Da domani entra ufficialmente in vigore il Regolamento Ue 2022/2554, noto soprattutto come Digital Operational Resilience Act (DORA) per la resilienza operativa digitale che impone alle realtà che operano nel settore finanziario una serie di norme e adempimenti uniformi per garantire la sicurezza dei sistemi informatici e delle reti. Abbiamo ampiamente illustrato finalità e caratteristiche lo scorso anno nell’articolo DORA: cos’è, come e quando si applica il regolamento UE per la resilienza del settore finanziario.

I principali soggetti coinvolti sono banche, compagnie di assicurazione, fondi di investimento, fondi pensione, enti pensionistici, che gestiscono crediti, pagamenti, moneta elettronica.

Il regolamento coinvolge inoltre fornitori di servizi di informazione su conti correnti o conti deposito, cripto-attività, comunicazione dati, crowdfunding e terze parti ICT come per esempio i cloud provider e più in generale chi gestisce elenchi di dati finanziari e investimenti.

Sono escluse dall’osservanza del regolamento soltanto le microimprese. Tutte le altre da domani sono obbligate ad adottare misure interne per una gestione prudente dei rischi informatici. Questo si traduce nella definizione e approvazione di disposizioni pertinenti da parte dell’organo di gestione, la creazione di quadri ben documentati per la gestione dei rischi informatici, l’utilizzo e il mantenimento di sistemi informatici affidabili e tecnologicamente resilienti, nonché la pianificazione e l’implementazione di politiche di continuità operativa.

Il fine ultimo del Regolamento DORA è quello di fornire un quadro univoco di regole che possa tutelare maggiormente gli interessi di investitori e consumatori.

 

Percorso di adeguamento della normativa italiana

L’Italia ha naturalmente intrapreso il percorso per recepire nella propria normativa il Regolamento Ue DORA. L’ultimo passaggio in ordine temporale è avvenuto lo scorso 9 dicembre 2024 quando il Consiglio dei ministri ha approvato, in esame preliminare, il decreto legislativo di adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/2554, relativo alla resilienza operativa digitale per il settore finanziario.

A fine dicembre inoltre la Banca d’Italia ha provveduto a pubblicare un approfondimento sul regolamento DORA, che potrebbe essere considerato una sorta di vademecum.