A cura di Fabrizio Cascinelli, Mario Zanin e Silvia Brezigia
Normativa europea – Resilienza operativa digitale (DORA)
Resilienza operativa digitale nel settore finanziario
Regolamento e Direttiva
Sulla Gazzetta Ufficiale dell’Unione Europea del 27 dicembre 2022 sono stati pubblicati i seguenti provvedimenti:
- Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (Regolamento DORA);
- Direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio del 14 dicembre 2022 che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario.
I provvedimenti rientrano nell’ambito del pacchetto di misure europee per la finanza digitale (“Digital finance package”), il cd. Pacchetto FinTech, che comprende anche la strategia europea per la finanza digitale e per i pagamenti al dettaglio, la proposta legislativa sulle cripto-attività (cd. Regolamento MiCAR) e il Regolamento (UE) 2022/858 relativo a un regime pilota per le infrastrutture di mercato basate sulla tecnologia a registro distribuito.
Più nello specifico, il Regolamento DORA è volto a garantire un livello comune elevato di resilienza operativa digitale e stabilisce obblighi uniformi in relazione alla sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie regolamentate.
Nell’ambito di applicazione del Regolamento rientrano tutti gli operatori del settore finanziario tra cui gli enti creditizi, gli istituti di pagamento, i prestatori di servizi di informazione sui conti, gli istituti di moneta elettronica, le imprese di investimento, i fornitori di servizi per le cripto-attività, i gestori di fondi di investimento alternativi, le società di gestione, le imprese di assicurazione e di riassicurazione, gli enti pensionistici, i fornitori di servizi di crowdfunding. Tali soggetti obbligati sono tenuti ad attuare le norme previste dal Regolamento secondo il principio di proporzionalità, valutando le proprie dimensioni, il proprio profilo di rischio complessivo, la natura e la complessità dei servizi e delle attività.
Il Regolamento è strutturato nei seguenti 9 Capi:
Capo I “Disposizioni generali”;
Capo II “Gestione dei rischi informatici”;
Capo III “Gestione, classificazione e segnalazione degli incidenti informatici”;
Capo IV “Test di resilienza operativa digitale”;
Capo V “Gestione dei rischi informatici derivanti da terzi”;
Capo VI “Meccanismi di condivisione delle informazioni”;
Capo VII “Autorità competenti”;
Capo VIII “Atti delegati”;
Capo IX “Disposizioni transitorie e finali”.
Il Regolamento – da considerarsi un atto giuridico settoriale rispetto alla cd. Direttiva NIS 2 (Direttiva (UE) 2022/2555) – si applica a decorrere dal 17 gennaio 2025.
Con riferimento alla Direttiva, invece, essa è volta ad armonizzare i requisiti connessi alla gestione dei rischi informatici nel settore finanziario che sono previsti dalle Direttive 2009/65/CE (UCITS), 2009/138/CE (Solvency II), 2011/61/UE (AIFMD), 2013/36/UE (CRD IV), 2014/59/UE (BRRD), 2014/65/UE (MiFID II), (UE) 2015/2366 (PSD II) e (UE) 2016/2341 (EPAP); pertanto la Direttiva dispone specifiche modifiche alle citate Direttive per garantire la gestione adeguata e completa dei rischi digitali cui sono esposte tutte le entità finanziarie.
Gli Stati membri sono tenuti ad adottare e applicare le necessarie misure per conformarsi alla Direttiva dal 17 gennaio 2025, ossia la medesima data di applicazione del Regolamento DORA, al fine di garantire un’attuazione coerente del nuovo quadro sulla resilienza operativa digitale per il settore finanziario.
Entrambi i provvedimenti sono in vigore dal 16 gennaio 2023.
Normativa europea – Cibersicurezza / Direttiva NIS 2
Cibersicurezza e resilienza dei soggetti critici
Direttive
Sulla Gazzetta Ufficiale dell’Unione Europea del 27 dicembre 2022 sono stati pubblicati i seguenti provvedimenti:
- Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (Direttiva NIS 2);
- Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio del 14 dicembre 2022 del Parlamento europeo e del Consiglio relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio.
La Direttiva NIS 2 rappresenta il riesame delle norme europee in materia di sicurezza delle reti e dei sistemi informativi di cui alla Direttiva (UE) 2016/1148 (cd. Direttiva NIS) di cui viene disposta l’abrogazione.
