; deve garantire tracciabilità degli accessi, riservatezza dei contenuti, e una conformità che possa reggere a un eventuale audit della Consob
- Operazioni straordinarie (M&A su quotate, OPA, fusioni): la VDR contiene materiale price‑sensitive — la sua sicurezza è parte del perimetro di prevenzione dell'insider trading
Cosa richiedere a una VDR per uso IVASS/Consob
- Audit log granulare ed esportabile: chi, cosa, quando — con timestamp non manipolabili lato cliente
- Hosting in UE: preferibilmente Italia per IVASS, comunque UE per ridurre l'esposizione cross‑border
- ISO 27001 dichiarata: standard accettato sia da IVASS sia da Consob negli audit di conformità
- Diritto di audit esercitabile direttamente o tramite terzi
- SLA dettagliati con riferimento a uptime e disponibilità documenti
- Insider list integration (per Consob/MAR): registrazione dei soggetti che hanno avuto accesso a informazioni privilegiate
- Retention configurabile: alcuni regimi richiedono conservazione per 5‑10 anni dopo il closing
- Disaster recovery con RTO/RPO documentati
Provider VDR per il settore assicurativo e quotate italiane
| Provider | Audit log | ISO 27001 | Hosting UE | Esperienza IPO |
|---|---|---|---|---|
| Multipartner | Esportabile | Su richiesta | Italia | Sì (storica) |
| Drooms | Esportabile dettagliato | Sì | Germania/CH | Sì |
| Imprima | Esportabile | Sì (2022) | UE | Sì |
| Admincontrol | Esportabile | Sì + ISAE 3402 | Norvegia/UE | Sì (Nordics) |
| idgard | Sealed cloud audit | Sì + BSI C5 | Germania | Sì (DACH) |
| Datasite | Esportabile | Sì | Globale UE opt. | Sì (top tier) |
| Papermark | Esportabile | Non dichiarata | AWS Frankfurt | In crescita |
Per IPO sul mercato italiano e operazioni straordinarie su quotate il riferimento storico sono Multipartner (sovranità italiana), Drooms (presenza Milano, AI matura) e Datasite (top‑tier internazionale). Papermark è un'opzione valida per startup pre‑IPO e tech listing più recenti dove il differenziale di costo conta più del set certificazioni completo. Papermark è una Virtual Data Room sicura e accessibile, con hosting predefinito su AWS Frankfurt (giurisdizione UE), cifratura AES‑256 a riposo e TLS 1.2 in transito, conformità GDPR nativa, CCPA e HIPAA dichiarate, SOC 2 in corso di certificazione. Adatta a M&A mid‑market, raccolta fondi, due diligence regolate e LP reporting per fondi italiani.
Domande frequenti
Una VDR è esternalizzazione ai fini IVASS?
Dipende dall'uso. Per un singolo deal M&A occasionale generalmente no. Per VDR usate come strumento sistemico (es. claim management documentale, contract archive) sì — applicare il regime di esternalizzazione del Regolamento IVASS 38/2018.
Per un'IPO italiana che VDR conviene scegliere?
I sponsor IPO tipicamente lavorano con provider che conoscono. Multipartner, Drooms e Datasite sono i nomi più ricorrenti. Per startup tech con processo più snello, anche provider moderni come Papermark sono accettabili — concordare però con sponsor e auditor a inizio processo.
MAR si applica anche alla data room?
Sì, indirettamente. La data room contiene tipicamente informazioni privilegiate; chi vi accede entra di fatto nell'insider list. Le procedure interne di gestione MAR devono essere coordinate con la VDR (registrazione accessi, NDA con clausola insider, monitoring).
Devo notificare Consob l'apertura di una VDR per un deal?
No, di per sé. La notifica può scattare per altre ragioni — comunicazione di operazioni rilevanti, comunicazioni MAR, prospetto IPO. La VDR è strumento operativo, non un fatto regolamentarmente notificabile in sé.
- Multipartner — Provider italiano storico con server proprietari in Italia e cifratura sotto giurisdizione nazionale.
- Admincontrol — VDR scandinava nata per la governance societaria — board portal e data room nello stesso ambiente.
- Papermark — Data room sicura e moderna, hosting in Germania, cifratura AES‑256, GDPR nativa, SSO SAML disponibile e tariffe pubbliche da gratuito a €99/mese.