Il Digital Operational Resilience Act (DORA) è un regolamento dell'Unione Europea volto a rafforzare la resilienza operativa digitale del settore finanziario. In Italia, l'adeguamento a DORA è stato attuato attraverso un decreto legislativo che definisce le autorità competenti e le loro responsabilità nella supervisione e nell'applicazione delle disposizioni del regolamento.
Autorità Competenti e Partecipazione al Forum di Sorveglianza
Le autorità italiane designate per garantire il rispetto degli obblighi imposti da DORA sono:
Banca d'Italia: Responsabile per la vigilanza su banche, intermediari finanziari, Bancoposta e Cassa Depositi e Prestiti S.p.A.
Consob: Supervisiona gli operatori dei mercati finanziari e partecipa come osservatore al forum di sorveglianza previsto dall'articolo 32 di DORA.
IVASS: Vigila sul settore assicurativo e può partecipare al forum di sorveglianza in qualità di osservatore, a seconda delle tematiche trattate.
COVIP: Supervisiona i fondi pensione e, analogamente a IVASS, può partecipare al forum di sorveglianza come osservatore in base alle tematiche discusse.
Obblighi di Segnalazione degli Incidenti Informatici
Secondo l'articolo 4, comma 3, del decreto legislativo di adeguamento a DORA, gli operatori del settore bancario e delle infrastrutture dei mercati finanziari sono tenuti a notificare non solo la propria autorità competente, ma anche il CSIRT Italia, l'organo dell'Agenzia per la Cybersicurezza Nazionale (ACN), in caso di gravi incidenti informatici. Questa disposizione mira a garantire un monitoraggio efficace degli incidenti a livello nazionale.
Poteri di Vigilanza delle Autorità Competenti
L'articolo 8 del decreto legislativo conferisce alle autorità competenti poteri di vigilanza specifici, tra cui:
Effettuare accessi e ispezioni presso fornitori terzi di servizi ICT che supportano funzioni essenziali o importanti delle entità finanziarie.
Convocare amministratori, sindaci e personale dei fornitori per ottenere informazioni e documenti rilevanti.
Questi poteri si aggiungono a quelli già previsti dalla normativa vigente, come gli articoli 51, 53-bis, 54 e 108 del Testo Unico Bancario (TUB).
Poteri Regolamentari delle Autorità
L'articolo 9 del decreto legislativo attribuisce alle autorità competenti la facoltà di emanare disposizioni attuative sia del decreto stesso sia del Regolamento DORA. Queste disposizioni possono tener conto degli orientamenti delle Autorità Europee di Vigilanza e definire le modalità di esercizio dei poteri di vigilanza.
Sanzioni Amministrative
L'articolo 10 del decreto legislativo modifica gli articoli 144 e 144-ter del TUB, introducendo sanzioni amministrative per le violazioni delle disposizioni relative alla resilienza operativa digitale. Le sanzioni variano in base alla gravità della violazione e possono raggiungere fino al 10% del fatturato dell'ente coinvolto.
Comments