Regolamento DORA: ulteriori chiarimenti di Bankitalia

Il Regolamento DORA è stato ulteriormente oggetto di Banca d'Italia che richiama l'attenzione  degli intermediari sottoposti a vigilanza prudenziale che rientrano nella definizione di “entità finanziaria” del Regolamento DORA (i.e., banche, imprese di investimento, gestori, istituti di pagamento, istituti di moneta elettronica, emittenti di token collegati ad attività, prestatori di servizi per le cripto-attività, fornitori di servizi di crowdfunding) su alcuni punti di applicazione specifici. Si ricorda che le previsioni contenute nel Regolamento DORA si applicano a decorrere dal 17 gennaio 2025 e che il Governo, nell'ambito della delega ricevuta dalla “Legge di delegazione europea 2022-2023, definirà anche per gli intermediari finanziari ex art. 106 TUB presidi in materia di resilienza operativa digitale equivalenti a quelli stabiliti nel Regolamento DORA. Ciò posto e venendo alle indicazioni della Comunicazione, la Banca d’Italia precisa in merito a:

• la collocazione della funzione di controllo dei rischi ICT. Fermo restando il quadro di principi cui all’art. 6 del Reg. DORA, nel rispetto dei principi di proporzionalità e di neutralità organizzativa, la Banca d’Italia ritiene compatibile che gli intermediari facciano leva sul modello di governance e sul sistema dei controlli interni adottati ai sensi della propria disciplina settoriale. Pertanto, potranno ad esempio valutare se istituire o confermare un’autonoma funzione di controllo ICT, avente i requisiti delle funzioni aziendali di controllo di secondo livello, oppure attribuire i compiti della funzione di controllo ICT alla funzione di risk management e a quella di compliance, ove istituite. La funzione di controllo ICT non può in ogni caso essere affidata alla struttura che svolge la funzione di internal audit,

• la comunicazione all’autorità competente di eventuali accordi contrattuali previsti per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti (FEI). Ai sensi dell'articolo 28 del Regolamento DORA, le entità finanziarie avranno l'obbligo di informare tempestivamente e in via preventiva la Banca d'Italia in merito a eventuali accordi contrattuali previsti (planned) per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti (FEI). A partire dalla stessa data non saranno pertanto più applicabili le discipline settoriali in materia di esternalizzazione attualmente in vigore e quindi anche i divieti dell’esternalizzazione FEI previsti dalla normativa di Banca d’Italia,

• la segnalazione dei gravi incidenti ICT e delle minacce informatiche significative. Si rimanda a quanto già segnalato con Circolare Serie legale n. 64/2024,

• i Test avanzati di penetrazione basati sulle minacce (Threat-Led Penetration Test). Il processo di identificazione degli intermediari tenuti ad effettuare test avanzati di penetrazione basati su minacce è ancora in corso e una volta concluso la Banca d'Italia provvederà ad informare i soggetti interessati nonché a definire, successivamente, una pianificazione per l’esecuzione dei test.