In data 23 dicembre 2024 Banca d’Italia ha pubblicato una comunicazione rivolta ai soggetti vigilati a cui si applica il Regolamento DORA (documento integrale) ossia:

– banche (escluse quelle significative),

– imprese di investimento (es. SIM),

– gestori (SGR),

– IP e IMEL

– emittenti di token collegati ad attività, prestatori di servizi per le cripto-attività,

– fornitori di servizi di crowdfunding.

Al momento sono esclusi dall’applicazione del Regolamento DORA, tra gli altri, i gestori di FIA sotto-soglia e gli intermediari finanziari ex articolo 106 del TUB.

Banca d’Italia ha evidenziato un aumento delle segnalazioni di incidenti operativi e cibernetici negli ultimi tre anni, che di conseguenza richiede un’adeguata gestione del rischio ICT.

Banca d’Italia pertanto richiede agli intermediari destinatari del regolamento DORA di valutare il proprio posizionamento rispetto ai requisiti introdotti dal Regolamento DORA, con particolare riferimento a:

– strategie sul rischio di terza parte, rinnovo dei contratti di fornitura e trasmissione all’Autorità del Registro delle Informazioni.

– adattamento di presidi e politiche interne.

– attività e programmi di test di resilienza operativa digitale.

Inoltre Banca d’Italia richiede agli intermediari destinatari del regolamento DORA di condurre un’autovalutazione del sistema di gestione dei rischi ICT al fine di assicurare che le politiche, le procedure, i protocolli e gli strumenti in materia di rischio ICT siano adeguati a:

– prevenire/rilevare tempestivamente violazioni alla riservatezza dei dati e/o dei servizi forniti;

– ridurre il rischio derivante dai cambiamenti ICT.

L’autovalutazione deve essere approvata dal Consiglio di amministrazione con il coinvolgimento delle funzioni di controllo di secondo e terzo livello.

In particolare sarà rilevante l’intervento della funzione di controllo dei rischi ICT (ove istituita) oppure delle funzioni compliance e risk management, laddove siano attribuiti i compiti della funzione di controllo ICT.

L’autovalutazione del sistema di gestione dei rischi ICT va trasmesso alla Banca d’Italia entro il 30 aprile 2025.