DORA e resilienza digitale: cosa cambia per il settore finanziario

---

Condividi l'articolo:

---

E' approdato nella Gazzetta Ufficiale n. 58 dell'11 marzo 2025, il Decreto legislativo n. 23 del 10 marzo 2025, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2022/2554 (noto come Regolamento DORA - Digital Operational Resilience Act) e per il recepimento della Direttiva (UE) 2022/2556.

Settore finanziario: norme adeguate al Regolamento DORA. Le novità

Obiettivo e ambito di applicazione  

Il Decreto ha lo scopo di adeguare l’ordinamento italiano agli obblighi previsti da tale normativa UE, al fine di rafforzare la sicurezza e la resilienza operativa digitale nel settore finanziario.

La normativa si applica a diverse categorie di soggetti, tra cui banche, istituti di pagamento, imprese di investimento e compagnie di assicurazione, nonché a fornitori di servizi TIC critici per il settore, come quelli specializzati in cloud computing, gestione delle cripto-attività e scambi finanziari.

Viene inoltre garantito il coordinamento con le disposizioni preesistenti sulla sicurezza cibernetica e sulla continuità operativa, in particolare con il Decreto legge n. 105/2019, relativo alla sicurezza nazionale cibernetica, e con il Decreto legislativo n. 138/2024, che recepisce la Direttiva NIS2 sulla sicurezza delle reti e dei sistemi informativi.

Autorità competenti e vigilanza  

Il decreto individua le Autorità competenti DORA, responsabili della vigilanza e dell’applicazione delle nuove norme.

Tali autorità sono:

• Banca d’Italia, per la vigilanza su banche, intermediari finanziari e Cassa Depositi e Prestiti;
• CONSOB, per gli enti del mercato dei capitali e della gestione del risparmio;
• IVASS, per il settore assicurativo;
• COVIP, per la vigilanza sui fondi pensione.

Viene previsto un meccanismo di cooperazione tra le autorità attraverso un forum di sorveglianza, il quale garantisce il monitoraggio e la gestione delle minacce informatiche.

Le medesime autorità sono competenti, per i relativi settori, a ricevere le segnalazioni dei gravi incidenti nelle tecnologie dell'informazione e della comunicazione (TIC) e le notifiche volontarie relative alle minacce informatiche significative.

Obblighi enti finanziari  

Ai sensi del regolamento DORA, gli enti finanziari sono tenuti a implementare misure di gestione del rischio informatico per garantire la continuità operativa e la sicurezza delle infrastrutture digitali. Sono richieste strategie e procedure per:

• identificare e mitigare le vulnerabilità informatiche;
• attuare test di resilienza operativa digitale;
• segnalare tempestivamente incidenti di sicurezza TIC alle autorità competenti;
• adottare protocolli per la gestione dei rischi derivanti da fornitori terzi di servizi TIC.

Inoltre, è stabilita una disciplina specifica per Bancoposta, che deve conformarsi alle disposizioni in materia di resilienza operativa digitale al pari degli altri intermediari finanziari.

Segnalazione incidenti informatici  

I vari enti finanziari sono tenuti a segnalare gli incidenti informatici gravi e le minacce significative alle autorità competenti, con obblighi dettagliati di notifica.

Alcuni soggetti ritenuti critici, come infrastrutture di mercato e istituti bancari sistemici, devono trasmettere le segnalazioni anche al CSIRT Italia, il gruppo nazionale di risposta agli incidenti informatici.

Sanzioni e misure correttive

Il decreto introduce un regime sanzionatorio rigoroso per le violazioni degli obblighi previsti dal regolamento DORA.

Sanzioni pecuniarie per enti finanziari

Le sanzioni amministrative pecuniarie possono variare da 30.000 euro fino al 10% del fatturato annuo per banche, intermediari finanziari e fornitori di servizi TIC critici. Per gli istituti di pagamento, le sanzioni possono raggiungere i 5 milioni di euro o il 10% del fatturato, mentre per i depositari centrali di titoli arrivano a 20 milioni di euro.

Le autorità di vigilanza possono inoltre adottare misure correttive, tra cui la richiesta di cessazione immediata di pratiche rischiose e la sospensione temporanea di attività non conformi.

