Dora: i chiarimenti della banca d’Italia per la sua attuazione

Dora: i chiarimenti della banca d’Italia per la sua attuazione
Il 30 dicembre 2024, la Banca d'Italia ha diffuso una Comunicazione volta a chiarire alcuni aspetti del Regolamento 2554/2022/UE, relativo alla resilienza operativa digitale nel settore finanziario (DORA).
Il Regolamento DORA, pubblicato nella Gazzetta Ufficiale il 27 dicembre 2022 ed entrato in vigore il 16 gennaio 2023, mira a promuovere l'armonizzazione dei requisiti di resilienza digitale, prevendo attività regolamentari da parte delle tre European Supervisory Authorities (ESAs – EBA, EIOPA, ESMA). La Comunicazione in questione segue quella del 23 dicembre 2024, con cui Banca d’Italia ha richiamato l’attenzione degli operatori al rispetto degli obblighi in materia di sicurezza ICT conseguenti all’applicazione del Regolamento DORA.
Tra i principali profili disciplinati dal Regolamento DORA rientrano: prove avanzate di resilienza per i sistemi ICT; promozione di meccanismi di condivisione delle informazioni volti a prevenire minacce informatiche e impedendo il contagio tramite canali finanziari (infosharing); processi per la classificazione e gestione degli incidenti ICT, nonché obblighi di segnalazione e procedure volte alla volontaria notifica delle minacce informatiche. È stato introdotto un framework in materia di governance del rischio ICT, in continuità con gli Orientamenti dell’EBA. Ai sensi dell’articolo 64 del Regolamento DORA, le previsioni in esso contenute si applicano a decorrere dal 17 gennaio 2025. Esse sono direttamente applicabili.
Con l’avvio del nuovo regime si ritiene opportuno richiamare l’attenzione su alcuni profili, rispetto ai quali vengono fornite alcune indicazioni per consentire un’applicazione uniforme del Regolamento DORA.
In base all'articolo 19 del Regolamento, gli intermediari sono tenuti a segnalare alla Banca d'Italia gli incidenti gravi in ambito ICT e le minacce informatiche. A partire dal 17 gennaio 2025, la normativa attuale verrà abrogata e sostituita dal nuovo schema di notifica previsto dal Regolamento e dagli atti delegati. In applicazione dell'articolo 26, gli intermediari finanziari dovranno eseguire test avanzati di penetrazione mirati a minacce (Threat-Led Penetration Test - TLPT) con una frequenza minima triennale. Tali test fanno parte degli strumenti utilizzati dalle autorità di vigilanza, e i risultati ottenuti saranno integrati nei processi di supervisione.
In conformità con l’articolo 6 del Regolamento, le entità finanziarie sono tenute a vigilare e aggiornare un sistema completo ed efficace per la gestione dei rischi informatici, attraverso l'adozione di una strategia di resilienza operativa digitale. Si ritiene che gli intermediari possano fare riferimento al proprio modello di governance e al sistema di controlli interni previsti dalla normativa di settore.