scenario

Regolamento Dora per il settore finanziario: cosa cambia dal 2025



Indirizzo copiato

Dal 17 gennaio 2025 le realtà del settore finanziario sono tenute al rispetto del regolamento Dora, che introduce importanti novità sul fronte della sicurezza

Pubblicato il 17 gen 2025

Maria Cristina Daga

Avvocato, Partner presso P4I – Partners4Innovation



sicurezza digitale (1)

Il 2025 si apre con la piena applicabilità, dal 17 gennaio, del Regolamento Dora – Digital Operational Resilience Act, che rappresenta una disciplina normativa complessa e articolata. Entrato in vigore due anni fa, il regolamento contempla un esteso ambito di applicazione soggettivo che lascia spazio a luci ed ombre circa l’omogeneità dell’approccio dei diversi intermediari finanziari ai rischi ICT.

Fuori dal contesto bancario e assicurativo, c’è un livello di maturazione alla gestione strutturata ed organizzata dei rischi ICT e Cyber ancora lontano dallo spirito e dall’obiettivo del regolamento Dora. Assorbire tali rischi nelle strategie dei rischi di business, tra cui anche quelli di compliance, è, in molti casi, un ostacolo culturale ancora da valicare.

Dora, cosa cambia nel 2025 per il settore finanziario

Gli impatti organizzativi che il Regolamento DORA determina mettono in luce due elementi chiave: poche risorse e poche competenze specifiche. Di conseguenza la capacità di creare sinergia tra gli asset e i sistemi coinvolti, insieme alla capacità di creare una reale integrazione tra le diverse competenze coinvolte nei processi aziendali impattati in modo trasversale, è un nodo critico da affrontare in modo concreto e proporzionato al proprio profilo di rischio nell’ambito della propria strategia dei rischi ICT e Cyber.

Necessario che gli intermediari finanziari presidino adeguatamente il profilo del rischio ICT e Cyber che sta superando i confini del rischio operativo e assumendo, sempre di più, natura trasversale all’intera operatività aziendale, considerato anche il crescente ricorso alla tecnologia e agli impatti che eventuali debolezze e/o vulnerabilità nella gestione delle risorse informatiche possano avere sulla reputazione degli intermediari.

Si apre quindi una nuova fase della normativa che traccia un percorso indispensabile per il sistema finanziario: applicare la resilienza operativa digitale a partire da un framework di gestione dei rischi ICT e Cyber riguardante, tra l’altro, i presidi di protezione e prevenzione del rischio e di rilevamento preventivo delle attività anomale.

Dora, come funziona l‘autovalutazione chiesta dalla Banca d’Italia

Le comunicazioni al sistema, effettuate da Banca d’Italia negli ultimi dieci giorni dell’anno, denotano un’incessante lavoro di preparazione alla fase applicativa che include – tra le varie attività – per gli enti finanziari un’autovalutazione da effettuare e comunicare all’Autorità entro il 30 aprile 2025.

A tal proposito, con tale documento, Banca d’Italia chiede a tutti gli intermediari direttamente vigilati un’autovalutazione sul rispetto dei requisiti Dora (effettuata con il supporto delle Funzioni di Controllo di II e III livello). Si dovrà prestare particolare attenzione a:

  • Strategie dell’intermediario sui rischi di terza parte, sul rinnovo dei contratti con i fornitori di servizi ICT e sulla trasmissione del ROI
  • Adattamento al Dora dei presidi e delle politiche interne
  • Attività e programma dei test di resilienza operativa digitale
  • Sistema di gestione dei rischi ICT; quest’ultima valutazione deve verificare se il sistema adottato garantisca che le politiche, le procedure, i protocolli e gli strumenti in materia di gestione dei rischi ICT consentano di
  • prevenire, o rilevare tempestivamente, violazioni alla riservatezza dei dati e/o dei servizi (evitando, tra l’altro, data leakage, accessi abusivi, attività anomale)
  • ridurre il rischio derivante dai cambiamenti ICT; a questo proposito deve fornita una valutazione circa la conformità al Dora del quadro di ICT change management dell’intermediario.

