Seleziona una pagina

A partire dal 17 gennaio 2025 è pienamente operativo il Regolamento DORA – Digital Operational Resilience Act.

Nell’era digitale le tecnologie dell’informazione e della comunicazione (TIC) sostengono sistemi complessi impiegati nelle attività quotidiane.  Il crescente grado di digitalizzazione e interconnessione amplifica, come noto, i rischi informatici, rendendo l’intera società, compreso il sistema finanziario, più vulnerabile alle minacce informatiche e alle perturbazioni delle TIC.

Le tecnologie dell’informazione e della comunicazione hanno conquistato un ruolo essenziale nella fornitura di servizi finanziari, al punto da acquisire oggi un’importanza critica nell’esecuzione delle consuete funzioni quotidiane di tutte le entità finanziarie. Basti pensare ai metodi di pagamento, che stanno progressivamente migrando dal contante e dal cartaceo verso soluzioni digitali, nonché alla negoziazione elettronica e algoritmica, alle operazioni di prestito e finanziamento, così come alla finanza tra pari (peer–to–peer finance).

Similarmente, anche il settore assicurativo è stato coinvolto dall’uso delle TIC, con l’emergere di intermediari assicurativi che offrono i loro servizi online e che operano con InsurTech fino alla sottoscrizione di assicurazioni digitali.

Il regolamento mira a consolidare e aggiornare i requisiti in materia di rischi informatici e, conseguentemente rischi operativi, che sono state finora trattati separatamente in vari atti giuridici dell’Unione. Tali atti riguardavano le principali categorie di rischio finanziario (ad esempio rischio di credito, rischio di mercato, rischio di controparte e rischio di liquidità, rischio di condotta sul mercato), ma nel momento in cui sono stati adottati non trattavano in maniera globale tutte le componenti della resilienza operativa.

Il regolamento, tenta di colmare, pertanto, le lacune e porre rimedio alle incoerenze nei precedenti atti legislativi, anche per quanto riguarda la terminologia utilizzata. Il DORA fa esplicito riferimento ai rischi informatici tramite norme specifiche in materia di capacità di gestione dei rischi informatici, segnalazione degli incidenti, test di resilienza operativa e monitoraggio dei rischi informatici derivanti da terzi.

Al fine di mantenere il pieno controllo sui rischi informatici, le entità finanziarie sono chiamate a dotarsi di capacità generali per consentire una gestione dei rischi informatici forte ed efficace, nonché di politiche e meccanismi specifici per il trattamento di tutti gli incidenti connessi alle TIC e per la segnalazione degli incidenti più gravi connessi alle TIC. Analogamente, all’adozione di politiche per i test su processi, controlli e sistemi di TIC nonché per la gestione dei rischi informatici derivanti da terzi.

Chi sono i soggetti coinvolti

Nel DORA sono coinvolte le banche e gli istituti finanziari, le compagnie assicurative, i fondi di investimento, i fornitori di servizi di pagamento e i fornitori di servizi ICT che operano nel settore finanziario.

I punti salienti del Regolamento DORA

Governance e Gestione del rischio ICT

Le entità finanziarie devono adottare un approccio proattivo alla gestione del rischio legato alle tecnologie ICT.  Il quadro per la gestione dei rischi informatici comprende almeno strategie, politiche, procedure, protocolli e strumenti in materia di TIC necessari per proteggere debitamente e adeguatamente tutti i patrimoni informativi e risorse TIC. Questo include:

– Strategie di gestione del rischio ICT: devono essere integrate nella governance aziendale e supportate dal consiglio di amministrazione, che è responsabile della supervisione complessiva.

– Identificazione e mitigazione dei rischi: le organizzazioni devono valutare i rischi potenziali derivanti dall’uso di tecnologie e infrastrutture ICT e adottare misure per mitigarli.

– Monitoraggio continuo: i sistemi ICT devono essere monitorati costantemente per identificare vulnerabilità e segnali di possibili incidenti.

Gestione, classificazione e segnalazione degli incidenti informatici

Le entità finanziarie devono adottare e attuare un processo di gestione degli incidenti connessi alle TIC al fine di individuare, gestire e notificare tali incidenti, che includa:

  1. a) procedure per identificare, tracciare, registrare, categorizzare e classificare gli incidenti connessi alle TIC in base alla loro priorità e gravità e in base alla criticità dei servizi colpiti;
  2. b) l’identificazione di ruoli e le responsabilità da attivare per i diversi scenari e tipi di incidenti connessi alle TIC;
  3. d) piani per la comunicazione al personale, ai portatori di interessi esterni, nonché alle autorità competenti e stabilirne i mezzi di comunicazione;
  4. e) la segnalazione almeno degli incidenti gravi connessi alle TIC agli alti dirigenti interessati;
  5. f) procedure di risposta agli incidenti connessi alle TIC per attenuarne l’impatto e garantire tempestivamente l’operatività e la sicurezza dei servizi.

