L’Autorità bancaria europea (EBA) ha abrogato oggi i propri Orientamenti sulla segnalazione di incidenti operativi e di sicurezza gravi, ai sensi della Direttiva sui servizi di pagamento (PSD2) in ragione dell’applicazione della segnalazione armonizzata degli incidenti ICT, ai sensi del Regolamento DORA, a partire dal 17 gennaio 2025.
L’abrogazione delle linee guida mira a semplificare la segnalazione degli incidenti gravi da parte dei prestatori di servizi di pagamento (PSP) e a fornire certezza giuridica al mercato.
Della tematica relativa alla gestione degli incidenti ICT e del rapporto con le Autorità di vigilanza se ne parlerà anche in occasione del nostro prossimo webinar del 20 febbraio 2025 “DORA: le richieste Banca d’Italia sulla gestione del rischio ICT“.
Il Regolamento DORA, che inizierà ad essere applicato a partire dal 17 gennaio 2025, introduce requisiti armonizzati di segnalazione degli incidenti che si applicano alle entità finanziarie dei settori bancario, dei titoli/mercati, delle assicurazioni e delle pensioni.
Ciò include la maggior parte dei PSP, ovvero istituti di credito, istituti di pagamento, istituti di moneta elettronica e fornitori di servizi di informazione sui conti; DORA disapplica anche gli obblighi di segnalazione degli incidenti previsti dalla PSD2 per tali PSP.
A questo proposito, per garantire chiarezza e certezza giuridica ai prestatori di servizi di pagamento coperti da DORA e per semplificare la segnalazione complessiva degli incidenti gravi da parte dei PSP, EBA ha deciso di abrogare i suoi orientamenti sulla segnalazione degli incidenti gravi ai sensi della PSD2.
EBA ricorda che gli obblighi di segnalazione degli incidenti previsti dalla PSD2 si applicano ancora ad altri tipi di PSP (ad esempio, gli uffici postali e le cooperative di credito) che non sono coperti da DORA.
Tuttavia, EBA ha deciso di abrogare integralmente le Linee Guida per diverse ragioni:
- il numero di questi istituti è molto basso e non ha una quota di mercato significativa a livello europeo
- questi PSP operano in meno della metà degli Stati membri dell’UE e forniscono servizi solo a livello nazionale
- il numero e la rilevanza delle segnalazioni di incidenti ricevute da questi PSP a livello europeo sono trascurabili
- i PSP che sono ancora soggetti agli obblighi di segnalazione degli incidenti ai sensi della PSD2 possono essere soggetti agli obblighi di segnalazione degli incidenti a livello nazionale, indipendentemente dall’esistenza degli orientamenti EBA: le autorità competenti che vorranno mantenere l’approccio di segnalazione degli incidenti incluso negli Orientamenti dell’EBA per tali PSP, potranno quindi continuare a farlo nell’ambito del loro quadro giuridico nazionale o delle misure di vigilanza.
