Regolamento DORA e intervento della Banca d’Italia sugli obblighi degli intermediari vigilati

A decorrere dal 17 gennaio 2025, come noto, trovano applicazione le previsioni del Regolamento (UE) 2022/2554 sulla resilienza operativa digitale del settore finanziario (Digital Operational Resilience Act, DORA), il cui obiettivo è quello di favorire l’armonizzazione dei requisiti di resilienza digitale per tutto il settore finanziario europeo. Finalità perseguite in particolare:

• introducendo una struttura armonizzata per la governance del rischio ICT, che prevede un presidio interno dedicato alla cybersicurezza, in continuità con gli Orientamenti dell’EBA sulla gestione dei rischi relativi alle tecnologie dell’informazione e della comunicazione e di sicurezza, rivolti a Banche, IP e IMEL;
• introducendo processi e criteri armonizzati per la classificazione, registrazione e gestione degli incidenti ICT e delle minacce informatiche, nonché per la segnalazione degli incidenti ICT gravi e per la notifica volontaria delle minacce informatiche significative;
• prevedendo lo svolgimento di prove avanzate di resilienza operativa dei sistemi ICT, per la gestione degli incident;
• sottoponendo le entità finanziarie a specifici presidi in linea con quelli previsti dagli Orientamenti dell’EBA in materia di esternalizzazione, per la gestione del rischio di terze parti derivante dal ricorso ai service provider ICT, mediante il monitoraggio degli accordi conclusi con i fornitori terzi di servizi ICT;
• promuovendo meccanismi volontari di condivisione delle informazioni a livello dell’Unione europea, al fine di prevenire le minacce informatiche e rispondervi collettivamente, contenendo rapidamente la diffusione dei rischi connessi.

In tale contesto, la Banca d’Italia, con comunicazione del dicembre 2024, si è rivolta agli intermediari vigilati, che rientrano nella definizione di entità finanziaria di cui al Regolamento, per chiarire alcune previsioni dello stesso, con specifico riguardo alla:

1. collocazione della funzione di controllo dei rischi ICT prevista dal Regolamento, il quale chiama le entità finanziarie ad attribuire la responsabilità della gestione dei rischi informatici ad una funzione di controllo indipendente, senza tuttavia specificare la collocazione organizzativa di tale funzione.

Pertanto, la Banca d’Italia ha chiarito che gli intermediari potranno valutare se istituire un’autonoma funzione di controllo ICT (avente i requisiti delle funzioni aziendali di controllo di secondo livello), oppure attribuire i compiti della funzione di controllo ICT alla funzione di risk management e/o a quella di compliance, escludendo invece che tali compiti possano essere affidati alla struttura che svolge la funzione di internal audit;  

• comunicazione all’autorità competente di eventuali accordi contrattuali con controparti esterne, previsti per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti,precisando che, a partire dal 17/01/2025, non trovano più applicazione i procedimenti amministrativi di divieto di esternalizzazione previsti dalle discipline settoriali secondarie della Banca d’Italia, ove aventi ad oggetto l’esternalizzazione di servizi ICT a supporto di funzioni essenziali o importanti. Pertanto, l’Autorità ha chiarito che, prima di dar corso ad eventuali accordi contrattuali previsti per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti, gli intermediari devono informare tempestivamente la Banca d’Italia, al fine di consentire lo svolgimento da parte di quest’ultima dell’attività di vigilanza sull’entità finanziaria che si avvale del servizio ICT prestato dal fornitore terzo, con potere di intervento, qualora gli accordi con i fornitori terzi di servizi ICT dovessero risultare pregiudizievoli per la sana e prudente gestione degli intermediari;
• segnalazione dei gravi incidenti ICT e delle minacce informatiche significative all’autorità competente, chiarendo che, a partire dal 17/01/2025, la disciplina vigente in materia è sostituita dallo schema di notifica disciplinato dal nuovo Regolamento – e dagli atti delegati previsti dallo stesso – il quale dispone che gli intermediari classifichino gli incidenti ICT e le minacce informatiche e che ne diano segnalazione alla Banca d’Italia tramite la piattaforma Infostat, utilizzando il relativo modulo disponibile sul sito web dell’Autorità;
• esecuzione di test avanzati di resilienza operativa digitale basati sulle minacce (Threat-Led Penetration Tests – TLPT), con cadenza almeno triennale, i cui esiti saranno utilizzati dall’Autorità di Vigilanza nei processi di supervisione degli intermediari.

Sul punto, la Banca d’Italia ha precisato che, una volta identificati gli intermediari interessati, gli stessi ne verranno informati e verrà pianificata l’esecuzione di tali test di resilienza operativa digitale.

Con tale comunicazione, dunque, la Banca d’Italia, in relazione ai punti di cui sopra, ha richiamato l’attenzione degli intermediari vigilati su alcuni specifici aspetti della normativa, fornendo precise indicazioni, volte a consentire un’interpretazione corretta e un’applicazione uniforme del Regolamento DORA, che rappresenta un ulteriore passo in avanti verso la digitalizzazione e informatizzazione delle attività finanziarie, il cui sviluppo richiede un sempre più efficace sistema di controlli a garanzia degli utenti e degli investitori.