L’Autorità bancaria europea (EBA) ha ristretto l’ambito di applicazione delle sue attuali linee guida sulle misure di gestione del rischio ICT e di sicurezza, a causa dell’applicazione dei requisiti armonizzati di gestione del rischio ICT, ai sensi del Regolamento DORA, a partire dal 17 gennaio 2025.
Si ricorda che il 27 novembre 2019 EBA aveva pubblicato gli Orientamenti sulla gestione del rischio ICT e della sicurezza (EBA/GL/2019/04), basati sulle disposizioni dell’art. 74 della Direttiva 2013/36/UE (CRD) e dell’art. 95, par. 3, della Direttiva (UE) 2015/2366 (PSD2): le linee guida stabilivano i requisiti per gli enti creditizi, le imprese di investimento e i PSP in merito all’attenuazione e alla gestione dei loro rischi ICT e di sicurezza e mirano a garantire un approccio coerente e solido in tutto il mercato unico.
A partire dal 17 gennaio 2025, è entrato in vigore il Regolamento DORA, il quale ha introdotto, tra l’altro, requisiti armonizzati per il quadro di gestione del rischio ICT, per la segnalazione degli incidenti e per la gestione e la verifica del rischio da parte di terzi.
Le modifiche introdotte da EBA alle predette Linee guida mirano quindi a semplificare il quadro di gestione del rischio ICT e a fornire chiarezza giuridica al mercato, al fine di evitare la duplicazione dei requisiti.
In particolare, EBA ha ristretto:
- l’ambito di applicazione delle Linee guida ai soli soggetti cui si applica dal Regolamento DORA, ossia gli enti creditizi, gli istituti di pagamento, i fornitori di servizi di informazione sui conti, gli istituti di pagamento esenti e gli istituti di moneta elettronica esenti
- l’ambito di applicazione delle Linee Guida ai requisiti di gestione dei rapporti con gli utenti dei servizi di pagamento in relazione alla fornitura di servizi di pagamento
EBA ricorda che i requisiti di sicurezza e di gestione del rischio operativo previsti dalla Direttiva sui servizi di pagamento (PSD2), applicabili da marzo 2018, continuano ad applicarsi ad altri tipi di prestatori di servizi di pagamento (PSP), come gli uffici postali e le cooperative di credito, ai quali non si applica il Regolamento DORA.
I PSP che sono ancora soggetti alla gestione della sicurezza e del rischio operativo ai sensi della PSD2 possono potenzialmente essere soggetti a requisiti nazionali aggiuntivi, indipendentemente dall’esistenza di Orientamenti EBA che si applicherebbero a loro: le autorità competenti o i governi degli Stati membri che desiderano mantenere l’approccio definito negli Orientamenti EBA per questi PSP possono continuare a farlo nell’ambito del loro quadro giuridico nazionale o delle loro misure di vigilanza.
Le Linee guida modificate si applicheranno entro due mesi dalla pubblicazione delle versioni tradotte.
