EBA, con Q&A n. 7439/2025, ha chiarito quali costi del personale siano da considerarsi parte dei “costi del personale” ai sensi dell’art. 18, par. 1, lett. f), di DORA e devono pertanto essere riportati come parte dei costi e delle perdite diretti e indiretti lordi di eventuali incidenti informatici.
Per determinare l’impatto economico di un incidente correlato alle ITC, ai sensi dell’articolo citato, devono essere presi in considerazione “i costi del personale, compresi i costi associati alla sostituzione o al trasferimento del personale, all’assunzione di personale supplementare, alla retribuzione degli straordinari e al recupero delle competenze perse o compromesse“.
Ai sensi dell’art. 4, lett. e), del Regolamento Delegato (UE) 2025/301, tali costi devono essere riportati nella relazione finale, conformemente all’art. 19, par. 4, lett. c), di DORA.
Non vi sono ulteriori specifiche, in particolare per quanto riguarda i costi del personale imputati che non comportano direttamente un deflusso monetario: nemmeno l’art. 7, par. 2, del Regolamento Delegato (UE) 2024/1772 fornisce informazioni al riguardo, in base al quale solo i “costi necessari per la gestione corrente dell’attività” sono esclusi dal suddetto regolamento.
In particolare, non è chiaro se i costi del personale da considerare includano anche i costi del personale correlati indirettamente all’incidente: questi possono verificarsi, ad esempio, se i dipendenti non sono in grado di svolgere le proprie mansioni a causa dell’elaborazione prioritaria di un incidente informatico o le rinviano a una data successiva, oppure se accumulano ore di straordinario per elaborare un incidente informatico, che vengono poi ridotte tramite permessi compensativi.
Oltre a questi costi indiretti, vi potrebbero essere altresì costi diretti per il personale assunto e responsabile dell’elaborazione degli incidenti informatici.
Inoltre, per quanto riguarda l’art. 7, par. 2, del Regolamento delegato (UE) 2024/1772, non è chiaro se i costi del personale per le risorse già destinate e pianificate alla gestione degli incidenti rientrino nell’operatività quotidiana dell’azienda e siano quindi esclusi.
In particolare, non è chiara la distinzione tra i costi “per il mantenimento delle competenze del personale” e quelli per il “recupero delle competenze perse o compromesse“.
EBA ricorda che l’art. 7 citato, che specifica i criteri per la classificazione degli incidenti ICT, delinea le tipologie di costi e perdite diretti e indiretti che le entità devono considerare per determinare l’impatto economico di un incidente ICT.
La lettera c), in particolare, specifica che l’impatto economico di un incidente ICT include i costi del personale, tra cui i costi “associati alla sostituzione o al trasferimento del personale, all’assunzione di personale supplementare, alla retribuzione degli straordinari e al recupero delle competenze perse o compromesse“.
Se gli straordinari non sono retribuiti, ma compensati tramite accordi sull’orario di lavoro, gli straordinari correlati all’incidente dovrebbero comunque essere conteggiati nei costi del personale, se tali costi possono essere chiaramente attribuiti all’incidente.
Analogamente, anche il tempo di lavoro chiaramente assegnato alla gestione dell’incidente dovrebbe essere conteggiato nei costi del personale: questa considerazione si applica anche laddove le risorse siano state stanziate o pianificate per la gestione degli incidenti informatici in generale e ciò garantisce una valutazione coerente dei costi – tra cui quelli del personale – indipendentemente dai processi interni e dalla pianificazione e allocazione delle risorse delle entità finanziarie.
Le attività di formazione del personale volte a prevenire o ridurre al minimo le conseguenze di potenziali incidenti, infine, per EBA rientrano nell’esclusione dei costi ai sensi dell’art. 7, par. 2, del Regolamento Delegato (UE) 2024/1772 per l’aggiornamento delle competenze del personale, in quanto costi necessari per la gestione quotidiana dell’attività.
I costi per il recupero delle competenze perse o compromesse, invece, sono quelli che si verificano a seguito di un incidente ai sensi dell’art. 7, par. 1, del Regolamento Delegato (UE) 2024/1772, ad esempio per la riqualificazione del personale che ha dovuto essere riassegnato.
EBA fa notare da ultimo che il Regolamento Delegato (UE) 2024/1772 non prescrive una metodologia di calcolo specifica per questi costi: questa omissione riflette la complessità intrinseca e la variabilità delle strutture di costo tra le diverse entità e attività finanziarie.
