Il tuo infoprovider come risponde alla richiesta dell’ufficio compliance?

Sempre di più la scelta del partner informativo per visure e dati NPL è diventata una questione di responsabilità per le banche, per i servicer, e per gli studi legali.

Facciamo un esempio pratico: il responsabile compliance richiede di produrre la documentazione di sicurezza di tutti i fornitori che trattano dati relativi ai portafogli NPL gestiti, in pochi giorni. Nomi, certificazioni, misure tecniche, sub-processor, piani di incident response. Il tutto in formato audit-ready, perché la settimana dopo c’è una verifica ispettiva.

Hai tre fornitori principali. Due rispondono in poche ore con documentazione strutturata. Il terzo (quello che usi da anni per le visure ipocatastali e la data remediation) ti manda un PDF di quattro pagine con il logo della Privacy Policy del sito web. La scadenza si avvicina, ma la conformità si allontana.

Vendor assessment e fornitori dati NPL: cosa chiedono davvero le istituzioni finanziarie e gli intermediari dopo DORA

Quella richiesta dell’ufficio compliance non è un’eccezione. Da quando il Digital Operational Resilience Act (DORA) è entrato in vigore a gennaio 2025, le banche e i servicer NPL regolamentati hanno l’obbligo normativo (non più solo contrattuale) di mappare, valutare e monitorare ogni fornitore che tocca dati critici. Non basta sapere che esiste: bisogna sapere esattamente cosa fa con quei dati, chi altro ci accede, e cosa succede se qualcosa va storto.

Il risultato pratico è che il responsabile acquisti che fino a ieri valutava un infoprovider sul prezzo e sui tempi di consegna, oggi deve rispondere al CRO di domande che richiedono evidenze concrete: il fornitore ha una certificazione di sicurezza verificabile da un ente terzo? Sa documentare la propria catena di sub-outsourcing? Ha un piano di risposta agli incidenti testato? Notifica i breach entro i tempi contrattuali?

Domande legittime. E per molti fornitori di dati del mercato italiano, domande senza risposta pronta.

Responsabilità GDPR degli studi legali: chi risponde se l’infoprovider subisce un data breach?

Spostiamoci dal tavolo del CISO (Chief Information Security Officer) allo studio di un notaio o di un partner di uno studio legale specializzato in recupero crediti. Il quadro normativo è diverso, ma il rischio rimane lo stesso.

Ogni volta che uno studio affida a un infoprovider la ricerca di visure ipocatastali su un immobile oggetto di compravendita o di esecuzione, sta delegando il trattamento di dati personali a un soggetto terzo. Ai sensi del GDPR, lo studio rimane titolare di quel trattamento. Se il fornitore subisce una violazione (un accesso non autorizzato, un ransomware, un dipendente distratto che manda il file sbagliato) è lo studio che risponde davanti al Garante entro 72 ore. È lo studio che deve comunicare l’incidente agli interessati. È lo studio che, in caso di sanzione, può essere ritenuto responsabile solidale.

La domanda che ogni studio notarile o legale dovrebbe fare prima di firmare un DPA con il proprio infoprovider è semplice: se questo fornitore venisse violato domani, sarei in grado di dimostrare di aver fatto le verifiche necessarie prima di affidargli i dati dei miei clienti?

Un contratto ben redatto aiuta. Ma la vera risposta a quella domanda si chiama certificazione ISO/IEC 27001. E noi di AIM con le BU Credit Solutions e Digital l’abbiamo ottenuta lo scorso 14 aprile.

Cosa cambia concretamente con un fornitore dati certificato ISO 27001

La certificazione ISO/IEC 27001 non è una dichiarazione di intenti. È la verifica, condotta da un ente accreditato terzo, che una società ha costruito, implementato e mantiene attivamente un sistema di gestione della sicurezza delle informazioni. Ogni anno un auditor esterno torna a verificare che quel sistema funzioni davvero.

