Resilienza digitale nel settore finanziario: adeguamento al Reg. Dora

Il D. Lgs. 10 marzo 2025, n. 23, detta le disposizioni necessarie all'adeguamento del quadro normativo nazionale al Reg. DORA (il Reg. UE 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022) ed al recepimento della Direttiva DORA (la Direttiva UE 2022/2556 del Parlamento europeo e del Consiglio del 14 dicembre 2022), nonché a garantire il coordinamento con le vigenti disposizioni di settore.

Detto decreto, in vigore dal 12 marzo 2025, individua, altresì, le disposizioni applicabili agli intermediari finanziari ed a Bancoposta in materia di resilienza operativa digitale.

Con il suddetto provvedimento sono definite, tra l'altro, le Autorità competenti a ricevere le segnalazioni dei gravi incidenti nelle tecnologie dell'informazione e della comunicazione (TIC) e le notifiche volontarie, relative alle minacce informatiche significative.

Sul punto, il citato decreto legislativo precisa che, la Banca d'Italia, la Commissione nazionale per la società e la borsa (Consob), l'Istituto per la vigilanza sulle assicurazioni (IVASS) e la Commissione di vigilanza sui fondi pensione (COVIP), sono le autorità competenti per il rispetto degli obblighi posti dal Reg. DORA a carico dei soggetti vigilati dalle medesime autorità.

La Banca d'Italia è l'autorità competente per il rispetto degli obblighi posti dal Reg. DORA a carico di Cassa depositi e prestiti S.p.A., nonché l'autorità competente per il rispetto degli obblighi posti a carico degli intermediari finanziari e di Bancoposta.

Le Autorità competenti DORA, inoltre, individuano forme di coordinamento operativo ed informativo tramite uno o più protocolli d'intesa che garantiscono la tempestiva e completa condivisione dei dati e delle informazioni utili all'esercizio delle proprie funzioni di vigilanza, ivi incluse le informazioni sui gravi incidenti TIC, anche in relazione alle entità finanziarie soggette, ai sensi della normativa di settore, alla vigilanza di più Autorità.

Resilienza operativa digitale per il settore finanziario

Per completezza d'argomento, prima di esaminare quanto introdotto dal sopra menzionato D. Lgs. 23/2025, occorre ricordare che, il Reg. Digital Operational Resilience Act (DORA), è stato progettato per rafforzare la "resilienza informatica" delle entità finanziarie regolamentate.

Tale termine, comprende la capacità di un'organizzazione di supportare l'integrità operativa e la continuità aziendale in caso d'interruzioni, come violazioni dei dati ed attacchi informatici.

L'obiettivo del Reg. (UE) 2022/2554, entrato in vigore il 17 gennaio 2025, stabilisce norme uniformi sulla sicurezza dei sistemi informatici e di rete delle entità finanziarie, quali banche, compagnie d'assicurazione ed imprese d'investimento.

Detto Regolamento, riguarda una vasta gamma d'entità finanziarie regolamentate dell'UE, imponendo loro di resistere, rispondere e recuperare da qualsiasi perturbazione o minaccia relativa alle tecnologie dell'informazione e della comunicazione (TIC).

Nello specifico, il provvedimento riguarda:

• crediti, pagamenti, moneta elettronica ed enti pensionistici aziendali o professionali;
• fornitori di servizi d'informazione sui conti, cripto-attività, comunicazione dati, crowdfunding e terze parti TIC;
• imprese d'investimento, fondi d'investimento alternativi, società di gestione, agenzie di rating del credito ed amministratori d'indici di riferimento critici;
• repertori di dati sulle negoziazioni e sulle cartolarizzazioni, depositari centrali di titoli, controparti centrali e sedi di negoziazione;
• imprese d'assicurazione, intermediari assicurativi ed imprese di riassicurazione.

Disposizioni applicabili agli intermediari finanziari

Agli intermediari finanziari si applicano le disposizioni contenute nel Reg. DORA ed alle relative norme tecniche di regolamentazione ed attuazione, in quanto compatibili.

Di conseguenza, il decreto legislativo specifica che, agli intermediari finanziari che si qualificano come microimprese, ai sensi dell'art. 3, par. 1, punto 60), del Reg. DORA, non si applica l'art. 24 del citato Regolamento.

Detti intermediari finanziari, eseguono i test con le modalità previste dall'art. 25, par. 3, del medesimo Regolamento.

Le norme contenute al Capo IV del D. Lgs. in commento, disciplinano, invece, i poteri di vigilanza e regolamentari, ai fini dello svolgimento dei compiti previsti dal Reg. DORA, nonché le relative sanzioni amministrative che, lo stesso decreto, prevede all'art. 10, introducendo alcune modifiche al Testo unico delle leggi in materia bancaria e creditizia (D. Lgs. 385/1993).

Sempre il sopra citato art. 10 del decreto in esame, introduce, altresì, modifiche al Testo unico delle disposizioni in materia d'intermediazione finanziaria (D. Lgs. 58/1998).

Come previsto dal suddetto art. 10, inoltre, per stabilire l'importo e la tipologia delle sanzioni amministrative o delle misure di riparazione applicate, le Autorità competenti tengono conto, nel rispetto dell'art. 51, par. 2, del Reg. DORA, della condotta intenzionale o negligente e di tutte le altre circostanze pertinenti, avuto riguardo:

1. alla rilevanza, alla gravità ed alla durata della violazione;
2. al grado di responsabilità della persona fisica o giuridica responsabile della violazione;
3. alla solidità finanziaria della persona fisica o giuridica responsabile;
4. all'importanza degli utili realizzati o delle perdite evitate da parte della persona fisica o giuridica responsabile, nella misura in cui possano essere determinati;
5. alle perdite subite da terzi a causa della violazione, nella misura in cui possano essere determinate;
6. al livello di cooperazione che la persona fisica o giuridica responsabile ha dimostrato nei confronti dell'autorità competente, ferma restando la necessità di garantire la restituzione degli utili realizzati o delle perdite evitate da tale persona fisica o giuridica;
7. alle precedenti violazioni commesse dalla persona fisica o giuridica responsabile.

Il provvedimento d'applicazione delle sanzioni, dopo la comunicazione al destinatario, sarà pubblicato senza ritardo e per estratto sul sito internet dell'Autorità competente DORA che lo ha adottato.

Il Capo V del decreto legislativo in esame, invece, introduce ulteriori modificazioni ed integrazioni della normativa di settore, nonché le relative disposizioni di coordinamento.