NEWS

ADEGUAMENTO DELL’ITALIA AL REGOLAMENTO DORA: PUBBLICATO IL DECRETO LEGISLATIVO N. 23/2025

ADEGUAMENTO DELL’ITALIA AL REGOLAMENTO DORA: PUBBLICATO IL DECRETO LEGISLATIVO N. 23/2025

A cura di Avv. Riccardo Piselli, Avv. Tania Rea, Dott. Erik Klepp  

Il 10 marzo 2025, il Consiglio dei Ministri ha approvato il Decreto Legislativo n. 23, pubblicato nella Gazzetta Ufficiale n. 58 dell’11 marzo 2025, recante disposizioni per l’adeguamento della normativa nazionale al Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act (DORA). Questo intervento normativo mira a rafforzare la resilienza operativa digitale del settore finanziario italiano, allineandosi agli standard europei.

Indice

 

Iscriviti al Webinar :“La Direttiva NIS2: implementazione e prossime scadenze”

 

Gazzetta UffIciale – DORA – 11 Marzo

Principali disposizioni del Decreto Legislativo N. 23/2025

  1. Autorità competenti e partecipazione al forum di sorveglianza: l’articolo 3 designa Banca d’Italia, Consob, IVASS e COVIP come autorità competenti per garantire il rispetto degli obblighi previsti dal DORA da parte dei soggetti vigilati, in base alle rispettive attribuzioni di vigilanza, nello specifico, queste autorità sono responsabili anche per la gestione delle segnalazioni di gravi incidenti informatici e delle minacce informatiche significative. Inoltre, Banca d’Italia è incaricata della supervisione su Cassa Depositi e Prestiti S.p.A., intermediari finanziari e Bancoposta, e partecipa al forum di sorveglianza previsto dall’articolo 32 del DORA. Consob, IVASS e COVIP possono partecipare al forum in qualità di osservatori;
  2. Notifica degli incidenti al CSIRT Italia: l’articolo 4, comma 3, stabilisce che, oltre alle comunicazioni alle Autorità competenti, gli operatori del settore bancario e delle infrastrutture dei mercati finanziari devono notificare gli incidenti informatici al CSIRT Italia, organo dell’Agenzia per la Cybersicurezza Nazionale (ACN), incaricato del monitoraggio degli incidenti a livello nazionale;
  3. Applicazione del principio di proporzionalità: il Capo III del decreto definisce le disposizioni del DORA applicabili agli intermediari finanziari e a Bancoposta, basandosi sul principio di proporzionalità, per garantire che gli obblighi siano commisurati alle dimensioni e alla complessità delle entità coinvolte. 
  4. Poteri di vigilanza delle Autorità competenti: l’articolo 8 attribuisce alle autorità competenti poteri di vigilanza, inclusi accessi e ispezioni presso i fornitori terzi di servizi ICT che supportano funzioni essenziali o importanti delle entità finanziarie, di Cassa depositi e prestiti S.p.A., degli intermediari finanziari e di Bancoposta, per cui le autorità possono convocare amministratori, sindaci e personale dei fornitori per ottenere informazioni e documenti pertinenti;
  5. Sanzioni: l’articolo 10 introduce un nuovo regime sanzionatorio per gli operatori finanziari e i fornitori di servizi ICT, modificando così gli artt. 144 e 144-ter del Testo Unico Bancario (TUB, D. Lgs. 385/1993). Tali sanzioni variano in base alla gravità delle violazioni e al ruolo dei soggetti coinvolti:
    1. le condotte più gravi, in materia di governanceorganizzazione e responsabilità del management, sono sanzionate da 30.000 euro al 10% del fatturato;
    2. le condotte meno gravi, come quelle relative alla classificazione degli incidenti sono sanzionate da 30.000 euro e con un massimo edittale del 7% del fatturato dell’Ente;
    3. per gli istituti di pagamento, le SIM o le SGR, si applica il massimo edittale del 10% solo in cui tale percentuale sia superiore a 5 milioni;
    4. nel caso dei depositari centrali di titoli e dei relativi fornitori di servizi TIC, in caso di sanzioni gravi, il minimo edittale rimane 30.000 euro, mentre il massimo è di 20 milioni o, qualora sia superiore, il 10% del fatturato;
    5. le sanzioni sono dirette anche ai fornitori di servizi TIC, per cui, a seconda della tipologia di soggetto al quale erogano i propri servizi, i fornitori saranno soggetti a regimi sanzionatori differenti;
    6. in base al nuovo comma 2-ter dell’art. 144-ter del TUB, i soggetti apicali, quando l’inosservanza è conseguenza della violazione dei doveri propri o dell’organo di appartenenza e la condotta ha inciso sull’organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la violazione da parte dell’Ente, verranno sanzionati nei casi più gravi con un importo variabile da 5.000 euro a 5 milionifino a 3,5 milioni in caso di condotte meno gravi;
    7. in base al nuovo comma 2-quater dell’art. 144-ter del TUB, potrà inoltre essere applicata ai soggetti apicali la sanzione amministrativa accessoria dell’interdizione dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati o presso fondi pensione, per un periodo non inferiore a sei mesi e non superiore a tre anni.

È evidente quindi che il nuovo sistema sanzionatorio introduce un controllo più rigido sulla sicurezza informatica e sulla governance aziendale, rafforzando le misure di conformità nel settore finanziario e tecnologico.

Implicazioni per il settore finanziario italiano e conclusioni

In conclusione, l’entrata in vigore del Decreto in commento segna un’importante tappa nel processo di allineamento della normativa nazionale al quadro regolamentare europeo in materia di resilienza operativa digitale. Le entità finanziarie operanti in Italia saranno tenute ad adeguare le proprie strutture organizzative, i processi interni e le politiche aziendali, al fine di garantire la conformità ai requisiti previsti dal Regolamento DORA. 

In particolare, le nuove disposizioni impongono un rafforzamento dei sistemi di gestione del rischio ICT, nonché un miglioramento delle strategie di prevenzione, monitoraggio e risposta agli incidenti informatici.

Il nostro Webinar su “La Direttiva NIS2: implementazione e prossime scadenze”

Al fine di agevolare gli operatori in questa fase di adeguamento al nuovo quadro normativo,  lo Studio Piselli & Partners, da sempre attento alle esigenze di aggiornamento di imprese e Pubbliche Amministrazioni, in collaborazione con Rexilience, ha organizzato per lunedì 17 marzo p.v. il webinar gratuito La Direttiva NIS2: implementazione e prossime scadenze.

Nel corso dell’evento, l’Avv. Riccardo Piselli e il Prof. Corrado Giustozzi illustreranno le criticità della nuova disciplina in tema di cybersecurity e gli adempimenti operativi richiesti ai c.d. “soggetti NIS”.

Iscriviti all’Evento

 

Piselli-Rexilience 17 MARZO NIS2

Torna su
Cerca
Piselli & Partners
Cookie Policy

Utilizziamo i cookie per analizzare il traffico sul nostro sito web: grazie ai cookie possiamo ottimizzare la nostra offerta di servizi e la nostra comunicazione in modo da offrirti un’esperienza sempre migliore.

Puoi trovare maggiori informazioni sulla nostra Privacy e Cookie Policy.