Il Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act (DORA), è ufficialmente in vigore dal 17 gennaio 2025. Questo regolamento introduce un insieme completo di norme per garantire la cybersicurezza nei settori bancario, finanziario e assicurativo, includendo anche gli Istituti di Pagamento e le Imprese di Moneta Digitale. Tra queste, vi è l’obbligo per le Istituzioni Finanziarie di implementare e aggiornare nel continuo un Registro delle Informazioni con i dati degli accordi contrattuali con i fornitori ICT.
In conseguenza di ciò, il contenuto di DORA è stato recepito nell’ordinamento giuridico italiano il 10 marzo 2025 attraverso il decreto legislativo n.23, pubblicato in Gazzetta Ufficiale il giorno successivo.
Va rilevato che tra gli aspetti più significativi esplicitati da tale normativa c’è la definizione delle rilevanti sanzioni pecuniarie e interdittive previste a carico degli operatori finanziari e dei loro fornitori ICT e di coloro che svolgono funzioni di amministrazione, direzione, controllo.
In caso di inosservanza delle disposizioni, anche relative al Registro delle Informazioni, sono previste una serie di sanzioni tese non solo a punire ma anche a disincentivare le violazioni. Tali sanzioni, inoltre, sono suddivise per tipologia in base al soggetto sanzionato come segue nei confronti:
- delle banche e delle imprese di assicurazione e riassicurazione, e dei relativi fornitori ICT, è prevista una sanzione pecuniaria da 30.000 € al 10 % del fatturato;
- degli Istituti di Pagamento, degli Istituti di moneta elettronica e dei relativi fornitori ICT è prevista una sanzione pecuniaria da 30.000 € a 3.5 milioni di € ovvero al 7 % del fatturato (quando l’importo è superiore a 3,5 milioni di € e il fatturato è disponibile e determinabile);
- degli intermediari assicurativi e riassicurativi, degli intermediari assicurativi a titolo accessorio e dei relativi fornitori ICT è prevista una sanzione pecuniaria da 5.000 € a 3,5 milioni di € oppure, se superiore, al 3,50 % del fatturato complessivo annuo risultante dall’ultimo bilancio approvato dall’organo di amministrazione.
Considerati anche i tempi stretti di adozione e di cogenza della normativa, il 7 marzo 2025, l’IVASS con una Lettera al Mercato ha fornito indicazioni sulle modalità e le tempistiche di segnalazione del Registro delle Informazioni, indicando il portale Infostat come tramite e la scadenza dell’11 aprile. Infine, il 14 marzo con una Comunicazione, Banca d’Italia ha chiarito le modalità e le tempistiche per la trasmissione del Registro delle Informazioni: 15 Aprile tramite Infostat.
È quindi evidente che i tempi per l’adeguamento sono ad oggi particolarmente stretti, soprattutto considerando il fatto che gli adeguamenti richiesti sono particolarmente impattanti, motivo per cui molte impese preferiscono affidarsi anche al supporto di esperti e progetti dedicati a tale opera.
Per maggiori informazioni su DORA e sulle modalità attraverso le quali è possibile adeguarsi: info@arenadigitale.it
