Il 12 marzo è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo 10 marzo 2025, n 23 recante le disposizioni per l’adeguamento della normativa nazionale al Regolamento (UE) 2022/2554 (meglio noto come “DORA”)
L’obiettivo principale è garantire che l’ordinamento italiano sia pienamente coerente con le disposizioni di DORA e siano attuate quelle misure che il Regolamento demanda agli Stati Membri.
Occorre quindi analizzare i punti principali del decreto e valutare gli impatti che questo può avere sul processo di adeguamento a DORA di ciascuna entità finanziaria.
- Autorità competenti e poteri di vigilanza
In primo luogo, il Decreto identifica chiaramente le autorità competenti incaricate di garantire l’applicazione di DORA a livello nazionale: Banca d’Italia, Consob, IVASS e COVIP.
In linea con le disposizioni del Regolamento, il testo prevede che le autorità competenti siano dotate di adeguati poteri regolamentari e di vigilanza, così da esercitare le proprie funzioni di controllo e monitoraggio sulle entità finanziare.
In tema di poteri di vigilanza, tuttavia, sembrerebbe esserci un parziale disallineamento con le disposizioni di DORA. Difatti, ai sensi dell’articolo 8 del Decreto, le autorità competenti dispongono di ampi poteri di ispezione e audit non solo nei confronti delle entità finanziarie ma anche dei fornitori di servizi TIC a supporto delle funzioni essenziali o importanti delle entità finanziarie.
Sul punto, la disposizione sembra discostarsi dall’articolo 42 di DORA (in cui, tuttavia, trova la propria fonte). Ciò in quanto la citata norma prevede l’esercizio dei poteri di vigilanza da parte delle autorità competenti nei confronti dei fornitori di servizi TIC designati come critici.
La figura del fornitore di servizi TIC critico non si sovrappone necessariamente con quella del fornitore di servizi TIC a supporto di funzioni essenziali o importanti. I fornitori critici, infatti, sono tali in quanto designati dalle Autorità Europee di Vigilanza sulla base di specifici criteri elencati nel Regolamento ed a seguito di un processo di designazione che prevede anche la possibilità di un contraddittorio con il fornitore. Al contrario, i fornitori di servizi TIC a supporto di funzioni essenziali o importanti sono identificati come tali dalle entità finanziarie sulla base delle proprie policy interne. Tale identificazione dipende dalla tipologia di servizio che ciascun fornitore offre a ciascuna entità finanziaria ed è esclusiva responsabilità dell’entità finanziaria che riceve il servizio.
Pertanto, potrebbe accadere che un fornitore sia identificato come a supporto di funzioni essenziali o importanti da un’entità finanziaria, ma non lo sia per un’altra entità finanziaria a cui offre i suoi servizi.
Non è quindi del tutto chiaro come la disposizione dell’articolo 8 del Decreto si inserisca in questo quadro normativo. Sembrerebbe infatti che da una decisione interna di un’entità finanziaria (l’identificazione di un fornitore quale a supporto di funzioni essenziali o importanti) discenderebbe la possibilità per l’autorità competente di esercitare ampi diritti di audit e ispezione direttamente nei confronti del fornitore (che, al contrario dell’entità finanziaria, non dovrebbe essere sottoposto alla vigilanza dell’autorità).
A parziale mitigazione di tale disallineamento si può comunque segnalare che, ai sensi dell’Articolo 30(3) di DORA, le entità finanziarie sono comunque tenute a inserire, nei contratti con i fornitori a supporto di funzioni essenziali o importanti, diritti di audit a favore delle autorità di vigilanza.
- Notifica dei gravi incidenti TIC
In tema di incidenti TIC, il Decreto conferma le autorità competenti individuate come le corrette destinatarie delle notifiche dei gravi incidenti TIC, confermando altresì le tempistiche di notifica degli incidenti previste dallo standard tecnico di riferimento.
Inoltre, il Decreto precisa che qualora un’entità sia vigilata da più autorità competenti, sarà compito della prima autorità competente condividere la segnalazione dell’incidente ricevuta dall’entità finanziaria con le altre autorità.
- Sanzioni
Da ultimo, il Decreto prevede un regime sanzionatorio specifico per il mancato adeguamento al Regolamento DORA.
Si tratta di un punto particolarmente rilevante in quanto il Regolamento non prevedeva sanzioni espresse e ne demandava interamente la definizione agli Stati Membri.
Il quadro sanzionatorio prevede sanzioni che variano in base alla gravità dell’infrazione e al tipo di soggetto coinvolto, con un focus particolare sulle violazioni che riguardano i requisiti in tema di quadro di gestione del rischio e misure a salvaguardia della continuità operativa.
In linea con la strategia sanzionatoria europea, anche il Decreto prevede sanzioni in misura proporzionale al fatturato dell’entità finanziaria, con massimali che possono arrivare anche al 10% del fatturato. A ciò si deve aggiungere anche la possibilità che siano applicate misure accessorie, come l’interdizione temporanea dalle funzioni di amministrazione, che possono essere applicate in caso di violazioni particolarmente gravi.
Inoltre, alcune sanzioni, come quelle relative alla violazione degli obblighi di segnalazione dei gravi incidenti TIC o per la mancata collaborazione durante le ispezioni possono colpire non solo le entità ma anche i soggetti fisici responsabili, come i membri degli organi di amministrazione.
In linea generale, si tratta di un quadro sanzionatorio piuttosto rilevante, che – considerando che DORA è già entrato in vigore – impone alle entità finanziarie di essere preparata a dimostrare il proprio percorso di adeguamento al Regolamento e motivare le scelte fatte.
Su un simile argomento può essere interessante l’articolo La comunicazione della Banca d’Italia sul Regolamento DORA.
Autore: Edoardo Bardelli
