Regolamento Dora per il settore finanziario: cosa cambia dal 2025

Dora, cosa cambia nel 2025 per il settore finanziario

Gli impatti organizzativi che il Regolamento DORA determina mettono in luce due elementi chiave: poche risorse e poche competenze specifiche. Di conseguenza la capacità di creare sinergia tra gli asset e i sistemi coinvolti, insieme alla capacità di creare una reale integrazione tra le diverse competenze coinvolte nei processi aziendali impattati in modo trasversale, è un nodo critico da affrontare in modo concreto e proporzionato al proprio profilo di rischio nell’ambito della propria strategia dei rischi ICT e Cyber.

Necessario che gli intermediari finanziari presidino adeguatamente il profilo del rischio ICT e Cyber che sta superando i confini del rischio operativo e assumendo, sempre di più, natura trasversale all’intera operatività aziendale, considerato anche il crescente ricorso alla tecnologia e agli impatti che eventuali debolezze e/o vulnerabilità nella gestione delle risorse informatiche possano avere sulla reputazione degli intermediari.

Si apre quindi una nuova fase della normativa che traccia un percorso indispensabile per il sistema finanziario: applicare la resilienza operativa digitale a partire da un framework di gestione dei rischi ICT e Cyber riguardante, tra l’altro, i presidi di protezione e prevenzione del rischio e di rilevamento preventivo delle attività anomale.

Dora, come funziona l‘autovalutazione chiesta dalla Banca d’Italia

Le comunicazioni al sistema, effettuate da Banca d’Italia negli ultimi dieci giorni dell’anno, denotano un’incessante lavoro di preparazione alla fase applicativa che include – tra le varie attività – per gli enti finanziari un’autovalutazione da effettuare e comunicare all’Autorità entro il 30 aprile 2025.

A tal proposito, con tale documento, Banca d’Italia chiede a tutti gli intermediari direttamente vigilati un’autovalutazione sul rispetto dei requisiti Dora (effettuata con il supporto delle Funzioni di Controllo di II e III livello). Si dovrà prestare particolare attenzione a:

• Strategie dell’intermediario sui rischi di terza parte, sul rinnovo dei contratti con i fornitori di servizi ICT e sulla trasmissione del ROI
• Adattamento al Dora dei presidi e delle politiche interne
• Attività e programma dei test di resilienza operativa digitale
• Sistema di gestione dei rischi ICT; quest’ultima valutazione deve verificare se il sistema adottato garantisca che le politiche, le procedure, i protocolli e gli strumenti in materia di gestione dei rischi ICT consentano di
• prevenire, o rilevare tempestivamente, violazioni alla riservatezza dei dati e/o dei servizi (evitando, tra l’altro, data leakage, accessi abusivi, attività anomale)
• ridurre il rischio derivante dai cambiamenti ICT; a questo proposito deve fornita una valutazione circa la conformità al Dora del quadro di ICT change management dell’intermediario.

L’autovalutazione, redatta di concerto tra le funzioni di controllo di secondo e terzo livello, deve essere approvata dall’organo di amministrazione.

Gli obiettivi

Come già fatto per il quarantesimo aggiornamento alla Circolare 285/13, la condivisione del percorso di adeguamento con l’indicazione delle misure adottate dagli intermediari rappresenta uno strumento utile all’Autorità per misurare da un lato il raggiungimento dei principali obiettivi normativi, dall’altro per prendere le misure rispetto agli orientamenti da consolidare a livello sistemico.

Probabilmente questo porterà, come anche accennato nella comunicazione, ad una prossima modifica delle Disposizioni di vigilanza della Banca d’Italia per assicurare il riordino della complessiva disciplina di vigilanza alla luce delle previsioni del Regolamento DORA, in un’ottica di chiarezza del complessivo quadro normativo.

La necessità di maggiore chiarezza

E la chiarezza sul quadro normativo è ciò che, oggi, si auspica. Non solo. Un alleggerimento della regolamentazione, spesso sovrapposta, in parte complementata e comunque raccordata ad altre normative e regolamenti europei, sarebbe opportuna per garantire un’effettiva armonizzazione e una sostenibile gestione e applicazione della stessa alle politiche interne alle aziende.

Verso l’adeguamento della normativa nazionale

Con atto del governo sottoposto a parere parlamentare n. 242 del 7 gennaio 2025 è stato reso noto uno “Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/2554, relativo alla resilienza operativa digitale per il settore finanziario” in applicazione degli articoli 1 e 16 della legge 21 febbraio 2024, n. 15.

Il decreto avrà l’obiettivo di dettare disposizioni necessarie all’adeguamento del quadro normativo nazionale al Regolamento Dora e al recepimento della direttiva NIS2, nonché a garantire il coordinamento con le vigenti disposizioni di settore.

Dallo schema emergono tre ambiti di rilievo:

1. il ruolo delle autorità di vigilanza (Banca d’Italia, IVASS, COVIP, CONOSB) per il rispetto degli obblighi posti dal Regolamento a carico dei soggetti vigilati dalle medesime autorità, secondo le rispettive attribuzioni di vigilanza;
2. applicazione del Regolamento agli intermediari finanziari e a Bancoposta;
3. impianto sanzionatorio.

Senza alcuna pretesa di esaustività in tale sede, è opportuno evidenziare il ruolo centrale attribuito a Banca d’Italia, in quanto ad essa spetta inoltre il compito di vigilare su tali temi per Cassa depositi e prestiti, per gli intermediari finanziari ex art. 106 TUB e per Bancoposta. Inoltre ai fini della partecipazione al forum di sorveglianza di cui all’articolo 32 del Regolamento Dora, la Banca d’Italia è l’autorità competente interessata di cui al paragrafo 4, lettera b), del citato articolo 32 (componente nel forum di sorveglianza); mentre la Consob partecipa in qualità di osservatore con un proprio rappresentante e infine a seconda della tematica trattata, possono partecipare in qualità di osservatori con un proprio rappresentante ai sensi del paragrafo 4, lettera d), del medesimo articolo 32 anche l’IVASS e la COVIP.

Altro aspetto riguarda la disciplina applicabile agli intermediari finanziari ex art. 106 TUB e a Bancoposta nonché le tempistiche di adeguamento che derivano dall’entrata in vigore del decreto.

Infine, l’impianto sanzionatorio. Lo schema di decreto riporta un quadro sanzionatorio completo e complesso prevedendo aspre sanzioni amministrazione per la violazione degli adempimenti, indicati in modo specifico, del Dora; si distingue inoltre per singola tipologia di entità inclusi i fornitori di servizi ICT la quantificazione delle sanzioni amministrative per la società e per le persone fisiche per quanto applicabili.

Dora, lo scenario

Capiremo nel prossimo futuro se ancora una volta il rigido schema sanzionatorio avrà una carattere effettivamente dissuasivo come richiesto dal Regolamento. In ogni caso, sarà necessario un periodo temporale entro il quale misurarsi con la nuova disciplina.