Sicurezza informatica, l’ora del Regolamento Dora

Loris Cottoni* *Associate dello studio legale Advant Nctm

A metà gennaio è entrato in vigore il Regolamento Ue 2022/2554, più noto come Dora (Digital Operational Resilience Act), una delle più importanti innovazioni nel framework della sicurezza informatica in ambito bancario, finanziario edassicurativo. Fa parte di un pacchetto di misure più ampio ed articolato che include ulteriori Regolamenti delegati e Regolamenti di esecuzione, nonché misure nazionali di adeguamento ed armonizzazione dell’ordinamento interno al mutato contesto normativo.

Cresce l’impatto dei rischi It

Tra i motivi che hanno indotto il legislatore europeo a varare una riforma così radicale e impattante c’è il crescente grado di digitalizzazione dei servizi bancari e finanziari, che ha amplificato i potenziali impatti dei rischi informatici (sia in termini quantitativi che qualitativi) sull’operatività delle entità finanziarie.

In tal senso, le entità finanziarie e i loro provider di servizi Ict saranno obbligati a formalizzare e adottare strategie aziendali che prevedano misure adeguate e idonee a garantire la sicurezza e l’affidabilità delle loro operazioni. Tra le altre cose, le predette strategie aziendali dovranno includere sia misure di sicurezza “preventive” (misure di sicurezza informatica volte a rendere più robusti i sistemi aziendali contro attacchi e minacce esterne) sia “successive” (mitigazione degli impatti, risoluzione dei problemi, gestione degli incidenti, garanzia della continuità aziendale e così via).

Riforma in 5 punti

I pilastri principali su cui poggia la disciplina di Dora sono essenzialmente 5, che possono essere così sintetizzati:

la gestione dei rischi Ict, cioè l’obbligo in primo luogo di mappare tutte le funzioni e le attività aziendali che sono supportate da servizi ICT e, in secondo luogo, il dotarsi di strutture di governance interna per la gestione del rischio ICT con un’attribuzione chiara di ruoli e responsabilità formalizzate in apposite policy interne;

la resilienza operativa digitale: ossia l’obbligo di prevedere un programma di test da eseguire periodicamente per valutare e rimediare eventuali lacune emerse in materia di sicurezza informatica;

la gestione dei rapporti con i fornitori di servizi Ict: la valutazione e il monitoraggio dei rischi dei rapporti con i fornitori esterni (inclusi i subcontractor) per il tramite la redazione di accordi contrattuali che includano certe clausole contrattuali a tutela degli interessi dell’entità finanziaria lungo tutta la catena di fornitura dei servizi;

la gestione degli incidenti: in primo luogo, il dotarsi di griglie interne per la classificazione degli incidenti e delle minacce informatiche e, in secondo, l’obbligo di informare tempestivamente le autorità competenti in merito ad eventuali incidenti significativi e alle misure adottate per affrontarli e mitigarne gli impatti;

la condivisone delle informazioni (“infosharing”): l’istituzione di meccanismi di condivisone delle informazioni in modo tale da incrementare di alertness e readiness degli operatori di mercato a fronte del continuo evolversi dei rischi Ict.

Impatto diversificato

L’impatto di Dora sulle varie tipologie di entità finanziarie non sarà evidentemente lo stesso per tutte, perché alcune di esse (si pensi al caso delle banche) erano già sottoposte ad un regime regolamentare in materia di rischi Ict particolarmente oneroso, che di fatto già includeva molte delle misure poi successivamente introdotte da Dora. Nel caso di altre entità finanziarie (si pensi ad esempio ai Gefia), gli impatti di Dora saranno certamente maggiori, poiché tali tipologie di soggetti sono stati sinora sottoposti a un framework regolamentare decisamente più snello rispetto a quello delle banche.

In tal senso, la Banca d’Italia, con le recenti comunicazioni del 23 e del 30 dicembre 2024, ha avuto modo di esternare agli operatori di mercato le proprie preliminari “aspettative di vigilanza” con riferimento ai prossimi passaggi che le entità finanziarie vigilate dall’Istituto di via Nazionale dovranno compiere per adeguarsi al nuovo regolamento comunitario.

Infine, si segnala che al momento non tutti i tasselli che compongono il vasto pacchetto Dora sono stati ancora finalizzati. In particolare, mancano ancora all’appello alcune misure di “secondo livello” (regolamenti delegati, regolamenti di esecuzione, etc.) nonché le misure nazionali di adeguamento della normativa domestica.