Enti creditizi
Istituti di pagamento
Prestatori di servizi di informazione sui conti
Istituti di moneta elettronica
Imprese di investimento
Fornitori di servizi per le cripto-attività ed emittenti di token collegati ad attività
Regolamento DORA
A fronte della crescente dipendenza del settore finanziario dalle tecnologie digitali nelle attività e nella prestazione dei servizi finanziari, la DORA (Digital Operational Resilience Act) è un regolamento europeo che ha l'obiettivo di rafforzare la resilienza operativa digitale nel settore finanziario dell’Unione Europea.
Settori interessati dal Regolamento DORA
Il regolamento DORA si applica a una vasta gamma di entità che operano nel settore finanziario e tecnologico. Tra queste troviamo:
Depositari centrali di titoli
Controparti centrali
Sedi di negoziazione
Repertori di dati sulle negoziazioni
Gestori di fondi di investimento alternativi
Società di gestione
Fornitori di servizi di comunicazione dati
Agenzie di rating del credito
Amministratori di indici di riferimento critici
Fornitori di servizi di crowfunding
Repertori di dati sulle cartolarizzazioni
Fornitori terzi di servizi TIC
Come indicato dall’ultimo elemento il DORA si applica anche ai fornitori di servizi TIC delle entità finanziarie. I servizi TIC (Tecnologie dell’Informazione e della Comunicazione) si riferiscono all’insieme di tecnologie, strumenti e infrastrutture utilizzati per gestire, trasmettere, archiviare e proteggere informazioni digitali. Questi servizi coprono una vasta gamma di attività legate alla gestione e utilizzo delle tecnologie informatiche e delle comunicazioni. La DORA prevede la gestione dei rischi derivanti dai fornitori esterni di ICT, imponendo alle entità finanziarie di garantire che i fornitori abbiano piani di resilienza operativa.
Principali scadenze
Le principali scadenze relative all’applicazione di DORA sono le seguenti:
16 gennaio 2023
ENTRATA IN VIGORE
Da questa data, le entità finanziarie hanno iniziato a prepararsi per conformarsi ai nuovi requisiti
17 gennaio 2025
CONFORMITà
Data entro la quale tutte le entità finanziarie e i fornitori di servizi ICT critici devono essere conformi ai requisiti del DORA
10 marzo 2025
RECEPIMENTO
Recepimento del regolamento DORA nell'ordinamento giuridico italiano attraverso il decreto legislativo n.23. Anche se il regolamento è direttamente applicabile, l'Italia dovrà comunque recepire alcune disposizioni tramite il decreto legislativo.
11 aprile 2025
SCADENZA SEGNALAZIONE
Scadenza per la segnalazione del Registro delle Informazioni tramite il portale Infostat, come indicato dall'IVASS. Questo è un obbligo operativo derivante dal Regolamento
15 aprile 2025
SCADENZA TRASMISSIONE
Scadenza per la trasmissione del Registro delle Informazioni alla Banca d'Italia tramite Infostat. Questa è una parte degli obblighi di conformità operativa delle entità finanziarie ai requisiti del Regolamento
maggio 2025
CONTROLLI DELLE AUTORITà
Le autorità di vigilanza europee (EBA, ESMA, EIOPA) eseguiranno ulteriori controlli di qualità sui registri delle informazioni trasmessi dalle entità finanziarie. In caso di errori bloccanti, le entità dovranno procedere con una nuova trasmissione correttiva
30 giugno 2025
SCADENZA TRASMISSIONE RAPPORTO ANNUALE
Scadenza per la trasmissione del rapporto annuale sulla gestione del rischio ICT alle autorità competenti. Questo rapporto deve includere una valutazione dettagliata delle misure adottate per garantire la resilienza operativa digitale
31 dicembre 2025
COMPLETAMENTO RAPPORTO ANNUALE
Le entità finanziarie devono completare la revisione annuale dei loro protocolli di gestione del rischio ICT e aggiornare i registri delle informazioni in conformità con le nuove linee guida stabilite dalle autorità di vigilanza
I principali adempimenti del Regolamento DORA
Dall’esame complessivo della normativa risultano numerosi obblighi che gli operatori finanziari sono tenuti a rispettare, tra cui, a titolo esemplificativo e non esaustivo:
