A cura di Fabrizio Cascinelli, Mario Zanin e Silvia Brezigia
Normativa europea
Resilienza operativa digitale (DORA)
Eba, Esma, Eiopa (ESAs)
Ad esito della consultazione pubblica tenutasi tra giugno e settembre 2023, le Autorità di Vigilanza europee (EBA, ESMA, EIOPA, nel complesso le c.d. “ESAs”) hanno pubblicato, in data 17 gennaio 2024, le bozze finali di alcuni set di norme tecniche da svilupparsi ai sensi del Regolamento DORA (Regolamento (UE) 2022/2554, Digital Operational Resilience Act).
Il Regolamento DORA, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea del 27 dicembre 2022 e applicabile dal 17 gennaio 2025, istituisce un quadro normativo europeo sulla resilienza operativa digitale nel settore finanziario al fine di garantire la sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie regolamentate.
Alle ESAs è conferito il mandato di sviluppare le norme tecniche di regolamentazione (RTS – Regulatory Technical Standard) e di attuazione (ITS – Implementing Technical Standard), nonché gli Orientamenti, che specificheranno determinati aspetti della materia; le norme saranno successivamente vagliate e poi adottate dalla Commissione europea mediante atti delegati e di esecuzione.
Nello specifico, il Regolamento DORA prevede che un primo set di norme tecniche venga sottoposto alla Commissione europea entro il 17 gennaio 2024 e che un secondo gruppo di norme tecniche sia finalizzato e presentato all’Autorità entro il 17 luglio 2024.
Pertanto, come previsto dal Regolamento, le ESAs hanno pubblicato le bozze finali dei documenti rientranti nel primo set di norme tecniche e le hanno sottoposte alla Commissione europea.
Queste riguardano, nel dettaglio:
- RTS sul quadro di gestione del rischio ICT (ai sensi degli articoli 15 e 16(3), DORA);
- RTS sui criteri per la classificazione degli incidenti legati alle TIC (ai sensi dell’art. 18, DORA);
- ITS per stabilire i modelli per il registro delle informazioni (ai sensi dell’art. 28(9), DORA);
- RTS per specificare la politica sui servizi ICT forniti da fornitori terzi di ICT (ai sensi dell’art. 28(10), DORA).
La Commissione europea adotterà questi primi standard tecnici nei prossimi mesi.
Final report on draft RTS on ICT Risk Management Framework and on simplified ICT Risk Management Framework Scarica il PDF, 1835 KB
Final Report on draft RTS on classification of major incidents and significant cyber threats Scarica il PDF, 1101 KB
Final report on draft ITS on Register of Information Scarica il PDF, 2.3 MB
Final report on draft RTS to specify the policy on ICT services supporting critical or important functions Scarica il PDF, 813 KB
Normativa europea
Antiriciclaggio e Fornitori di servizi legati ai crypto-asset
EBA
Ad esito della consultazione tenutasi tra maggio e agosto 2023, EBA ha pubblicato – in data 16 gennaio 2024 – la versione finale di un set di Orientamenti volti a modificare i propri “Orientamenti relativi ai fattori di rischio di ML/TF” del 2021.
Le modifiche disposte da EBA sono volte ad estendere l’ambito di applicazione degli Orientamenti del 2021 ai prestatori di servizi legati ai crypto asset (cd. CASP – Crypto-Asset Service Providers).
Anche i CASP, infatti, sono esposti a rischi di riciclaggio (ML) e finanziamento del terrorismo (TF) come gli enti creditizi e gli istituti finanziari.
Pertanto, EBA ha definito le misure che i prestatori di servizi legati ai crypto asset dovrebbero adottare per identificare e attenuare in maniera efficace i suddetti rischi nonché le indicazioni per gli enti creditizi e istituti finanziari, riguardo i rischi da considerare quando instaurano un rapporto d’affari con un CASP, oppure quando sono esposti, in altro modo, ai crypto asset.
Si attendono ora le traduzioni degli Orientamenti nelle lingue ufficiali dell’UE; essi saranno applicabili a decorrere dal 30 dicembre 2024.
EBA issues guidance to crypto-asset service providers to effectively manage their exposure to ML/TF risks Vai al comunicato
Guidelines amending Guidelines EBA/GL/2021/02 (“The ML/TF Risk Factors Guidelines”) Scarica il PDF, 903 KB
Ulteriori notizie dalle Autorità
Parlamento europeo / Revisione PSD 2
(15 gennaio 2024) “Briefing – Second revision of payment services in the EU” Scarica il PDF, 666 KB
Parlamento europeo & Consiglio dell’UE (Accordo provvisorio) / Antiriciclaggio
(18 gennaio 2024) “Deal on a single rulebook against money laundering and terrorist financing” Vai al comunicato
“Anti-money laundering: Council and Parliament strike deal on stricter rules” Vai al comunicato
> Fisco Oggi “Unione europea, codice unico anti riciclaggio” Vai all’articolo
Parlamento europeo (Posizione in prima lettura) / Sistema consolidato di pubblicazione (MiFID / MiFIR)
(16 gennaio 2024) “Posizione del Parlamento europeo definita in prima lettura il 16 gennaio 2024 in vista dell’adozione della direttiva (UE) 2024/… che modifica la direttiva 2014/65/UE, relativa ai mercati degli strumenti finanziari” Scarica il PDF, 116 KB
(16 gennaio 2024) “Posizione del Parlamento europeo definita in prima lettura il 16 gennaio 2024 in vista dell’adozione del regolamento (UE) 2024/… che modifica il regolamento (UE) n. 600/2014 per quanto riguarda il miglioramento della trasparenza dei dati, l’eliminazione degli ostacoli all’emergere di sistemi consolidati di pubblicazione, l’ottimizzazione degli obblighi di negoziazione e il divieto di ricevere pagamenti per il flusso degli ordini” Scarica il PDF, 118 KB
> Focus risparmio “Sì del Parlamento europeo alla revisione di Mifid 2 e Mifir” Vai all’articolo
EIOPA / Distribuzione assicurativa (IDD)
(15 gennaio 2024) “EIOPA publishes second Report on the application of the Insurance Distribution Directive (IDD)” Vai alla pagina
EBA / Gestione rischi ESG
(18 gennaio 2024) The EBA consults on Guidelines on the management of ESG risks Vai alla pagina
EBA / Valutazione prudente
(16 gennaio 2024) “EBA consults on targeted amendments to the prudent valuation framework” (Vai alla pagina)
EBA / Obblighi di segnalazione specifici per il rischio di mercato (FRTB reporting)
(11 gennaio 2024) “The EBA revises reporting requirements for market risk” Vai alla pagina