L’autovalutazione, redatta di concerto tra le funzioni di controllo di secondo e terzo livello, deve essere approvata dall’organo di amministrazione.

Gli obiettivi

Come già fatto per il quarantesimo aggiornamento alla Circolare 285/13, la condivisione del percorso di adeguamento con l’indicazione delle misure adottate dagli intermediari rappresenta uno strumento utile all’Autorità per misurare da un lato il raggiungimento dei principali obiettivi normativi, dall’altro per prendere le misure rispetto agli orientamenti da consolidare a livello sistemico.

Probabilmente questo porterà, come anche accennato nella comunicazione, ad una prossima modifica delle Disposizioni di vigilanza della Banca d’Italia per assicurare il riordino della complessiva disciplina di vigilanza alla luce delle previsioni del Regolamento DORA, in un’ottica di chiarezza del complessivo quadro normativo.

La necessità di maggiore chiarezza

E la chiarezza sul quadro normativo è ciò che, oggi, si auspica. Non solo. Un alleggerimento della regolamentazione, spesso sovrapposta, in parte complementata e comunque raccordata ad altre normative e regolamenti europei, sarebbe opportuna per garantire un’effettiva armonizzazione e una sostenibile gestione e applicazione della stessa alle politiche interne alle aziende.

Verso l’adeguamento della normativa nazionale

Con atto del governo sottoposto a parere parlamentare n. 242 del 7 gennaio 2025 è stato reso noto uno “Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/2554, relativo alla resilienza operativa digitale per il settore finanziario” in applicazione degli articoli 1 e 16 della legge 21 febbraio 2024, n. 15.

Il decreto avrà l’obiettivo di dettare disposizioni necessarie all’adeguamento del quadro normativo nazionale al Regolamento Dora e al recepimento della direttiva NIS2, nonché a garantire il coordinamento con le vigenti disposizioni di settore.

Dallo schema emergono tre ambiti di rilievo:

  1. il ruolo delle autorità di vigilanza (Banca d’Italia, IVASS, COVIP, CONOSB) per il rispetto degli obblighi posti dal Regolamento a carico dei soggetti vigilati dalle medesime autorità, secondo le rispettive attribuzioni di vigilanza;
  2. applicazione del Regolamento agli intermediari finanziari e a Bancoposta;
  3. impianto sanzionatorio.

Senza alcuna pretesa di esaustività in tale sede, è opportuno evidenziare il ruolo centrale attribuito a Banca d’Italia, in quanto ad essa spetta inoltre il compito di vigilare su tali temi per Cassa depositi e prestiti, per gli intermediari finanziari ex art. 106 TUB e per Bancoposta. Inoltre ai fini della partecipazione al forum di sorveglianza di cui all’articolo 32 del Regolamento Dora, la Banca d’Italia è l’autorità competente interessata di cui al paragrafo 4, lettera b), del citato articolo 32 (componente nel forum di sorveglianza); mentre la Consob partecipa in qualità di osservatore con un proprio rappresentante e infine a seconda della tematica trattata, possono partecipare in qualità di osservatori con un proprio rappresentante ai sensi del paragrafo 4, lettera d), del medesimo articolo 32 anche l’IVASS e la COVIP.

Altro aspetto riguarda la disciplina applicabile agli intermediari finanziari ex art. 106 TUB e a Bancoposta nonché le tempistiche di adeguamento che derivano dall’entrata in vigore del decreto.

Infine, l’impianto sanzionatorio. Lo schema di decreto riporta un quadro sanzionatorio completo e complesso prevedendo aspre sanzioni amministrazione per la violazione degli adempimenti, indicati in modo specifico, del Dora; si distingue inoltre per singola tipologia di entità inclusi i fornitori di servizi ICT la quantificazione delle sanzioni amministrative per la società e per le persone fisiche per quanto applicabili.

Dora, lo scenario

Capiremo nel prossimo futuro se ancora una volta il rigido schema sanzionatorio avrà una carattere effettivamente dissuasivo come richiesto dal Regolamento. In ogni caso, sarà necessario un periodo temporale entro il quale misurarsi con la nuova disciplina.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4