Il Parlamento europeo ha adottato in prima lettura il testo della proposta di regolamento relativo alla resilienza per la finanza digitale, ossia per la resilienza operativa digitale per il settore finanziario (Digital Operational Resilience Act – DORA).
Il presente regolamento mira a consolidare e aggiornare i requisiti in materia di rischi informatici nell’ambito dei requisiti in materia di rischi operativi che sono state finora trattati separatamente in vari atti giuridici dell’Unione.
Tali atti riguardavano le principali categorie di rischio finanziario (ad esempio rischio di credito, rischio di mercato, rischio di controparte e rischio di liquidità, rischio di condotta sul mercato), ma nel momento in cui sono stati adottati non trattavano in maniera globale tutte le componenti della resilienza operativa.
Le norme sui rischi operativi ulteriormente sviluppate in tali atti giuridici dell’Unione hanno sovente privilegiato il tradizionale approccio quantitativo alla gestione dei rischi (ossia la definizione di un requisito patrimoniale a copertura dei rischi informatici) rispetto a norme qualitative mirate concernenti le capacità di protezione, individuazione, contenimento, ripristino e rimedio in relazione agli incidenti connessi alle TIC, oppure le capacità di segnalazione e test digitali.
Tali atti si prefiggevano principalmente lo scopo di trattare e aggiornare le norme fondamentali in materia di vigilanza prudenziale e integrità o condotta sul mercato.
Tramite il consolidamento e l’aggiornamento delle diverse norme sui rischi informatici, tutte le disposizioni in materia di rischio digitale nel settore finanziario dovrebbero essere coerentemente riunite per la prima volta in un unico atto legislativo.
Il presente regolamento colma pertanto le lacune o pone rimedio alle incoerenze di taluni fra i precedenti atti legislativi, anche per quanto riguarda la terminologia utilizzata, e fa esplicito riferimento ai rischi informatici tramite norme specifiche in materia di capacità di gestione dei rischi informatici, segnalazione degli incidenti, test di resilienza operativa e monitoraggio dei rischi informatici derivanti da terzi.
Pertanto il presente regolamento dovrebbe altresì accrescere la consapevolezza dei rischi informatici e riconoscere che gli incidenti connessi alle TIC e la mancanza di resilienza operativa potrebbero compromettere la solidità delle entità finanziarie.
Gli obblighi derivanti dal Regolamento DORA
Al fine di conseguire un livello comune elevato di resilienza operativa digitale, il presente regolamento stabilisce i seguenti obblighi applicabili alle entità finanziarie in materia di:
- gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC);
- segnalazione alle autorità competenti degli incidenti gravi connessi alle TIC e notifica, su base volontaria, delle minacce informatiche significative;
- segnalazione alle autorità competenti, da parte delle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), di gravi incidenti operativi o relativi alla sicurezza dei pagamenti;
- test di resilienza operativa digitale;
- condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche;
- misure relative alla solida gestione dei rischi informatici derivanti da terzi;
- obblighi relativi agli accordi contrattuali stipulati tra fornitori terzi di servizi TIC ed entità finanziarie;
- norme per l’istituzione e l’attuazione di un quadro di sorveglianza per i fornitori terzi critici di servizi TIC, allorché forniscono i loro servizi a entità finanziarie;
- norme sulla cooperazione tra autorità competenti e norme sulla vigilanza e l’applicazione da parte delle autorità competenti in relazione a tutte le materie trattate dal presente regolamento.
A chi si applica il Regolamento DORA sulla finanza digitale?
Il presente regolamento si applica alle entità seguenti:
- enti creditizi;
- istituti di pagamento, compresi gli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366;
- prestatori di servizi di informazione sui conti;
- istituti di moneta elettronica, compresi gli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE;
- imprese di investimento;
- fornitori di servizi per le cripto-attività autorizzati a norma del regolamento del Parlamento europeo e del Consiglio concernente i mercati delle cripto-attività e recante modifica dei regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e delle direttive 2013/36/UE e (UE) 2019/1937 (regolamento sui mercati delle cripto-attività) ed emittenti di token collegati ad attività;
- depositari centrali di titoli;
- controparti centrali;
- sedi di negoziazione;
- repertori di dati sulle negoziazioni;
- gestori di fondi di investimento alternativi;
- società di gestione;
- fornitori di servizi di comunicazione dati;
- imprese di assicurazione e di riassicurazione;
- intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio;
- enti pensionistici aziendali o professionali;
- agenzie di rating del credito;
- amministratori di indici di riferimento critici;
- fornitori di servizi di crowdfunding;
- repertori di dati sulle cartolarizzazioni;
- fornitori terzi di servizi TIC.