Rivoluzione Digitale nel Mondo Finanziario Italiano: Arriva il Decreto DORA!

Il 10 marzo 2025 è stato emanato il Decreto Legislativo n. 23, pubblicato nella Gazzetta Ufficiale n. 58 dell’11 marzo 2025, che adegua la normativa nazionale al Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act (DORA).

Punti salienti del provvedimento:

• Ambito di applicazione: Il decreto si applica a una vasta gamma di entità finanziarie, tra cui banche, assicurazioni, società di investimento, fornitori di servizi di pagamento e istituti di moneta elettronica, con l’obiettivo di garantire una resilienza operativa digitale uniforme nel settore finanziario.

• Obblighi in materia di gestione del rischio ICT: Le entità finanziarie sono tenute a implementare solidi sistemi di gestione del rischio legato alle tecnologie dell’informazione e della comunicazione (ICT), includendo politiche e procedure per identificare, proteggere, rilevare, rispondere e recuperare da minacce e incidenti informatici.

• Segnalazione degli incidenti ICT: È obbligatoria la segnalazione tempestiva agli organi competenti degli incidenti ICT significativi, al fine di garantire una risposta coordinata e mitigare l’impatto sul sistema finanziario.

• Test di resilienza operativa digitale: Le entità finanziarie devono sottoporsi periodicamente a test di resilienza operativa digitale, tra cui valutazioni delle vulnerabilità e test di penetrazione, per assicurare l’efficacia delle misure di sicurezza adottate.

• Gestione dei rischi derivanti da terze parti ICT: Il decreto impone una supervisione rigorosa dei rischi associati ai fornitori terzi di servizi ICT critici, richiedendo accordi contrattuali dettagliati e monitoraggio continuo delle prestazioni.

• Ruolo delle autorità competenti: Le autorità nazionali di vigilanza sono incaricate di monitorare la conformità delle entità finanziarie alle disposizioni del decreto, con poteri sanzionatori in caso di violazioni. Banca d’Italia, Consob, IVASS e COVIP sono le Autorità competenti individuate dal decreto per il rispetto degli obblighi posti dal DORA.

• Sanzioni: fino al 10% del fatturato per le Violazioni Gravi commesse da persone giuridiche e fino a 5 milioni di Euro per quelle commesse dalle persone fisiche che svolgono funzioni di amministrazione, direzione o controllo.

Quindi?

Il decreto DORA, obbliga banche, assicurazioni e altri operatori del settore a:

• Rafforzare le difese: Investire in sistemi di sicurezza più avanzati, per proteggersi da attacchi informatici e altri incidenti.

• Gestire meglio i rischi: Individuare i punti deboli dei loro sistemi e mettere in atto misure per prevenirli.

• Essere pronti a reagire: Avere piani di emergenza ben definiti, per riprendersi rapidamente in caso di problemi.

• Controllare i fornitori esterni: Vigilare attentamente sui fornitori di servizi tecnologici (cloud, software, ecc.), che spesso rappresentano un anello debole della catena.

Cosa cambia in pratica?

Per le aziende del settore finanziario, il decreto DORA rappresenta una vera e propria sfida. Devono adeguarsi rapidamente alle nuove regole, il che significa:

• Analizzare i rischi: Valutare attentamente i rischi informatici a cui sono esposte.

• Aggiornare i sistemi: Investire in nuove tecnologie e software per proteggere i dati.

• Formare il personale: Assicurarsi che tutti i dipendenti siano consapevoli dei rischi e sappiano come comportarsi in caso di emergenza.

• Rivedere i contratti con i fornitori: Assicurarsi che i contratti con i fornitori di servizi tecnologici prevedano adeguate garanzie di sicurezza.

• Segnalazione degli incidenti: Se un destinatario del decreto subisce un attacco informatico, dovrà segnalarlo immediatamente non solo alle Autorità Competenti, ma anche al CSIRT Italia, il centro di competenza nazionale per la sicurezza cibernetica.