In termini operativi, significa che quando il tuo compliance officer manda quella mail il martedì mattina, il fornitore certificato può rispondere con:

• il numero del certificato e il nome dell’ente certificatore, verificabile pubblicamente
• il perimetro esatto di cosa è coperto dalla certificazione
• la documentazione sulle misure tecniche adottate — cifratura, controllo degli accessi, log, gestione delle patch
• l’elenco dei sub-processor con accesso ai dati e le garanzie contrattuali su ciascuno
• le tempistiche di notifica incidenti garantite contrattualmente
• la data dell’ultimo penetration test e dell’ultimo audit interno
• il piano di disaster recovery con RPO e RTO verificati

Non è burocrazia. È la differenza tra un fornitore che gestisce la sicurezza in modo reattivo — quando qualcosa va storto — e uno che la gestisce in modo sistematico, con processi documentati e responsabilità chiare.

ISO 27001 e ISO 27017 per infoprovider: perché AIM Credit Solutions ha scelto la doppia certificazione

AIM Credit Solutions ha ottenuto la certificazione ISO/IEC 27001:2022 e la sua estensione ISO/IEC 27017:2015, lo standard specifico per la sicurezza dei servizi cloud.

La scelta di aggiungere il 27017 non è stata casuale. Una parte significativa dei dati che elaboriamo (visure, report immobiliari, output di data remediation) transita attraverso ambienti cloud prima di arrivare al cliente. Il 27017 certifica che quell’ambiente è gestito con controlli aggiuntivi rispetto allo standard base: isolamento tra clienti diversi, gestione degli accessi privilegiati agli ambienti virtuali, procedure di cancellazione sicura dei dati al termine di ogni rapporto contrattuale.

Per i clienti bancari e i servicer NPL, questo significa una cosa concreta: i dati relativi al portafoglio del cliente A non possono essere accessibili – né per errore né per negligenza – agli utenti che lavorano sul portafoglio del cliente B.

Abbiamo affrontato il percorso di certificazione sapendo che avremmo trovato aree di miglioramento. Le abbiamo trovate, le abbiamo risolte, e il risultato è un sistema che oggi ci permette di rispondere a quella richiesta dell’ufficio compliance entro poche ore e con documentazione strutturata.

Checklist vendor assessment: 7 domande da fare al tuo fornitore di visure e dati NPL

Se sei un responsabile compliance bancario, un risk manager di un servicer NPL, o il partner di uno studio legale che gestisce volumi significativi di pratiche immobiliari, queste sono le domande minime da fare al tuo fornitore di dati prima di rinnovare il contratto:

1. HAI UNA CERTIFICAZIONE ISO/IEC 27001 ATTIVA? Chiedi numero certificato ed ente, e verificalo sul registro ACCREDIA.
2. COSA COPRE ESATTAMENTE QUELLA CERTIFICAZIONE? Il perimetro deve includere i servizi che usi tu.
3. CHI SONO I TUOI SUB-PROCESSOR? Ogni soggetto terzo che accede ai tuoi dati deve essere documentato.
4. IN QUANTO TEMPO MI NOTIFICHI UN INCIDENTE? La risposta “entro 72 ore come il GDPR” non è sufficiente: il GDPR parla di notifica al Garante, non a te.
5. QUANDO È STATO FATTO L’ULTIMO PENETRATION TEST? E chi lo ha condotto?
6. HAI UN PIANO DI DISASTER RECOVERY TESTATO? “Testato” significa che qualcuno ha verificato che funzioni, non che esista su carta.
7. POSSO ESERCITARE UN DIRITTO DI AUDIT CONTRATTUALE? Se la risposta è no, rifletti su cosa stai firmando.

Se il tuo fornitore attuale non sa rispondere a queste domande con evidenze concrete, non significa necessariamente che stia lavorando male. Significa che non ha ancora formalizzato il modo in cui lavora bene. La differenza, in sede di ispezione o dopo un incidente, non è trascurabile.

AIM Credit Solutions è un operatore di informazioni commerciali e immobiliari con licenza prefettizia ai sensi dell’art. 134 TULPS. Elaboriamo dati ipocatastali, visure, informazioni commerciali e portafogli NPL per banche, servicer, studi legali, studi notarili, PA e operatori immobiliari. Siamo certificati ISO/IEC 27001:2022 e ISO/IEC 27017:2015 da RCA – Risk Control Advisory, certificato n. IT_881_26_ISMS, valido fino al 13/04/2029.

Per ricevere la nostra scheda fornitore completa o per discutere i requisiti di vendor onboarding del tuo istituto, scrivi a info@aimcreditsolutions.it