Pubblicato in Gazzetta Ufficiale, Serie Generale, 11 marzo 2025, n. 58, il Decreto Legislativo 10 marzo 2025, n. 23, con le disposizioni di adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2022/2554 (DORA), e per il recepimento della Direttiva (UE) 2022/2556 (c.d. Direttiva DORA), relativamente alla resilienza operativa digitale per il settore finanziario.
Delle tematiche connesse all’adeguamento della governance, dei processi e delle policy degli operatori al framework normativo DORA, se ne discuterà ampiamente nel corso del prossimo webinar DB del 10 aprile 2025, “DORA: autovalutazione del rischio ICT”
Il Decreto legislativo di adeguamento a DORA, più nel dettaglio, prevede:
- all’art. 3, l’individuazione delle Autorità competenti DORA e la partecipazione al forum di sorveglianza: Banca d’Italia, Consob, IVASS e COVIP sono le autorità competenti per il rispetto degli obblighi posti da DORA a carico dei soggetti vigilati, secondo le rispettive attribuzioni di vigilanza, nonché per le segnalazioni di gravi incidenti informatici occorsi e per le segnalazioni (volontarie) di minacce informatiche significative
- Banca d’Italia, inoltre:
- è competente per il rispetto degli obblighi posti da DORA a carico di Cassa depositi e prestiti S.p.A.
- è competente per il rispetto degli obblighi a carico degli intermediari finanziari e di Bancoposta
- è l’autorità competente interessata di cui al par. 4, lett. b), ai fini della partecipazione al forum di sorveglianza di cui all’art. 32 di DORA
- Consob partecipa in qualità di osservatore al predetto forum di sorveglianza con un proprio rappresentante
- IVASS e COVIP, a seconda della tematica trattata, potranno partecipare anch’essi in qualità di osservatori
- Banca d’Italia, inoltre:
- all’art. 4, c. 3 del decreto legislativo DORA, si prevede che, oltre alle comunicazioni alla propria autorità competente, gli operatori del settore bancario e delle infrastrutture dei mercati finanziari saranno anche tenuti a inviare una notifica al CSIRT Italia, ovvero l’organo dell’Agenzia per la Cybersicurezza Nazionale (ACN) che ha anche il compito di monitorare gli incidenti a livello nazionale
- al Capo III del decreto legislativo DORA, definisce chiaramente le disposizioni del regolamento DORA applicabili agli intermediari finanziari ed a Bancoposta, sulla base del principio di proporzionalità
- all’art. 8, definisce i poteri di vigilanza delle Autorità competenti, alle quali sono attribuiti i poteri di vigilanza di cui agli artt. 42, par. 6, e 50, par. 2, del Regolamento DORA; in particolare:
- possono effettuare accessi e ispezioni presso i fornitori terzi di servizi ITC a supporto di funzioni essenziali o importanti delle entità finanziarie, di Cassa depositi e prestiti S.p.A., degli intermediari finanziari e di Bancoposta
- convocare gli amministratori, i sindaci e il personale dei medesimi fornitori e richiedere loro di fornire informazioni e di esibire documenti
- restano fermi i poteri previsti:
- dagli artt. 51, 53-bis, 54 e 108 TUB
- dall’art. 4, c. 4, del D. Lgs. 129/2024
- dagli artt. 6, c. 1, lett. c), 30-septies, 188, 189, 190, 205-bis del CAP
- dagli artt. 5-septies e 19 del D. Lgs. 252/2005, nei confronti dei soggetti ai quali siano state esternalizzate funzioni aziendali e del relativo personale
- dagli artt. 114-quinquies.2 e 114-quaterdecies del TUB, dagli artt. 6-bis, 6-ter, 7 e 62-novies del TUF e dall’art. 22 L. 262/2005.
- all’art. 9, conferisce specifici poteri regolamentari alle anzidette autorità, che potranno emanare disposizioni attuative del decreto legislativo DORA e del Regolamento DORA, anche per tener conto degli orientamenti delle Autorità europee di vigilanza, nonché delle disposizioni riguardanti le modalità di esercizio dei poteri di vigilanza
- all’art. 10, delinea le sanzioni amministrative applicabili agli operatori, intervenendo direttamente sugli artt. 144 e 144 ter del TUB (D. Lgs. 385/1993):
- le condotte più gravi, in materia di governance, organizzazione e responsabilità del management, sono sanzionate da 30.000 Euro al 10% del fatturato
- le condotte meno gravi, come quelle relative alla classificazione degli incidenti sono sanzionate da 30.000 Euro, ma con un massimo edittale del 7% del fatturato dell’ente
- per gli istituti di pagamento, le SIM o le SGR, si applica il massimo edittale del 10% solo in cui tale percentuale sia superiore a 5 milioni
- nel caso dei depositari centrali di titoli e dei relativi fornitori di servizi TIC, in caso di sanzioni gravi, il minimo edittale rimane 30.000€, mentre il massimo è di 20 milioni o il 10% del fatturato, qualora sia superiore
- le sanzioni sono dirette anche ai fornitori di servizi TIC, per cui, a seconda della tipologia di soggetto al quale erogano i propri servizi, i fornitori saranno soggetti a regimi sanzionatori differenti
- in base al nuovo comma 2 ter dell’art. 144 ter del TUB, i soggetti apicali (coloro che svolgono funzioni di amministrazione, direzione o controllo del personale), quando l’inosservanza è conseguenza della violazione dei doveri propri o dell’organo di appartenenza e la condotta ha inciso sull’organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la violazione da parte dell’ente, verranno sanzionati con un importo da 5.000 Euro a 5 milioni, in caso di condotte più gravi o fino a 3,5 milioni in caso di condotte meno gravi
- in base al nuovo comma 2 quater dell’art. 144 ter del TUB, potrà inoltre essere applicata ai soggetti apicali la sanzione amministrativa accessoria dell’interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto legislativo, del D. Lgs. 58/1998, del D. Lgs. 209/2005, del D. Lgs. 129/2024 o presso fondi pensione.
