A cura del Team Financial Regulation
Dal 17 gennaio 2025 è ufficialmente applicabile il Regolamento europeo c.d. DORA (Regolamento (UE) 2022/2254) che istituisce un quadro normativo armonizzato europeo sulla resilienza operativa digitale nel settore finanziario al fine di garantire la sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie regolamentate e che riguarda, in particolare: la gestione e mappatura dei rischi ICT, i rapporti con i fornitori terzi di servizi ICT, la gestione degli incidenti, i meccanismi di condivisione delle informazioni e analisi delle minacce informatiche.
Si tratta di un quadro normativo applicabile ad un’amplissima serie di soggetti quali, ad esempio, enti creditizi, istituti di pagamento, imprese di investimento, imprese di assicurazione o riassicurazione, intermediari assicurativi o riassicurativi, società di gestione, gestori di fondi di investimento alternativi, fornitori di servizi per le cripto-attività, depositari centrali di titoli, sedi di negoziazione, enti pensionistici, fornitori terzi di servizi ICT ed altri soggetti rientranti nella definizione di “entità finanziarie”.
Un simile framework regolamentare risulta già parzialmente applicabile ad alcuni soggetti come gli enti creditizi, i quali sono già destinatari, ad esempio, degli Orientamenti di EBA in tema di esternalizzazione (applicabili anche ad istituti di pagamento ed IMEL) e degli ulteriori Orientamenti di EBA sulla gestione dei rischi ICT e sicurezza (applicabili anche a prestatori di servizi di pagamento e imprese di investimento).
L’iter di definizione delle norme tecniche comunitarie a completamento della materia e di quelle di adeguamento nazionale si sta sempre più definendo, proprio in concomitanza dell’applicabilità di tale quadro normativo.
In particolare, a livello nazionale, deve menzionarsi l’atteso schema di Decreto Legislativo recante disposizioni di adeguamento, attualmente all’esame delle Commissioni parlamentari del Governo. Tale Decreto ha risolto il tema dell’applicabilità a soggetti “non armonizzati” quali gli intermediari 106, a cui vengono dati due anni di tempo al fine di adeguarsi al DORA. Rileva altresì il dettagliato impianto sanzionatorio ivi tracciato, diversificato per tipologia di soggetto e di violazione; potranno, inoltre, essere sanzionate anche le “terze parti” e i soggetti che svolgono funzioni di amministrazione, direzione o controllo delle società e degli enti nei confronti dei quali sono accertate le violazioni.
Devono, inoltre, essere menzionati i seguenti ulteriori interventi dei Regulators:
- Banca d’Italia, nei confronti degli intermediari dalla stessa vigilati, ha di recente pubblicato una Comunicazione al mercato (Comunicazione del 31 dicembre 2024) recante specifici “Profili di attenzione per l’applicazione del Regolamento DORA” che riguardano tematiche importanti come, ad esempio, la collocazione organizzativa della funzione di controllo relativa ai rischi ICT e la segnalazione dei gravi incidenti ICT e delle minacce informatiche significative.
- Banca d’Italia ha, inoltre, previsto che gli intermediari dalla stessa vigilati valutino il proprio posizionamento rispetto ai requisiti previsti dal DORA e che l’organo di amministrazione approvi detta autovalutazione del proprio ICT risk management framework e la trasmetta entro il 30 aprile 2025 all’Autorità stessa (Comunicazione del 23 dicembre 2024).
- L’Istituto per la Vigilanza sulle Assicurazioni (IVASS) ha tenuto una consultazione pubblica tra novembre e dicembre 2024 riguardante lo schema di Lettera al Mercat0 in materia di esternalizzazione (Consultazione del 13 novembre 2024) recante specifiche aspettative di vigilanza che riguardano, tra l’altro, l’adozione da parte delle imprese assicurative di una strategia dedicata per i rischi informatici, fondata sul costante esame di tutte le dipendenze da terzi nel settore ICT e comprensiva di una policy per l’utilizzo dei servizi ICT a supporto di funzioni critiche o importanti prestate da fornitori terzi.
Infine, a livello comunitario, devono ancora essere rilasciati alcuni set di standard tecnici che completeranno i dettagli e le specifiche della disciplina in questione. Tra le norme tecniche già definitive e in vigore, si segnalano, tra le altre, quelle in vigore dal 15 luglio scorso e relative:
- alla classificazione incidenti connessi alle TIC (Regolamento delegato (UE) 2014/1772);
- al contenuto della politica sull’utilizzo dei servizi TIC a supporto di funzioni essenziali o importanti (Regolamento delegato (UE) 2014/1773);
- alle politiche e procedure per gestione del rischio informatico (Regolamento delegato (UE) 2014/1774).
Pertanto, non resta che sottolineare come il 2025 rappresenti un anno di sfide plurime e complesse per tutte le entità finanziarie Europee che dovranno adottare azioni concrete al fine di garantire il rispetto della nuova disciplina introdotta dal DORA, garantendo un alto livello di sicurezza dei sistemi informatici utilizzati, anche alla luce del prospettato impianto sanzionatorio.
L’impatto del DORA sarà chiaramente differente – sia in termini di presidi di governance interna sia in termini di contrattualistica con i fornitori di servizi ICT – a seconda della tipologia di entità finanziaria; queste saranno in ogni caso chiamate a valutare correttamente i rischi e le azioni da compiere al fine di adeguare le policy, le procedure interne e la contrattualistica ai nuovi requisiti.