Negli ultimi anni i rischi di natura informatica hanno richiamato l’attenzione dei responsabili politici e degli organismi di regolamentazione nazionali, comunitari e internazionali che sono intervenuti stabilendo norme e coordinando la regolamentazione e la vigilanza al fine di migliorare la resilienza operativa digitale del settore finanziario ovvero la capacità degli intermediari ed operatori di continuare a svolgere le rispettive attività e prestazione di servizi nonostante il verificarsi di incidenti e violazioni all’infrastruttura informatica.

Al fine di innalzare gli standard nel presidio dei rischi derivanti dalle tecnologie informatiche e dalla digitalizzazione dei processi aziendali, con particolare riferimento alla sicurezza informatica, nella Gazzetta ufficiale dell’UE del 27 dicembre 2022 è stato pubblicato il Regolamento (UE) 2022/2554 (documento integrale) relativo alla resilienza operativa digitale per il settore finanziario (Digital Operational Resilience Act – DORA), entrato in vigore il 16 gennaio 2023, che troverà applicazione per gli intermediari finanziari a partire dal 17 gennaio 2025.

Il Regolamento prevede adeguamenti in termini di (i) governance e organizzazione interna, (ii) gestione dei rischi informatici, (iii) gestione degli incidenti e reporting, (iv) pianificazione ed esecuzione di test di resilienza operativa digitale, (v) gestione delle terze parti (es. fornitori e outsourcer), (iv) condivisioni delle informazioni, (vii) ruoli e compiti delle autorità di vigilanza.

Tuttavia, al fine di declinare opportunamente l’adozione del Regolamento DORA in coerenza con le direttive europee che a vario titolo definiscono le modalità di prestazione dei servizi e delle attività da parte degli intermediari del settore finanziario e normano i requisiti per la gestione dei rischi informatici, è stata contestualmente pubblicata nella stessa Gazzetta ufficiale dell’UE la Direttiva (UE) 2022/2556 (documento integrale) di modifica e adeguamento delle seguenti direttive al fine di rendere chiara e coerente l’applicazione dei diversi requisiti di resilienza operativa e digitale:

– Direttiva 2009/65/CE concernente il coordinamento delle disposizioni legislative, regolamentari e amministrative in materia di taluni organismi d’investimento collettivo in valori mobiliari;

– Direttiva 2009/138/CE in materia di accesso ed esercizio delle attività di assicurazione e di riassicurazione (solvibilità II);

– Direttiva 2011/61/UE sui gestori di fondi di investimento alternativi;

– Direttiva 2013/36/UE sull’accesso all’attività degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi;

– Direttiva 2014/59/UE che istituisce un quadro di risanamento e risoluzione degli enti creditizi e delle imprese di investimento;

– Direttiva 2014/65/UE relativa ai mercati degli strumenti finanziari;

– Direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno;

– Direttiva (UE) 2016/2341 relativa alle attività e alla vigilanza degli enti pensionistici aziendali o professionali.

La direttiva prevede che entro il 17 gennaio 2025 gli Stati membri adottino e pubblichino le misure necessarie per conformarsi alla direttiva le cui misure decorreranno dal 17 gennaio 2025.

A tale riguardo è in corso l’esame da parte di Camera e Senato della  delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’UE (Legge di delegazione europea 2022-2023).