Sanzioni individuali per amministratori e dirigenti

Sono previste anche sanzioni individuali per amministratori e dirigenti responsabili delle irregolarità, con possibilità di interdizione fino a tre anni da incarichi nel settore finanziario.

Per questi soggetti, se la violazione è dovuta a negligenza o dolo, con impatto rilevante sull’organizzazione aziendale o sui rischi operativi, le autorità competenti possono irrogare sanzioni pecuniarie anche rilevanti, a seconda della gravità dell’infrazione e del ruolo del soggetto coinvolto.

Se la violazione ha causato un vantaggio economico superiore all’importo massimo della sanzione prevista, quest’ultima può essere raddoppiata, garantendo una maggiore deterrenza.

Interdizione e misure correttive

Nei casi più gravi, è prevista anche l’interdizione temporanea dalle funzioni di amministrazione, direzione o controllo per un periodo compreso tra sei mesi e tre anni.

Inoltre, le autorità di vigilanza possono imporre misure correttive come la rimozione dagli incarichi o l’obbligo di adottare piani di azione per correggere le carenze riscontrate.

Sanzioni per i sindaci e organi di controllo

Anche i sindaci, in quanto soggetti che svolgono funzioni di controllo, possano essere sanzionati se le violazioni agli obblighi di resilienza operativa digitale derivano da negligenza, inadempienza o mancata vigilanza sul rispetto delle normative da parte dell’ente.

Modifiche alla normativa esistente  

Il decreto modifica e integra diversi testi normativi nazionali per garantire un’applicazione armonizzata delle nuove disposizioni. Tra le principali modifiche vi sono:

• Testo Unico Bancario (TUB) e Testo Unico della Finanza (TUF), per includere le disposizioni sulla resilienza operativa digitale;
• Codice delle Assicurazioni Private, per adeguare gli obblighi delle compagnie assicurative;
• Normativa sui fondi pensione, per garantire la protezione degli asset previdenziali in caso di incidenti informatici;
• Normativa sulla risoluzione bancaria, per integrare le misure di gestione del rischio informatico nei piani di risanamento.

Entrata in vigore  

Il Decreto legislativo è entrato in vigore il 12 marzo 2025, il giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale, rendendo immediatamente applicabili la maggior parte delle disposizioni in esso contenute.

Tuttavia, sono previsti alcuni periodi transitori per consentire alle entità finanziarie di adeguarsi ai nuovi obblighi in materia di resilienza operativa digitale.

In particolare, le disposizioni relative agli intermediari finanziari, previste dall’articolo 6, commi 1 e 2, diventeranno obbligatorie a partire dal 1° gennaio 2027.

Questo periodo transitorio permetterà agli operatori di implementare i sistemi e le procedure necessarie per conformarsi alle nuove regole.

Durante questo arco di tempo, le autorità di vigilanza potranno fornire linee guida e indicazioni operative per agevolare l’adeguamento.

Tabella delle principali novità

Ambito	Novità introdotte
Obblighi per gli enti finanziari	Le banche, assicurazioni e altri operatori devono adottare misure per garantire la resilienza operativa digitale.
Gestione dei rischi informatici	Implementazione di strategie di gestione del rischio TIC, con piani di continuità e sistemi di sicurezza aggiornati.
Segnalazione degli incidenti TIC	Obbligo di segnalare incidenti informatici gravi alle autorità competenti e, per alcuni soggetti, al CSIRT Italia.
Ruolo delle Autorità di Vigilanza	Banca d’Italia, CONSOB, IVASS e COVIP designate come autorità di vigilanza per il rispetto delle norme DORA.
Sanzioni e misure correttive	Sanzioni fino al 10% del fatturato, interdizione fino a 3 anni per dirigenti responsabili e pubblicazione delle violazioni.
Regolamentazione dei fornitori TIC	Monitoraggio dei fornitori TIC critici da parte delle autorità, con possibilità di ispezioni e richieste di documentazione.
Regolamentazione delle cripto-attività	Imposizione di requisiti di sicurezza e resilienza per gli operatori di cripto-attività, con sanzioni fino al 12,5% del fatturato.
Test di resilienza operativa	Obbligo di effettuare test di penetrazione e valutazioni dei rischi informatici almeno ogni tre anni.
Entrata in vigore	Entrata in vigore il giorno successivo alla pubblicazione; alcune disposizioni per gli intermediari finanziari dal 1° gennaio 2027.