A pochi giorni dall’entrata in vigore delle disposizioni del Regolamento (UE) 2022/2554, il cosiddetto “Regolamento DORA”, il legislatore italiano ha pubblicato uno schema di decreto legislativo di adeguamento della normativa nazionale a quella europea in materia di resilienza operativa digitale.
Il testo va a definire gli ultimi dettagli mancanti per consentire la corretta applicazione della normativa come, ad esempio, l’identificazione delle autorità nazionali che saranno incaricate di monitorare la corretta attuazione delle disposizioni e l’importo delle sanzioni.
Le autorità competenti
Nello specifico, salvo modifiche nel testo in discussione, le autorità competenti per il rispetto degli obblighi posti dal Regolamento saranno la Banca d’Italia, la Consob, l’IVASS e la COVIP, che supervisioneranno i soggetti che attualmente rientrano nel proprio ambito di vigilanza. Tali autorità saranno anche le destinatarie delle segnalazioni dei gravi incidenti TIC e delle minacce informatiche significative secondo la ripartizione di seguito indicata:
- Banca d’Italia riceverà le comunicazioni di enti creditizi, istituti di pagamento, prestatori di servizi di informazione sui conti, istituti di moneta elettronica, imprese di investimento, fornitori di servizi per le cripto-attività, controparti centrali, gestori di fondi di investimento alternativi, società di gestione, fornitori di servizi di crowdfunding;
- la Consob riceverà le segnalazioni di depositari centrali di titoli e sedi di negoziazioni;
- l’IVASS le segnalazioni di imprese di assicurazione e riassicurazione e di intermediari assicurativi, riassicuratici e assicurativi a titolo accessorio.
- la COVIP riceverà quelle di enti pensionistici aziendali o professionali.
Qualora un soggetto sia vigilato da più autorità, sarà onere di queste ultime comunicare tempestivamente le informazioni anche alle altre.
Oltre alle comunicazioni alla propria autorità competente, gli operatori del settore bancario e delle infrastrutture dei mercati finanziari saranno anche tenuti a inviare una notifica al CSIRT Italia, ossia l’organo dell’Agenzia per la Cybersicurezza Nazionale (ACN) che ha anche il compito di monitorare gli incidenti a livello nazionale ed emettere preallarmi, allerte, annunci informazioni su rischi e incidenti informatici.
Inoltre, seguendo la falsariga di quanto già previsto dalla Direttiva NIS 2, il CSIRT Italia potrebbe anche decidere di fornire assistenza al soggetto ai fini della gestione dell’incidente.
Le disposizioni per gli intermediari finanziari
Un ulteriore elemento inserito dallo schema di decreto legislativo in esame è la definizione delle disposizioni applicabili agli intermediari finanziari, ossia quei soggetti che, ad esempio, concedono finanziamenti o riscuotono i crediti ceduti. Infatti, essi inizialmente non erano ricompresi nell’ambito di applicazione del Regolamento DORA, ma vi sono rientrati grazie a una modifica introdotta dalla cosiddetta “Legge Cyber” (legge 90/2024).
In particolare, a essi si applicheranno le disposizioni in materia di proporzionalità, l’obbligo di predisporre un quadro per la gestione dei rischi informatici, seppure semplificato, e le procedure di gestione, classificazione e segnalazione degli incidenti.
Inoltre, anch’essi potranno ricevere riscontri od orientamenti da parte del CSIRT Italia. In aggiunta, saranno soggetti all’obbligo di svolgere test di resilienza operativa digitale e di test di strumenti e sistemi TIC. Per di più anch’essi avranno il medesimo regime di gestione dei fornitori, essendo tenuti alla predisposizione di registri di informazioni e di clausole contrattuali il cui contenuto è predeterminato dalla legge.
Il regime sanzionatorio
La novità più importante introdotta dallo schema di decreto legislativo, però, è senz’altro rappresentata dall’articolato sistema sanzionatorio che viene delineato.
Come già avviene per altre normative (ad esempio, la Direttiva NIS 2 o il GDPR), anche in questo caso viene effettuata una distinzione tra violazioni più gravi e violazioni meno gravi. Le più gravi, come ad esempio, quelle in materia di governance, organizzazione e responsabilità del management, sono sanzionate da 30.000€ al 10% del fatturato.
Le condotte meno gravi, come quelle relative alla classificazione degli incidenti, invece, hanno il medesimo minimo edittale (ossia 30.000€), ma prevedono un massimo edittale del 7% del fatturato dell’ente.
Questa cornice edittale, però prevede delle eccezioni in eccesso e in difetto. Ad esempio, per alcuni soggetti come gli istituti di pagamento, le SIM o le SGR, si applica il massimo edittale del 10% solo nel caso in cui tale 10% sia superiore a 5 milioni. Qualora così non fosse, il massimo edittale è di 5 milioni. Il medesimo ragionamento può essere fatto nel caso delle sanzioni meno gravi dove, però, la soglia è di 3,5 milioni.
Per fare un altro esempio, nel caso dei depositari centrali di titoli e dei relativi fornitori di servizi TIC, il valore da tenere in considerazione è ben più alto: 20 milioni. Dunque, in caso di sanzioni gravi, il minimo edittale rimane 30.000€, mentre il massimo sale a 20 milioni o al 10% del fatturato, qualora quest’ultimo sia superiore.
Una particolarità che è utile porre in evidenza è che le sanzioni sono dirette anche ai fornitori di servizi TIC. Pertanto, a seconda della tipologia di soggetto al quale erogano i propri servizi, i fornitori potrebbero essere soggetti a regimi sanzionatori differenti.
Sanzioni amministrative pecuniarie anche per le persone fisiche
Ulteriore peculiarità introdotta dal regime sanzionatorio del Regolamento DORA è la presenza di sanzioni amministrative pecuniarie anche per le persone fisiche: esse saranno punite con un importo da 5.000€ a 5 milioni in caso di condotte più gravi o fino a 3,5 milioni in caso di condotte meno gravi.
I destinatari di tali sanzioni sono i membri degli organi di vertice, ossia coloro che svolgono funzioni di amministrazione, direzione o controllo e del personale quando l’inosservanza è conseguenza della violazione dei doveri propri o dell’organo di appartenenza e la condotta ha inciso sull’organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la violazione da parte dell’ente. Se con la condotta l’autore ha ottenuto un vantaggio superiore all’importo delle sanzioni indicate, queste ultime possono essere incrementate fino al doppio del vantaggio ottenuto, se determinabile.
Il legislatore, però, ha deciso di inasprire ulteriormente il trattamento sanzionatorio nei confronti delle persone fisiche prevedendo, altresì, la sanzione amministrativa accessoria dell’interdizione dallo svolgimento delle funzioni di amministrazione, direzione e controllo da 6 mesi a 3 anni.
Conclusioni
Come emerge chiaramente dall’impianto brevemente delineato, il legislatore ha inasprito notevolmente il regime sanzionatorio, incrementando le conseguenze anche per le persone fisiche che ricoprono ruoli di vertice all’interno degli enti. Tale approccio probabilmente deriva dalla necessità di rafforzare il concetto che la cybersecurity deve essere un tema strettamente legato alla corporate governance.
Considerato quanto sopra, è necessario che i soggetti interessati dall’applicazione della normativa strutturino attentamente un framework di gestione della cybersecurity e che, una volta delineato, questo sia soggetto alla valutazione di professionisti esperti nella materia che possano analizzarlo alla luce delle best practice di settore e rilevarne le possibili ripercussioni, anche su un piano strettamente contrattuale e regolamentare.
