giovedì 13/03/2025 • 06:00
È stato pubblicato sulla Gazzetta Ufficiale 11 marzo 2025 n. 58 il D.Lgs. 23/2025 recante le disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Reg. (UE) 2022/2554, relativo alla resilienza operativa digitale per il settore finanziario e che recepisce la Direttiva (UE) 2022/2556.
Il D. Lgs. 10 marzo 2025, n. 23, detta le disposizioni necessarie all'adeguamento del quadro normativo nazionale al Reg. DORA (il Reg. UE 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022) ed al recepimento della Direttiva DORA (la Direttiva UE 2022/2556 del Parlamento europeo e del Consiglio del 14 dicembre 2022), nonché a garantire il coordinamento con le vigenti disposizioni di settore.
Detto decreto, in vigore dal 12 marzo 2025, individua, altresì, le disposizioni applicabili agli intermediari finanziari ed a Bancoposta in materia di resilienza operativa digitale.
Con il suddetto provvedimento sono definite, tra l'altro, le Autorità competenti a ricevere le segnalazioni dei gravi incidenti nelle tecnologie dell'informazione e della comunicazione (TIC) e le notifiche volontarie, relative alle minacce informatiche significative.
Sul punto, il citato decreto legislativo precisa che, la Banca d'Italia, la Commissione nazionale per la società e la borsa (Consob), l'Istituto per la vigilanza sulle assicurazioni (IVASS) e la Commissione di vigilanza sui fondi pensione (COVIP), sono le autorità competenti per il rispetto degli obblighi posti dal Reg. DORA a carico dei soggetti vigilati dalle medesime autorità.
La Banca d'Italia è l'autorità competente per il rispetto degli obblighi posti dal Reg. DORA a carico di Cassa depositi e prestiti S.p.A., nonché l'autorità competente per il rispetto degli obblighi posti a carico degli intermediari finanziari e di Bancoposta.
Le Autorità competenti DORA, inoltre, individuano forme di coordinamento operativo ed informativo tramite uno o più protocolli d'intesa che garantiscono la tempestiva e completa condivisione dei dati e delle informazioni utili all'esercizio delle proprie funzioni di vigilanza, ivi incluse le informazioni sui gravi incidenti TIC, anche in relazione alle entità finanziarie soggette, ai sensi della normativa di settore, alla vigilanza di più Autorità.
Resilienza operativa digitale per il settore finanziario
Per completezza d'argomento, prima di esaminare quanto introdotto dal sopra menzionato D. Lgs. 23/2025, occorre ricordare che, il Reg. Digital Operational Resilience Act (DORA), è stato progettato per rafforzare la "resilienza informatica" delle entità finanziarie regolamentate.
Tale termine, comprende la capacità di un'organizzazione di supportare l'integrità operativa e la continuità aziendale in caso d'interruzioni, come violazioni dei dati ed attacchi informatici.
L'obiettivo del Reg. (UE) 2022/2554, entrato in vigore il 17 gennaio 2025, stabilisce norme uniformi sulla sicurezza dei sistemi informatici e di rete delle entità finanziarie, quali banche, compagnie d'assicurazione ed imprese d'investimento.
Detto Regolamento, riguarda una vasta gamma d'entità finanziarie regolamentate dell'UE, imponendo loro di resistere, rispondere e recuperare da qualsiasi perturbazione o minaccia relativa alle tecnologie dell'informazione e della comunicazione (TIC).
Nello specifico, il provvedimento riguarda:
Disposizioni applicabili agli intermediari finanziari
Agli intermediari finanziari si applicano le disposizioni contenute nel Reg. DORA ed alle relative norme tecniche di regolamentazione ed attuazione, in quanto compatibili.
Di conseguenza, il decreto legislativo specifica che, agli intermediari finanziari che si qualificano come microimprese, ai sensi dell'art. 3, par. 1, punto 60), del Reg. DORA, non si applica l'art. 24 del citato Regolamento.
Detti intermediari finanziari, eseguono i test con le modalità previste dall'art. 25, par. 3, del medesimo Regolamento.
Le norme contenute al Capo IV del D. Lgs. in commento, disciplinano, invece, i poteri di vigilanza e regolamentari, ai fini dello svolgimento dei compiti previsti dal Reg. DORA, nonché le relative sanzioni amministrative che, lo stesso decreto, prevede all'art. 10, introducendo alcune modifiche al Testo unico delle leggi in materia bancaria e creditizia (D. Lgs. 385/1993).
Sempre il sopra citato art. 10 del decreto in esame, introduce, altresì, modifiche al Testo unico delle disposizioni in materia d'intermediazione finanziaria (D. Lgs. 58/1998).
Come previsto dal suddetto art. 10, inoltre, per stabilire l'importo e la tipologia delle sanzioni amministrative o delle misure di riparazione applicate, le Autorità competenti tengono conto, nel rispetto dell'art. 51, par. 2, del Reg. DORA, della condotta intenzionale o negligente e di tutte le altre circostanze pertinenti, avuto riguardo:
Il provvedimento d'applicazione delle sanzioni, dopo la comunicazione al destinatario, sarà pubblicato senza ritardo e per estratto sul sito internet dell'Autorità competente DORA che lo ha adottato.
Il Capo V del decreto legislativo in esame, invece, introduce ulteriori modificazioni ed integrazioni della normativa di settore, nonché le relative disposizioni di coordinamento.
© Copyright - Tutti i diritti riservati - Giuffrè Francis Lefebvre S.p.A.
Vedi anche
La Camera, nella seduta del 4 marzo 2025, ha approvato in via definitiva il disegno di legge che aggiorna la c.d. Legge capitali, stabilendo una proroga da 12 a 24 mesi ..
Rimani aggiornato sulle ultime notizie di fisco, lavoro, contabilità, impresa, finanziamenti, professioni e innovazione
Per continuare a vederlo e consultare altri contenuti esclusivi abbonati a QuotidianoPiù,
la soluzione digitale dove trovare ogni giorno notizie, video e podcast su fisco, lavoro, contabilità, impresa, finanziamenti e mondo digitale.
Abbonati o
contatta il tuo
agente di fiducia.
Se invece sei già abbonato, effettua il login.