Che cosa ha designato il Regno Unito il 13 luglio

Il cambiamento è silenzioso in superficie e grande al di sotto. Il 4 luglio 2026 il Tesoro britannico ha designato formalmente quattro fornitori cloud come terzi critici per il sistema finanziario del Regno Unito, lo ha annunciato il 10 luglio e la vigilanza è entrata in vigore lunedì 13 luglio. Le entità indicate sono Amazon Web Services EMEA SARL, Microsoft Ireland Operations Limited, Google Cloud EMEA Limited e Oracle Corporation UK Limited.

Il potere è nuovo, la preoccupazione no. Le autorità temono da anni che una manciata di fornitori regga ormai gran parte del sistema finanziario, ma fino al Financial Services and Markets Act 2023 potevano vigilare solo su banche, assicuratori e istituti di pagamento, mai sui fornitori da cui questi dipendono. La legge ha creato il regime dei terzi critici proprio per raggiungere il fornitore in modo diretto.

Da lunedì le tre autorità possono agire congiuntamente. La Bank of England, la Prudential Regulation Authority e la Financial Conduct Authority possono ora raccogliere informazioni dai quattro fornitori, valutarne la resilienza operativa, imporre test contro scenari gravi ma plausibili, chiedere autovalutazioni periodiche e ricevere segnalazioni di ogni incidente grave che possa propagarsi nella finanza britannica.

Vigilare sul fornitore non è assumere il vostro rischio

La frase più importante dell'annuncio è quella che non trasferisce nulla. La designazione non è un'autorizzazione. Le autorità vigilano sulla resilienza dei servizi che questi fornitori vendono, non certificano i fornitori e non assumono il rischio. Se il vostro carico di lavoro si spegne perché una regione cede, la responsabilità ricade ancora sulla vostra impresa, che ha scelto il fornitore, l'architettura e il piano di ripristino.

Sarah Breeden, vicegovernatrice della Banca per la stabilità finanziaria, ne ha spiegato la ragione con chiarezza. Man mano che i terzi critici si radicano più a fondo negli istituti finanziari, ha osservato, possono introdurre nuove forme di rischio sistemico. Il regime cerca di vedere quel rischio alla fonte, non di spostarlo dai libri di una singola impresa.

È su questa distinzione che i titolari leggono male la notizia. Un titolo sulla designazione suona come un sollievo, come se qualcuno di più grande possedesse ora il problema. È l'opposto. L'asticella della vostra gestione del rischio di fornitura, del vostro piano di uscita e della vostra mappa di concentrazione si è appena alzata, perché esiste ora uno standard vigilato con cui la vostra stessa autorità può misurarvi.

La concentrazione è ora una categoria ufficiale

Il segnale più profondo è ciò che lo Stato ha ora messo nero su bianco. Nominando quattro fornitori con sede negli Stati Uniti come sistemicamente critici, il Regno Unito ha registrato formalmente che il suo impianto finanziario poggia su un numero molto ridotto di fornitori esteri. Non è più una slide in un comitato rischi, è una designazione con forza di legge alle spalle.

La stessa logica è già viva oltre la Manica. Il regolamento europeo sulla resilienza operativa digitale, noto come DORA, ha creato un regime di vigilanza quasi identico per i terzi critici ICT, gestito dalle Autorità europee di vigilanza. In Italia la Banca d'Italia pone domande simili, e un'impresa attiva su entrambi i lati si trova davanti a due autorità con le stesse due domande: quanto siete concentrati e potete andarvene.

Gli argomenti di sovranità e multicloud smettono qui di essere teorici. La ragione per tenere una via collaudata fuori da un singolo hyperscaler poggiava prima sul principio e sulla leva negli acquisti. Ora poggia anche su uno standard di resilienza che un'autorità può ispezionare, il che trasforma la discussione interna da preferenza in conformità.

Che cosa sistemare prima che l'autorità chieda

Trattate la designazione come una scadenza che vi date da soli. Mappate quali dei vostri carichi critici poggiano su quale dei quattro fornitori, annotate la concentrazione con onestà e provate l'uscita invece di darla per scontata. Un piano di ripristino mai messo alla prova contro un guasto grave ma plausibile è un documento, non una capacità, ed è proprio la lacuna che un ispettore è addestrato a trovare.

Le imprese che appaiono serene in un audit sono quelle che conoscono già la propria risposta. Sanno nominare i loro singoli punti di rottura, mostrare una via collaudata fuori da ciascuno e provare che il consiglio ha discusso la concentrazione prima che un'autorità la sollevasse. La designazione non ha creato quel lavoro, ne ha reso visibile l'assenza.