di Pierfrancesco Malu
Nel mondo dei pagamenti l’attenzione al cliente ed alla qualità del servizio trova un nuovo metro di valutazione nella normativa DORA.
APSP offre agli iscritti una nuova possibilità di approfondire i temi con il supporto di Mariano Carozzi, una lunga esperienza bancaria nel gruppo Sella ed una significativa nel mondo crypto come presidente di Young platform, dopo ver lanciato Prestiamoci e Tinaba, e dell’avvocato Paolo Maria Gangi, DPO ed esperto legale romano, rappresentante italiano di LexDAO, organizzazione mondiale di avvocati.
Arena Digitale intervista i due professionisti sul tema specifico.
Avvocato Gangi in sintesi cosa è la DORA?
Il Regolamento (UE) 2022/2554, cosiddetto Digital Operational Resilience Act, maggiormente noto con l’acronimo DORA, entrerà in vigore il 17 gennaio 2025 e creerà un quadro organico di compliance per il settore bancario, finanziario e assicurativo in materia di cybersicurezza.
Il DORA è parte della cosiddetta digital financial strategy dell’UE, cioè la strategia sulla creazione di un nuovo quadro di regole della UE per la finanza digitale presentata a settembre 2020 e, poi, sostanziatasi nell’emissione di tre differenti regolamenti: il maggiormente noto MiCA (Market in Crypto Assets Regulation), il poco fortunato (in termini di tasso applicativo) regolamento DLT pilot e, infine, il DORA, approvato in via definitiva dall’Unione il 14 dicembre 2022 e deputato a creare un quadro di regole per la cybersicurezza nell’ambito finanziario così come in quello bancario e assicurativo.
In pratica un quadro di compliance strutturato e articolato per garantire la sicurezza dei sistemi informatici e di rete.
Dottor Carozzi DORA prevede tre gradi di approccio in base alla dimensione e all’interconnessione delle imprese li può descrivere
Sono tre approcci diversi uno standard, basato sulla valutazione dei servizi offerti, la gestione di rischi ed incidenti con un adeguamento procedurale e eventualmente contrattuale nei casi di outsourcing dedicato soprattutto alle grandi imprese, uno semplificato per piccole imprese ed uno basato su una serie -molto numerosa – di eccezioni dedicate alle Microimprese, soggette a requisiti specifici proporzionati alle loro dimensioni. Le complessità sono due: la prima che gli obblighi non sono a scalare ma sono tre schemi diversi, la seconda si verificherà -penso più spesso di quel che stimiamo quando una piccola o microimpresa verrà chiamata da una grande impresa a rivedere i rapporti contrattuali in ottica DORA.
Avvocato Gangi ci sono dei punti fermi?
Tre punti sicuramente e devono essere evidenziati abbastanza chiaramente:
- le responsabilità dell’applicazione del DORA puntano direttamente all’organo amministrativo delle imprese
- la visione è omnicomprensiva del sistema informatico e contabile che deve essere adeguato alla natura e alle dimensioni dell’impresa secondo il paradigma dell’art. 2086, comma 2, c.c.
- infine, anche se il DORA si riferisce principalmente al “reame tecnologico” è a tutti gli effetti un sistema di compliance essenzialmente normativo: l’adempimento del DORA richiede la preparazione di una serie di documenti interni e di policy organizzative che illustrino e documentino le regole di sicurezza e le prassi operative utilizzate all’interno dell’ente.
Dottor Carozzi quale è il vostro approccio?
Il nostro approccio si caratterizza per identificare innanzitutto cosa serve alla società per essere in regola ma anche contenere costi e tempi, in sostanza facciamo una breve due diligence ed una gap analysis contenere per capire a quale sia l’approccio adatto e evidenziare i punti di debolezza da affrontare per primi. Nell’insieme il DORA obbligherà le imprese destinatarie degli obblighi in esso previsti a una intensa attività di messa a punto del proprio sistema di compliance in ambito di cybersicurezza: se nel breve periodo si tratterà di un onere, nel lungo periodo la messa a regime di un sistema efficace di resilienza operativa digitale permetterà alle imprese di pagamento di sviluppare livelli più efficaci di operatività aziendale, in sostanza un sistema imprenditoriale più solido.
