Dal 17 gennaio 2025 scatta ufficialmente il Regolamento Dora (Digital Operational Resilience Act), una normativa europea destinata a rivoluzionare la gestione della resilienza digitale nel settore finanziario. Questo provvedimento, pubblicato in Gazzetta Ufficiale UE il 27 dicembre 2022 ed entrato formalmente in vigore il 16 gennaio 2023, introduce nuovi standard per garantire la sicurezza informatica e la resilienza operativa in tutta l’Unione Europea, mettendo fine a regole frammentarie tra i vari Stati membri. Una delle principali novità è l’eliminazione del divieto di esternalizzare funzioni operative essenziali ai fornitori di servizi ICT, aprendo la strada a maggiore flessibilità e innovazione.
Nuovi obblighi per la gestione del rischio ICT e le entità coinvolte
Dal 17 gennaio cessa di essere valido il divieto, previsto dalla normativa italiana, di esternalizzare servizi ICT relativi a funzioni aziendali operative essenziali. Gli intermediari finanziari potranno quindi sfruttare fornitori esterni per queste funzioni, semplificando i processi contrattuali e garantendo comunque conformità al nuovo quadro normativo europeo. Questa novità è stata comunicata dalla Banca d’Italia agli intermediari finanziari sottoposti alla sua vigilanza, come indicato nel Regolamento Dora alla voce “entità finanziarie”.
Il regolamento non si limita alle banche: coinvolge imprese di investimento, gestori di fondi, istituti di pagamento, istituti di moneta elettronica, emittenti di token collegati ad attività, fornitori di servizi per le cripto-attività e piattaforme di crowdfunding. Con queste misure, Dora si propone di armonizzare i requisiti di resilienza digitale per l’intero settore finanziario europeo.
Quadro di gestione dei rischi informatici
Secondo l’articolo 6 del Regolamento Dora, tutte le entità finanziarie devono dotarsi di un sistema per la gestione dei rischi informatici solido e documentato. Questo sistema deve essere continuamente aggiornato e permettere di rispondere a eventuali minacce in modo rapido ed efficace, garantendo una strategia di resilienza operativa digitale.
Funzione di controllo indipendente
Le entità finanziarie, escluse le microimprese, dovranno affidare la gestione dei rischi ICT a una funzione di controllo con un’adeguata indipendenza, così da evitare conflitti di interesse. Sebbene Dora non imponga regole specifiche sull’organizzazione interna di questa funzione, la Banca d’Italia consiglia di integrarla nei meccanismi di governance e controllo già adottati, adattandoli alle nuove disposizioni.
Penetration test obbligatori ogni tre anni
Un’altra novità introdotta da Dora riguarda i test avanzati di penetrazione basati su minacce (Threat-Led Penetration Test). Gli intermediari finanziari identificati dai criteri stabiliti da un apposito atto delegato dovranno eseguire tali test almeno una volta ogni tre anni.
I risultati dei penetration test verranno utilizzati dalla vigilanza per rafforzare i processi di supervisione, garantendo che le vulnerabilità siano individuate e risolte in anticipo. Per gli intermediari vigilati direttamente dalla Banca d’Italia, è in corso il processo di identificazione, seguito dalla definizione di una pianificazione per l’esecuzione dei test.
Nuove regole per la segnalazione degli incidenti
Dal 17 gennaio 2025, le entità finanziarie saranno obbligate a segnalare alla Banca d’Italia tutti i gravi incidenti ICT e, su base volontaria, le principali minacce informatiche. Inoltre, banche, istituti di pagamento e di moneta elettronica dovranno segnalare anche incidenti operativi o relativi alla sicurezza dei pagamenti.
Tutte le segnalazioni dovranno essere effettuate tramite la piattaforma Infostat della Banca d’Italia. A partire dalla stessa data, il quadro normativo attuale in materia di incidenti operativi e di sicurezza sarà abrogato e sostituito dalle nuove regole previste dal Regolamento Dora.
Un cambiamento per l’intero settore finanziario
Con il Regolamento Dora, l’Unione Europea mira a creare un settore finanziario più resiliente e sicuro, capace di affrontare le minacce digitali in modo armonizzato. La possibilità di esternalizzare servizi ICT, l’obbligo di test avanzati e le nuove regole di segnalazione rappresentano un passo significativo verso un sistema finanziario più moderno e protetto.
