A cura di Ranieri Razzante
Il 27 dicembre 2022 è stato pubblicato in Gazzetta Ufficiale il Regolamento 2022/25541/UE del Parlamento Europeo e del Consiglio del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e denominato Digital Operational Resilience Act (c.d. DORA).
I destinatari del testo, entrato in vigore su tutto il territorio europeo il 17 gennaio 2023, saranno tenuti all’adempimento degli obblighi ivi previsti entro il 17 gennaio 2025.
La disciplina rappresenta un momento di svolta per l’Unione Europea che, decidendo di abbracciare la transizione digitale nonché di agevolarla attraverso una serie di misure specifiche, è intervenuta con il c.d. “Pacchetto Europeo sulla Finanza Digitale”, di cui fanno parte, oltre alla normativa in analisi: il Regolamento 2023/1114/UE sui mercati delle cripto-attività, c.d. Regolamento MiCA (Markets in Crypto-assets Regulation); il Regolamento 2022/858/UE relativo a un regime pilota per le infrastrutture di mercato basate sulla tecnologia a registro distribuito (“DLT”).
In prima istanza, al fine di fornire un quadro completo, è necessario specificare cosa si intenda per “resilienza operativa digitale”, ovvero «la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi TIC, l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza dei sistemi informatici e di rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni».
Nello specifico, il DORA introduce un quadro operativo digitale semplificato in tutto il settore finanziario dell’UE, con lo scopo di minimizzare, prevenire e mitigare i rischi informatici, nonché il rischio cyber, per i servizi finanziari, e di contribuire alla sicurezza informatica adeguata al rischio dei fornitori, fortificando la loro resilienza contro le minacce poste dalle tecnologie dell’informazione e della comunicazione.
Gli obiettivi del provvedimento, stabiliti all’art. 1 dello stesso, concernono specifici vincoli applicabili alle entità finanziarie – quali, ad esempio, test di resilienza operativa digitale, condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche, o anche misure relative alla solida gestione dei rischi informatici derivanti da terzi – e relativi agli accordi contrattuali stipulati tra fornitori terzi di servizi TIC ed entità finanziarie. A tal proposito, secondo l’art. 2, il disposto si rivolge a determinati enti – come quelli creditizi, istituti di pagamento, prestatori di servizi di informazione sui conti, istituti di moneta elettronica, imprese di investimento, depositari centrali di titoli o imprese di assicurazione e di riassicurazione – ed a fornitori terzi di servizi TIC, ovvero «servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali».
Tali soggetti sono tenuti a predisporre un quadro di gestione e di controllo interno che sia solido, esaustivo e adeguatamente documentato, al fine di garantire una gestione efficace e prudente di tutti i rischi informatici in maniera rapida, efficiente ed esaustiva, assicurando un elevato livello di resilienza operativa digitale. Essi devono altresì:
- stabilire i requisiti volti all’armonizzazione delle regole di gestione dei rischi relativi alle tecnologie ICT;
- creare un ICT Risk Management Framework;
- definire una strategia di resilienza digitale in materia di business continuity e disaster recovery;
- classificare gli incidenti e le minacce informatiche in 18 base alla criticità dei servizi a rischio;
- creare un sistema di segnalazione degli incidenti informatici, attuando un processo di monitoraggio, registrazione e gestione costante;
- svolgere test di resilienza operativa digitale, secondo un approccio risk-based;
- prevedere protocolli di information sharing, con l’obiettivo di incoraggiare lo scambio di informazioni.
In merito agli obblighi degli enti, rileva una ulteriore peculiarità: il vincolo per gli enti di test di resilienza operativa digitale che devono essere effettuati da soggetti indipendenti, interni o esterni.
Dunque, si comprende come la resilienza operativa non sia solo un punto di arrivo legislativo e regolamentare, ma anche un punto di partenza per la costruzione di modelli operativi più solidi e più efficaci al fine di offrire adeguate tutele ai consumatori e costruire una più salda reputazione del settore finanziario.
Da ultimo, per quanto concerne l’ambito sanzionatorio, il DORA stabilisce un sistema differenziato di responsabilità delle autorità di vigilanza su base istituzionale per garantire il rispetto del Regolamento. Queste sono invitate a cooperare tra loro; difatti la norma stabilisce ampi poteri di vigilanza, indagine e sanzionatori a beneficio di queste, con lo scopo di garantire l’adempimento dei loro doveri. Si richiede, quindi, agli Stati membri dell’Unione europea di stabilire sanzioni e rimedi amministrativi adeguati per le violazioni.
Risulta evidente come le nuove disposizioni intendano sottolineare la particolare sensibilità del Legislatore europeo verso l’ambito delle strategie di cybersecurity. Non rimane che auspicare una reattiva adesione da parte degli stakeholders coinvolti a vario titolo, atteso che l’individuazione di rischi comuni e la disposizione di politiche condivise rappresenta l’approccio più efficace nell’ambito del sistema finanziario integrato europeo.