E' approdato nella Gazzetta Ufficiale n. 58 dell'11 marzo 2025, il Decreto legislativo n. 23 del 10 marzo 2025, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2022/2554 (noto come Regolamento DORA - Digital Operational Resilience Act) e per il recepimento della Direttiva (UE) 2022/2556.
Il Decreto ha lo scopo di adeguare l’ordinamento italiano agli obblighi previsti da tale normativa UE, al fine di rafforzare la sicurezza e la resilienza operativa digitale nel settore finanziario.
La normativa si applica a diverse categorie di soggetti, tra cui banche, istituti di pagamento, imprese di investimento e compagnie di assicurazione, nonché a fornitori di servizi TIC critici per il settore, come quelli specializzati in cloud computing, gestione delle cripto-attività e scambi finanziari.
Viene inoltre garantito il coordinamento con le disposizioni preesistenti sulla sicurezza cibernetica e sulla continuità operativa, in particolare con il Decreto legge n. 105/2019, relativo alla sicurezza nazionale cibernetica, e con il Decreto legislativo n. 138/2024, che recepisce la Direttiva NIS2 sulla sicurezza delle reti e dei sistemi informativi.
Il decreto individua le Autorità competenti DORA, responsabili della vigilanza e dell’applicazione delle nuove norme.
Tali autorità sono:
Viene previsto un meccanismo di cooperazione tra le autorità attraverso un forum di sorveglianza, il quale garantisce il monitoraggio e la gestione delle minacce informatiche.
Le medesime autorità sono competenti, per i relativi settori, a ricevere le segnalazioni dei gravi incidenti nelle tecnologie dell'informazione e della comunicazione (TIC) e le notifiche volontarie relative alle minacce informatiche significative.
Ai sensi del regolamento DORA, gli enti finanziari sono tenuti a implementare misure di gestione del rischio informatico per garantire la continuità operativa e la sicurezza delle infrastrutture digitali. Sono richieste strategie e procedure per:
Inoltre, è stabilita una disciplina specifica per Bancoposta, che deve conformarsi alle disposizioni in materia di resilienza operativa digitale al pari degli altri intermediari finanziari.
I vari enti finanziari sono tenuti a segnalare gli incidenti informatici gravi e le minacce significative alle autorità competenti, con obblighi dettagliati di notifica.
Alcuni soggetti ritenuti critici, come infrastrutture di mercato e istituti bancari sistemici, devono trasmettere le segnalazioni anche al CSIRT Italia, il gruppo nazionale di risposta agli incidenti informatici.
Il decreto introduce un regime sanzionatorio rigoroso per le violazioni degli obblighi previsti dal regolamento DORA.
Sanzioni pecuniarie per enti finanziari
Le sanzioni amministrative pecuniarie possono variare da 30.000 euro fino al 10% del fatturato annuo per banche, intermediari finanziari e fornitori di servizi TIC critici. Per gli istituti di pagamento, le sanzioni possono raggiungere i 5 milioni di euro o il 10% del fatturato, mentre per i depositari centrali di titoli arrivano a 20 milioni di euro.
Le autorità di vigilanza possono inoltre adottare misure correttive, tra cui la richiesta di cessazione immediata di pratiche rischiose e la sospensione temporanea di attività non conformi.
Sanzioni individuali per amministratori e dirigenti
Sono previste anche sanzioni individuali per amministratori e dirigenti responsabili delle irregolarità, con possibilità di interdizione fino a tre anni da incarichi nel settore finanziario.
Per questi soggetti, se la violazione è dovuta a negligenza o dolo, con impatto rilevante sull’organizzazione aziendale o sui rischi operativi, le autorità competenti possono irrogare sanzioni pecuniarie anche rilevanti, a seconda della gravità dell’infrazione e del ruolo del soggetto coinvolto.
Se la violazione ha causato un vantaggio economico superiore all’importo massimo della sanzione prevista, quest’ultima può essere raddoppiata, garantendo una maggiore deterrenza.
Interdizione e misure correttive
Nei casi più gravi, è prevista anche l’interdizione temporanea dalle funzioni di amministrazione, direzione o controllo per un periodo compreso tra sei mesi e tre anni.
Inoltre, le autorità di vigilanza possono imporre misure correttive come la rimozione dagli incarichi o l’obbligo di adottare piani di azione per correggere le carenze riscontrate.
Sanzioni per i sindaci e organi di controllo
Anche i sindaci, in quanto soggetti che svolgono funzioni di controllo, possano essere sanzionati se le violazioni agli obblighi di resilienza operativa digitale derivano da negligenza, inadempienza o mancata vigilanza sul rispetto delle normative da parte dell’ente.
Il decreto modifica e integra diversi testi normativi nazionali per garantire un’applicazione armonizzata delle nuove disposizioni. Tra le principali modifiche vi sono:
Il Decreto legislativo è entrato in vigore il 12 marzo 2025, il giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale, rendendo immediatamente applicabili la maggior parte delle disposizioni in esso contenute.
Tuttavia, sono previsti alcuni periodi transitori per consentire alle entità finanziarie di adeguarsi ai nuovi obblighi in materia di resilienza operativa digitale.
In particolare, le disposizioni relative agli intermediari finanziari, previste dall’articolo 6, commi 1 e 2, diventeranno obbligatorie a partire dal 1° gennaio 2027.
Questo periodo transitorio permetterà agli operatori di implementare i sistemi e le procedure necessarie per conformarsi alle nuove regole.
Durante questo arco di tempo, le autorità di vigilanza potranno fornire linee guida e indicazioni operative per agevolare l’adeguamento.
| Ambito | Novità introdotte |
|---|---|
| Obblighi per gli enti finanziari | Le banche, assicurazioni e altri operatori devono adottare misure per garantire la resilienza operativa digitale. |
| Gestione dei rischi informatici | Implementazione di strategie di gestione del rischio TIC, con piani di continuità e sistemi di sicurezza aggiornati. |
| Segnalazione degli incidenti TIC | Obbligo di segnalare incidenti informatici gravi alle autorità competenti e, per alcuni soggetti, al CSIRT Italia. |
| Ruolo delle Autorità di Vigilanza | Banca d’Italia, CONSOB, IVASS e COVIP designate come autorità di vigilanza per il rispetto delle norme DORA. |
| Sanzioni e misure correttive | Sanzioni fino al 10% del fatturato, interdizione fino a 3 anni per dirigenti responsabili e pubblicazione delle violazioni. |
| Regolamentazione dei fornitori TIC | Monitoraggio dei fornitori TIC critici da parte delle autorità, con possibilità di ispezioni e richieste di documentazione. |
| Regolamentazione delle cripto-attività | Imposizione di requisiti di sicurezza e resilienza per gli operatori di cripto-attività, con sanzioni fino al 12,5% del fatturato. |
| Test di resilienza operativa | Obbligo di effettuare test di penetrazione e valutazioni dei rischi informatici almeno ogni tre anni. |
| Entrata in vigore | Entrata in vigore il giorno successivo alla pubblicazione; alcune disposizioni per gli intermediari finanziari dal 1° gennaio 2027. |
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".