### DORA, le novità del decreto attuativo
Il decreto attuativo, identificato come atto del Governo numero 242, introduce importanti novità per il settore finanziario italiano e si articola in sei sezioni. Queste sezioni affrontano le disposizioni generali, le autorità competenti in materia di Digital Operational Resilience Act (DORA), i principi di cooperazione, l’estensione dell’ambito di applicazione agli intermediari finanziari, i poteri di vigilanza e le sanzioni, nonché le modifiche alla normativa di settore e disposizioni finali.
L’ambito di applicazione di DORA si estende ai soggetti che operano come intermediari finanziari, inclusi quelli stabiliti a norma della legislazione vigente, ponendo un occhio particolare alla Banca d’Italia, che ha il potere di identificare categorie di intermediari “significativi” che dovranno attenersi a un framework di gestione dei rischi ICT completo, piuttosto che a uno semplificato.
Riguardo alla vigilanza, la Banca d’Italia assume un ruolo centrale, affiancata da altre autorità quali Consob, IVASS, COVIP e l’Agenzia per la Cybersicurezza Nazionale. Queste entità collaboreranno ai fini del coordinamento nella gestione degli incidenti ICT, i quali devono essere segnalati al CSIRT nazionale, per garantire una risposta rapida ed efficiente.
Il decreto impone una serie di obblighi rigorosi per garantire la resilienza operativa. Tra i più significativi, figurano i test periodici di resilienza, con alcune semplificazioni riservate alle microimprese. Inoltre, sono previsti obblighi specifici per i fornitori di servizi ICT, che dovranno mantenere un elevato livello di sicurezza lungo tutta la catena di fornitura e contribuire alla creazione di un ecosistema digitale robusto contro possibili attacchi e interruzioni causate da vari soggetti malevoli.
Le sanzioni per le violazioni delle norme di DORA sono dettagliatamente delineate. L’articolo dedicato stabilisce che le sanzioni amministrative possono arrivare a misure di interdizione dai sei mesi ai tre anni per le figure apicali coinvolte nella gestione dell’ente. Le sanzioni variano in base alla gravità del comportamento trasgressivo, con importi che possono oscillare da 5.000 euro fino a 5 milioni euro, a seconda del tipo di violazione e dell’entità coinvolta.
Le autorità di vigilanza, in fase di applicazione delle sanzioni, si dovranno attenere a criteri di proporzionalità, tenendo conto di vari fattori come la rilevanza e la durata della violazione, il grado di responsabilità del responsabile, e le condizioni economiche della persona giuridica. È importante notare che le sanzioni variano in base al tipo di ente coinvolto: per le banche e gli intermediari finanziari, possono arrivare fino al 10% del fatturato, mentre per le assicurazioni e i fondi pensione si attestano a quote simili ma con limiti superiori a 3,5 milioni di euro.
Il DORA stabilisce, infine, date precise per l’entrata in vigore delle nuove norme. L’efficacia del regolamento è fissata per il 17 gennaio 2025, mentre alcune disposizioni specifiche entreranno in vigore a partire dal gennaio 2027.
Un punto cruciale del decreto è l’assenza di ulteriori oneri per la finanza pubblica, principio chiaramente stabilito nel testo. Le amministrazioni competenti sono chiamate ad implementare i requisiti normativi utilizzando esclusivamente le risorse già disponibili, senza richiedere finanziamenti aggiuntivi. Ciò implica che ogni ente dovrà programmare attentamente i propri investimenti in sicurezza informatica, integrando le spese per la resilienza operativa nei budget esistenti, piuttosto che vederle come costi aggiuntivi.
Questo nuovo approccio segna una transizione importante nel modo in cui le organizzazioni finanziarie italiane dovranno considerare la sicurezza informatica e la resilienza operativa. Invece di percepire questi requisiti come un peso economico, dovrebbero essere visti come opportunità per riorganizzare e migliorare l’allocazione delle risorse. Investire in sicurezza informatica non è semplicemente una risposta a un obbligo normativo, ma un passo verso la creazione di un business più solido, capace di affrontare le sfide poste da un panorama di minacce in continua evol