A partire dal 17/01/2025 – data di applicazione del regolamento UE 2022/2554 (DORA) – le entità finanziarie di cui all’articolo 2 dello stesso regolamento sono tenute a segnalare alla Banca d’Italia tutti i gravi incidenti ICT e, su base volontaria, le minacce informatiche significative. In aggiunta, per le banche, gli istituti di pagamento, i prestatori di servizi di informazione sui conti e gli istituti di moneta elettronica gli obblighi segnaletici si estendono anche agli incidenti operativi o relativi alla sicurezza dei pagamenti che li riguardano.

Le segnalazioni dovranno essere effettuate tramite la piattaforma INFOSTAT della Banca d’Italia.

Test di resilienza operativa digitale

Allo scopo di valutare la preparazione alla gestione degli incidenti connessi alle TIC, di identificare punti deboli, carenze e lacune della resilienza operativa digitale e di attuare tempestivamente misure correttive, le entità finanziarie diverse dalle microimprese stabiliscono, mantengono e riesaminano un programma di test di resilienza operativa digitale solido ed esaustivo quale parte integrante del quadro per la gestione dei rischi informatici.

Il programma di test di resilienza operativa digitale comprende una serie di valutazioni, test, metodologie, pratiche e strumenti tra cui si annoverano, ad esempio, test di compatibilità, test di prestazione, test end-to-end e test di penetrazione.

Con cadenza almeno annuale, siano eseguiti test adeguati su tutti i sistemi e le applicazioni di TIC a supporto di funzioni essenziali o importanti.

Tra i principali profili disciplinati dal Regolamento DORA si trova l’onere per le entità finanziarie, diverse dalle entità di cui all’articolo 16, paragrafo 1, primo comma, e dalle microimprese, di effettuare test avanzati sotto forma di test di penetrazione basati su minacce (Threat-Led Penetration Test – TLPT) con cadenza almeno triennale.

Analogamente a quanto già avviene con la Direttiva NIS2, infatti, le imprese saranno direttamente responsabili anche dei loro fornitori: ciò significa che dovranno assicurarsi che le realtà che fanno parte della supply chain adottino anch’esse degli standard adeguati per la sicurezza informatica.

La dipendenza da fornitori esterni, come cloud provider o software-as-a-service (SaaS), è un punto critico, pertanto, le entità finanziarie dovranno valutare i rischi associati ai fornitori e garantire che rispettino standard adeguati di sicurezza ICT, prevedere, nei contratti con i fornitori, clausole contrattuali specifiche su sicurezza, accesso ai dati e obblighi di cooperazione in caso di incidenti e condurre audit regolari per assicurare che i fornitori rispettino i requisiti.

Infine, il regolamento prevede l’istituzione di un quadro di sorveglianza affidato alle autorità europee di vigilanza. Questo quadro intende designare i provider di servizi ICT critici e assicurare che questi rispettino norme e procedure appropriate per garantire la sicurezza dei servizi ICT forniti alle entità finanziarie.

Più in dettaglio, il quadro affida alle autorità europee di vigilanza (AEV) i compiti di designare, sulla base di criteri chiari, i fornitori di servizi ICT ritenuti critici per le entità finanziarie e di nominare, in qualità di autorità di sorveglianza capofila per ciascun fornitore terzo critico di servizi ICT, l’AEV responsabile dell’entità finanziaria interessata.

La Banca d’Italia ha pubblicato una comunicazione al mercato in materia di sicurezza ICT, richiamando l’attenzione degli intermediari direttamente vigilati sui profili della resilienza operativa digitale e del rischio ICT.

Gli intermediari vengono invitati a valutare il proprio posizionamento rispetto al Digital Operational Resilience Act (DORA) e a effettuare un’autovalutazione del proprio ICT risk management framework da trasmettere alla Banca d’Italia entro il 30 aprile 2025.

Avv. Valentina De Simone

My Agile Privacy

Questo sito utilizza cookie tecnici e di profilazione. 

Puoi accettare, rifiutare o personalizzare i cookie premendo i pulsanti desiderati. 

Chiudendo questa informativa continuerai senza accettare.