La finalità della Direttiva NIS 2 è quella di armonizzare gli obblighi in materia di sicurezza e di segnalazione degli incidenti, eliminando le divergenze attualmente presenti nei vari Stati membri; inoltre, la nuova Direttiva stabilisce un criterio uniforme per determinare quali soggetti sono da considerarsi essenziali o importanti e quindi rientrano nell’ambito di applicazione delle norme in questione (regola della soglia di dimensione).
Tra i settori considerati ad alta criticità, i cui soggetti sono considerati “essenziali”, rientra il settore bancario; tuttavia, il Regolamento DORA (Regolamento (UE) 2022/2554) prevede requisiti più rigorosi per i soggetti finanziari in materia di gestione dei rischi informatici e segnalazione di incidenti connessi alle tecnologie dell’informazione che, pertanto, devono essere rispettati. Di conseguenza, gli Stati membri non devono applicare le disposizioni della Direttiva NIS 2 riguardanti gli obblighi di gestione e segnalazione dei rischi di cibersicurezza ai soggetti finanziari contemplati dal Regolamento DORA.
Con riferimento, invece, alla Direttiva sulla resilienza dei soggetti critici, essa abroga la previgente Direttiva sulle infrastrutture critiche europee (Direttiva 2008/114/CE) al fine di rafforzare la resilienza dei soggetti critici nel mercato interno, modificando l’approccio applicato per garantire che si tenga maggiormente conto dei rischi e stabilendo norme minime armonizzate in termini di settori e categorie di soggetti che rientrano nel suo ambito di applicazione.
Più nello specifico tale Direttiva crea un quadro generale per affrontare la resilienza dei soggetti critici rispetto a tutti i rischi, naturali e di origine umana, accidentali e intenzionali.
I requisiti per la gestione dei rischi nel settore finanziario sono già ampiamente definiti dalla regolamentazione di settore e dal nuovo Regolamento DORA; pertanto, la maggior parte dei requisiti previsti dalla presente Direttiva (Capo III, IV e VI) non si applicano a tali soggetti, al fine di evitare duplicazioni e oneri amministrativi non necessari.
Tuttavia, considerata l’importanza dei servizi forniti dai soggetti del settore finanziario ai soggetti critici appartenenti a tutti gli altri settori, si applicano ai soggetti del settore finanziario le disposizioni relative alle strategie, alle valutazioni del rischio dello Stato membro e alle misure di sostegno (previste al Capo II).
Gli Stati membri sono tenuti ad adottare le necessarie misure per conformarsi alle Direttive entro il 17 ottobre 2024 e ad applicarne le disposizioni dal 18 ottobre 2024.
Dalla medesima data sono abrogate la Direttiva NIS e la Direttiva sulle infrastrutture critiche europee.
Entrambi i provvedimenti sono in vigore dal 16 gennaio 2023.
Normativa europea – Disciplina prudenziale / Autorizzazione
Domanda di autorizzazione come ente creditizio
Regolamenti delegati e Regolamento di esecuzione
Sulla Gazzetta Ufficiale dell’Unione Europea del 29 dicembre 2022 sono stati pubblicati i seguenti Provvedimenti integrativi della Direttiva 2013/36/UE sulla vigilanza prudenziale sugli enti creditizi (CRD IV):
- Regolamento delegato (UE) 2022/2579 della Commissione del 10 giugno 2022 che integra la Direttiva 2013/36/UE del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano le informazioni che un’impresa deve fornire nella domanda di autorizzazione in conformità dell’articolo 8 bis di tale Direttiva;
- Regolamento delegato (UE) 2022/2580 della Commissione del 17 giugno 2022 che integra la Direttiva 2013/36/UE del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano le informazioni da fornire nella domanda di autorizzazione come ente creditizio e gli ostacoli che possono impedire l’efficace esercizio delle funzioni di vigilanza delle autorità competenti; e
- Regolamento di esecuzione (UE) 2022/2581 della Commissione del 20 giugno 2022 che stabilisce norme tecniche di attuazione per l’applicazione della Direttiva 2013/36/UE del Parlamento europeo e del Consiglio per quanto riguarda la presentazione delle informazioni nelle domande di autorizzazione degli enti creditizi.
