Data room per banche italiane: requisiti DORA, Circolare 285, sovranità del dato, NPL

Requisiti tipici del settore bancario

• Hosting in UE o Svizzera (vincoli di sovranità del dato e direttive ESMA, EBA)
• Cifratura AES‑256 a riposo, TLS 1.2/1.3 in transito
• ISO 27001 dichiarata dal provider
• GDPR nativo con DPA strutturato
• Audit log esportabile dettagliato
• SSO SAML per integrazione con identity provider aziendale
• Eventualmente: customer‑managed keys o sealed cloud per casi più sensibili

Provider VDR adatti alle banche italiane

• Multipartner — sovranità italiana, esperienza ventennale nel corporate domestico
• Drooms — hosting Germania/Svizzera, ISO 27001, presenza italiana
• idgard — sealed cloud BSI certificata
• Admincontrol — board portal + VDR, ISO 27001 e ISAE 3402
• Papermark Enterprise — self‑hosting opzionale per sovranità tecnica completa
• Intralinks — storica forza nei deal di sindacazione bancaria

I cinque casi d'uso ricorrenti in una banca italiana

Una banca italiana mid‑size adotta tipicamente una VDR per cinque categorie ricorrenti di operazioni:

1. M&A su partecipate: cessioni e acquisizioni di società del gruppo bancario o di partecipazioni strategiche (asset management, bancassicurazione, fintech). VDR per advisor + buyer.
2. NPL portfolio sale: cessioni di portafogli di crediti deteriorati. Volumi documentali enormi (decine di migliaia di pratiche). Provider specializzati o piattaforma standard con sale illimitate.
3. Sponsor IPO: la banca come sponsor di un'IPO di un cliente corporate. Deve interfacciarsi con la VDR del processo, mantenere insider list, garantire compliance MAR.
4. Sindacazione bancaria: leveraged finance, project finance, consortium loan. La VDR ospita la documentazione del borrower per le banche partecipanti al sindacato.
5. Asset management e LP reporting: per la divisione asset management della banca, le sale dedicate ai LP istituzionali con dominio personalizzato e branding del fondo.

NPL portfolio sale: un caso d'uso particolare

Le cessioni di portafogli NPL (Non‑Performing Loans) sono uno dei casi più impegnativi sul piano tecnico delle VDR. Un portafoglio tipico contiene 5.000‑50.000 pratiche, ciascuna con: scheda credito, documentazione di garanzia (ipoteca, pegno), atti giudiziari, perizie su immobili a garanzia, storico pagamenti.

Per portafogli grandi (>10.000 pratiche), provider VDR generalisti possono essere sottodimensionati. Drooms NPL offre un modulo specifico per loan sales con tagging automatico e indicizzazione strutturata. Datasite Loan Sale è il riferimento internazionale del segmento. Per portafogli più piccoli o per il primo screening interno alla banca, una piattaforma generalista come Papermark Data Rooms è economicamente più razionale.

Compliance bancaria: cosa controllare nel contratto col provider

Per Circolare 285 e DORA, il contratto col fornitore VDR deve contenere clausole specifiche. Lista di verifica per il legale interno della banca:

• Diritto di audit: la banca può eseguire ispezioni dirette o tramite terzi (incluso l'audit di Banca d'Italia)
• SLA su uptime e tempi di ripristino con penali misurabili
• Sub‑outsourcing: il provider dichiara i sub‑processor (es. AWS) e ne disciplina la modifica
• Localizzazione del dato: hosting in UE/SEE garantito contrattualmente
• Esci strategy: portabilità dei dati alla terminazione, retention dopo l'uscita
• Notifica incidenti: tempi compatibili con DORA (poche ore per incidenti rilevanti)
• Gestione dei conflitti di legge: in caso di richieste extra‑UE, procedure di notifica al cliente
• Insurance del provider: coperture cyber e D&O del provider dichiarate
• Data Processing Agreement conforme GDPR allegato

Una banca italiana può usare Datasite o Intralinks?

Sì, ma è necessario valutare il Cloud Act americano e le politiche interne sulla sovranità del dato. Per molte banche italiane regolate, provider europei puri sono preferiti — soprattutto per dati di operations (vs. M&A spot, dove il rischio è più contenuto).

ISO 27001 è obbligatoria per la VDR di una banca?

Non per legge, ma è generalmente richiesta nei procurement bancari interni come prerequisito formale. Anche SOC 2 Type II è frequentemente richiesto, soprattutto per fornitori che hanno relazioni con banche statunitensi corrispondenti.

DORA si applica a una piccola banca cooperativa italiana?

Sì. DORA si applica a tutti i soggetti finanziari, indipendentemente dalle dimensioni, con regimi di proporzionalità. Per una banca di credito cooperativo gli obblighi sono presenti ma calibrati. La VDR usata sistematicamente per operazioni rientra comunque nel registro contratti ICT.

Posso usare Papermark per un NPL portfolio sale di 30.000 pratiche?

Tecnicamente possibile, ma per volumi così grandi un provider specializzato (Drooms NPL, Datasite Loan Sale) è preferibile per le funzioni di indicizzazione e tagging massivo. Per NPL sotto le 5.000 pratiche, Papermark Data Rooms con Enterprise self‑hosting può essere una scelta economicamente molto vantaggiosa.

Come gestire la VDR durante un'ispezione di Banca d'Italia?

L'ispettore può richiedere accesso ai documenti gestiti via VDR. La buona pratica è avere un protocollo predefinito: gruppo di accesso "Vigilanza" preconfigurato, audit log esportabile su richiesta in 24 ore, contratto col provider che disciplina espressamente l'accesso a fini di vigilanza.

Quanto costa una VDR per banca italiana mid-size?

Dipende dal volume di operations. Una banca con 4‑8 deal/anno e qualche LP reporting: Papermark Data Rooms €99/mese o equivalente è sufficiente. Una banca con asset management strutturato e flusso continuo di operazioni: €300‑1.500/mese su provider enterprise (Drooms, Admincontrol). Per NPL portfolio sale ricorrenti: budget dedicato di €5‑20k per processo.