Adozione un quadro di governance e organizzazione interna
Adozione un quadro di governance e organizzazione interna, che garantisca un controllo efficace e prudente di tutti i rischi ICT. A tal fine, è necessario attribuire specifici compiti all’”organo di gestione” dell’ente finanziario, il quale deve essere incaricato dell’approvazione e applicazione di tutte le disposizioni relative al suddetto quadro
Adozione di un piano per la gestione dei rischi informatici
Le entità finanziarie predispongono un quadro per la gestione dei rischi informatici solido, esaustivo e adeguatamente documentato, che consenta loro di affrontare i rischi informatici in maniera rapida, efficiente ed esaustiva. Il quadro per la gestione dei rischi informatici comprende almeno strategie, politiche, procedure, protocolli e strumenti in materia di TIC necessari per proteggere debitamente e adeguatamente tutti i patrimoni informativi e risorse TIC tra i quali politiche adeguate di continuità operativa e piani di ripristino in caso di disastro
Classificazione gli incidenti connessi ai fornitori ICT e le minacce informatiche
Classificazione gli incidenti connessi ai fornitori ICT e le minacce informatiche secondo i criteri indicati dal legislatore. Le entità finanziarie devono classificare le minacce informatiche in base alla criticità dei servizi a rischio, ivi comprese le operazioni dell’ente, il numero e/o la rilevanza di clienti o controparti finanziarie interessati e l’estensione geografica delle aree a rischio
Creazione di un sistema di notifica degli incidenti informatici
Creazione di un sistema di notifica degli incidenti informatici, attuando un processo di monitoraggio, registrazione e gestione costante degli incidenti, al fine di notificarli alle autorità competenti. In ultimo, devono essere stabilite procedure di risposta agli incidenti per attenuarne l’impatto e garantirne tempestivamente l’operatività e la sicurezza dei servizi
Svolgimento di test di resilienza operativa digitale
Svolgimento di test di resilienza operativa digitale, Le entità devono effettuare test regolari per garantire la resilienza dei loro sistemi TIC secondo un approccio risk-based e proporzionale rispetto alle dimensioni, alla tipologia di attività e al profilo di rischio dell’operatore finanziario. Il programma di test di resilienza operativa digitale prevede valutazione e scansione delle vulnerabilità, analisi open source, valutazioni della sicurezza delle reti, analisi delle carenze, esami della sicurezza fisica, questionari e soluzioni di scansione del software, esami del codice sorgente, ove fattibile, test basati su scenari, test di compatibilità, test di prestazione, test end-to-end e penetration test.
Gestione dei rischi ICT derivanti da terzi
Le entità finanziarie dovranno adottare un processo di due diligence e di gestione dei rischi nei quali rientrano l’identificazione, la classificazione e la documentazione di tutti i processi dipendenti da fornitori terzi di servizi TIC. DORA stabilisce che le istituzioni finanziarie devono avere contratti chiari e vincolanti con i fornitori di servizi TIC quando le entità finanziarie ricorrono a fornitori terzi di servizi TIC a supporto delle loro funzioni essenziali o importanti. Questi contratti dovranno essere rinegoziati e adeguati al fine di includere gli obblighi previsti dal regolamento, con un focus particolare sulla resilienza operativa e la gestione dei rischi ICT
Adozione di pratiche di cooperazione e monitoraggio
Miglioramento della collaborazione tra le entità finanziarie e le autorità competenti, nonché tra gli operatori del settore in caso di incidenti. il DORA prevede l’istituzione di un programma su base volontaria che consenta agli attori finanziari di prevedere accordi per la condivisione e lo scambio di informazioni di cyber threat intelligence.