Il Regolamento delegato (UE) 2022/2579 è stato adottato ai sensi dell’articolo 8 bis “Condizioni specifiche per l’autorizzazione degli enti creditizi di cui all’articolo 4, paragrafo 1, punto 1), lettera b), del regolamento (UE) n. 575/2013” della Direttiva CRD IV, introdotto dalla Direttiva (UE) 2019/2034 sulla vigilanza prudenziale sulle imprese di investimento (IFD).
Tale Regolamento delegato specifica le informazioni che le imprese di investimento – che soddisfano determinate condizioni previste dal Regolamento (UE) n. 575/2013 (CRR) – devono includere nella domanda di autorizzazione come ente creditizio. Tali informazioni riguardano, ad esempio, i dati identificativi e le informazioni storiche, le attività proposte, la situazione finanziaria corrente, il programma di attività e il capitale iniziale del soggetto richiedente.
Il Regolamento delegato (UE) 2022/2580, invece,è stato adottato ai sensi del paragrafo 2 dell’articolo 8 “Autorizzazione” della Direttiva CRD IV come modificata dalla Direttiva (UE) 2019/878 (CRD V).
Tale Provvedimento dettaglia le informazioni che devono essere inserite all’interno della domanda di autorizzazione come ente creditizio. Tali informazioni riguardano, ad esempio, l’identità, la storia, le attività, le informazioni finanziarie, le struttura di governance e i soci/azionisti dell’ente creditizio richiedente.
Infine, il Regolamento di esecuzione (UE) 2022/2581 è stato adottato ai sensi del paragrafo 3 dell’articolo 8 “Autorizzazione” della CRD IV come modificata dalla Direttiva (UE) 2019/878 (CRD V).
Il Regolamento di esecuzione prevede, in Allegato, il modello che gli enti creditizi richiedenti devono utilizzare per fornire all’Autorità competente tutte le informazioni previste dal sopra citato Regolamento delegato (UE) 2022/2580.
I Provvedimenti entrano in vigore il 18 gennaio 2023 e sono direttamente applicabili in ciascuno degli Stati membri.
Normativa nazionale – Credito al consumo
Recesso dai contratti di credito ai consumatori
Disegno di Legge
Il Senato della Repubblica ha pubblicato, il 30 dicembre 2022, il Disegno di legge n. 33 avente ad oggetto la “Modifica all’articolo 125-quater del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, in materia di recesso dai contratti di credito ai consumatori”.
Tale Disegno di legge – comunicato alla presidenza del Senato il 13 ottobre 2022 – prevede la sostituzione del comma 2 dell’articolo 125-quater “Contratti a tempo indeterminato” del TUB (Testo Unico Bancario di cui al Decreto legislativo 1° settembre 1993, n. 385) che riguarda il diritto del finanziatore a recedere dal contratto di credito e a sospendere l’utilizzo del credito al consumatore.
Le modifiche a tale articolo sono volte a tutelare i consumatori (tra cui rientrano anche le piccole e medie imprese) nel caso in cui il finanziatore eserciti il diritto di recedere dal contratto di credito a tempo indeterminato; in particolare, la finalità è quella di permettere alle imprese finanziate di non essere soggette a improvvise sospensioni di utilizzo del credito concesso che potrebbero portare a situazioni di dissesto finanziario.
Pertanto, il Disegno di legge propone le seguenti modifiche al sopra citato articolo del TUB:
- la durata del preavviso viene allungata dagli attuali due mesi a sei mesi, durante i quali il cliente potrà continuare ad utilizzare il credito che gli è stato concesso secondo le condizioni pattuite;
- la nozione di “giusta causa”, al verificarsi della quale il finanziatore può sospendere l’utilizzo del credito al cliente, viene espressamente definita; e
- il termine entro cui il finanziatore deve comunicare la sospensione dell’utilizzo del credito al cliente viene definito e corrisponde ai tre giorni successivi dal verificarsi della giusta causa.
Il Disegno di legge – che attualmente deve ancora essere assegnato alle Commissioni competenti per l’esame – dovrà essere approvato da entrambe le Camere del Parlamento per essere successivamente promulgato in Legge.
