In data 13 febbraio 2025 Banca d’Italia ha pubblicato le istruzioni operative relative alle valutazioni previste dalla comunicazione al mercato  dello scorso 23 dicembre 2024 in materia di sicurezza ICT (documento integrale).

Banca d’Italia con la comunicazione del 23 dicembre 2024 in materia di sicurezza ICT, (documento integrale) aveva invitato gli enti finanziari a valutare il proprio posizionamento rispetto ai requisiti introdotti dal Regolamento UE 2022/2554 sulla Resilienza Operativa Digitale (DORA) e richiedendo di effettuare un’autovalutazione del sistema di gestione dei rischi ICT

Per agevolare gli intermediari nella conduzione di tale analisi e, al contempo, favorire la comparabilità delle risposte, Banca d’Italia ha fornito un modello da utilizzare (documento integrale).

Tale modello deve essere compilato da parte dei seguenti soggetti vigilati:

– capogruppo gruppi bancari

– banche individuali (escluse le banche significative)

– imprese di investimento (SIM)

– gestori (SGR)

-istituti di pagamento

– istituti di moneta elettronica

– emittenti di token collegati ad attività

– prestatori di servizi per le cripto-attività

– fornitori di servizi di crowdfunding.

Sono esclusi dall’esercizio di autovalutazione, oltre alle banche significative, gli intermediari finanziari ex art. 106 TUB e le società fiduciarie.

Le valutazioni dovranno essere condotte con il coinvolgimento delle funzioni di controllo di secondo e terzo livello, approvate dall’organo di amministrazione e accompagnate da una lettera, firmata dal legale rappresentante dell’entità finanziaria.

I documenti sopra citati andranno inviati alla casella PEC di Banca d’Italia indicata nelle istruzioni operative entro il 30 aprile 2025.

Il Modello di autovalutazione è suddiviso in 2 parti:

– Prima parte: 39 domande

– Seconda parte: 17 domande.

Le risposte relative al campo “posizionamento” sono chiuse su una scala di 5 valori, quali:

– Pienamente completato o in linea

– Prevalentemente completato

– Parzialmente completato

– Non completato

– Non applicabile

mentre il campo relativo al “commento” è ha testo libero e occorre indicare la normativa interna (policy e procedure) di riferimento, specificando se sono state, o saranno, apportate modifiche per garantire conformità alla normativa.

In particolare nel campo “commenti” occorre dettagliare la risposta fornita, approfondendo le conformità e le aree di miglioramento dell’entità finanziaria rispetto alle disposizioni presenti nel Regolamento e inserendo il dettaglio delle attività ancora da eseguire o in corso e i tempi previsti per il loro completamento.

Da notare che se il posizionamento non è ancora completato o in linea (ossia si fornisce la risposta prevalentemente o parzialmente completato oppure non completato) Banca d’Italia ha indicato nel Modello il termine massimo del 30 settembre 2025 per ultimare le attività del processo di adeguamento per assicurare la conformità al Regolamento DORA.