Normativa nazionale – Regolamentazione SIM
Attuazione nazionale della Direttiva IFD (2019/2034) e del Regolamento IFR (2019/2033)
Provvedimenti Banca d’Italia
Ad esito della consultazione pubblica tenutasi tra il 6 maggio e il 5 luglio 2022, Banca d’Italia ha pubblicato, il 23 dicembre 2022, i seguenti provvedimenti relativi alla regolamentazione delle SIM:
- Regolamento in materia di vigilanza sulle SIM; e
- Provvedimento di modifica del Regolamento di attuazione degli articoli 4-undecies e 6, comma 1, lettere b) e c-bis), del TUF.
I provvedimenti sono volti a recepire la Direttiva (UE) 2019/2034 relativa alla vigilanza prudenziale sulle imprese di investimento (cd. IFD – Investment Firms Directive) e ad attuare il Regolamento (UE) 2019/2033 sui requisiti prudenziali delle imprese di investimento (cd. “IFR – Investment Firms Regulation”) nell’ordinamento nazionale.
Direttiva IFD e Regolamento IFR sono già applicabili dal 2021; in particolare dal 26 giugno 2021 è applicabile l’IFR e dal 2 dicembre 2021 è in vigore il Decreto legislativo 5 novembre 2021 n. 201 che ha trasposto la IFD e allineato l’ordinamento italiano all’IFR.
Con il “Regolamento in materia di vigilanza sulle SIM” Banca d’Italia intende adeguare la vigente disciplina in materia di vigilanza sulle SIM alle disposizioni europee, aggiornandola e consolidando le molteplici disposizioni succedutesi nel tempo in un nuovo e apposito Regolamento che è strutturato come segue.
Nella Parte introduttiva, relativa alle definizioni e all’ambito di applicazione, sono indicati i soggetti destinatari delle disposizioni e cioè le SIM di classe 1-minus, le SIM di classe 2 e di classe 3, le succursali in Italia di imprese di paesi terzi e le imprese di investimento UE.
La Parte prima, relativa all’attuazione in Italia della IFD, riguarda il riordino della disciplina secondaria già esistente e tratta i temi di accesso al mercato delle SIM (come l’autorizzazione), il processo di controllo prudenziale e informativa al pubblico e ulteriori disposizioni di vigilanza (tra cui gli obblighi di vigilanza informativa e ispettiva).
La Parte seconda, relativa all’applicazione in Italia dell’IFR, concerne le opzioni e discrezionalità nazionali riconosciute a Banca d’Italia dalla normativa europea.
Infine, la Parte terza, concernente le disposizioni transitorie e finali, definisce il regime transitorio previsto per i fondi propri ed elenca le disposizioni oggetto di abrogazione.
Per l’applicabilità del Regolamento si attende la pubblicazione in Gazzetta Ufficiale, al momento non ancora avvenuta.
Per completare l’attuazione nazionale al quadro normativo europeo, Banca d’Italia ha modificato il proprio Regolamento di attuazione degli articoli 4-undecies e 6, comma 1, lettere b) e c-bis), del TUF di dicembre 2019, il cd. “Regolamento governance”.
Le modifiche apportate adeguano il Regolamento del 2019 alle disposizioni in materia di governo societario, remunerazioni e controlli interni nella prestazione di servizi e attività di investimento.
Nell’occasione, Banca d’Italia ha dato attuazione (tramite rinvio) a due set di Orientamenti EBA di novembre 2021 riguardanti politiche di remunerazione e governance interna.
Per quanto riguarda l’applicabilità, le modifiche si applicano a partire dal 1° aprile 2023; è, tuttavia, prevista una disciplina transitoria con riguardo ad alcuni aspetti della disciplina di governance delle SIM e alla disciplina in materia di politiche e prassi di remunerazione e incentivazione delle SIM e dei gestori.
Si attende la pubblicazione in Gazzetta Ufficiale, al momento non ancora avvenuta.
Regolamento in materia di vigilanza sulle SIM
Testo integrale aggiornato del Regolamento della Banca d’Italia di attuazione degli articoli 4-undecies e 6, comma 1, lettere b) e c-bis), del TUF
Tavola di resoconto della consultazione – Regolamento in materia di vigilanza sulle SIM
Tavola di resoconto della consultazione – Regolamento del 5 dicembre 2019
Let’s Talk
PwC TLS Avvocati e Commercialisti
Partner