autorità competenti, poteri di vigilanza e sanzioni

Le Autorità competenti DORA

L’articolo 3 del D. Lgs. n. 23/2025 (di seguito, per brevità, “decreto DORA”) individua Banca d’Italia, Consob, IVASS e COVIP come Autorità competenti per il rispetto degli obblighi posti dal Regolamento (UE) 2022/2554 (di seguito, per brevità, “Regolamento DORA” o “Regolamento”) a carico dei soggetti vigilati dalle medesime Autorità, secondo le rispettive attribuzioni di vigilanza.

Specificamente, la Banca d’Italia viene anche individuata come Autorità competente per il rispetto degli obblighi posti dal Regolamento a carico di Cassa depositi e prestiti S.p.A. (di seguito, per brevità, “Cdp”) e per il rispetto degli obblighi previsti dal decreto DORA a carico degli intermediari finanziari e di Bancoposta.

Le segnalazioni di gravi incidenti TIC e le notifiche volontarie delle minacce informatiche significative

L’articolo 4 del decreto DORA è dedicato al tema della ricezione delle segnalazioni dei gravi incidenti TIC e delle notifiche volontarie delle minacce informatiche significative.

In particolare, viene attribuita la competenza a ricevere le segnalazioni dei gravi incidenti TIC e le notifiche volontarie relative alle minacce informatiche significative:

Inoltre, ai sensi dell’articolo 4 del decreto DORA, si prevede che:

In merito agli obblighi di segnalazione, l’articolo 5 del decreto DORA disciplina anche la cooperazione tra le Autorità competenti DORA e le strutture e le autorità competenti istituite ai sensi della Direttiva NIS 2, ivi compresa l’Agenzia per la Cybersicurezza Nazionale (di seguito, per brevità, “ACN”). In particolare, vale la pena considerare che, laddove l’ACN – nell’esercizio dei propri poteri di vigilanza o di esecuzione – venga a conoscenza di una violazione degli obblighi di segnalazione di cui al decreto DORA da parte di un’entità finanziaria, è tenuta ad informare senza indebito ritardo le Autorità competenti DORA.

I poteri di vigilanza sulle entità finanziarie e sui fornitori terzi di servizi TIC a supporto di funzioni essenziali o importanti

Il decreto DORA si occupa, inoltre, dei «Poteri di vigilanza e sanzioni», attribuendo alle Autorità competenti DORA i poteri per garantire l’esercizio dei compiti previsti dal Regolamento, dai relativi atti delegati e norme tecniche di regolamentazione e di attuazione, nonché dal decreto DORA e dalle sue disposizioni attuative.

In particolare, secondo le rispettive competenze, nei confronti delle entità finanziarie, di Cdp, degli intermediari finanziari, di Bancoposta e dei fornitori terzi di servizi TIC a supporto di funzioni essenziali o importanti, le Autorità competenti DORA possono, tra le altre cose: (i) imporre alle entità finanziarie di sospendere temporaneamente, in tutto o in parte, l’utilizzo o l’introduzione di un servizio prestato dal fornitore terzo critico di servizi TIC; (ii) se necessario, richiedere di risolvere, in tutto o in parte, gli accordi contrattuali pertinenti stipulati con i fornitori terzi critici di servizi TIC; (iii)accedere a qualsiasi documento o dato necessario per lo svolgimento dei compiti riservati all’Autorità e di riceverne o farne una copia; (iv) svolgere ispezioni o indagini in loco; (v) richiedere l’applicazione di misure correttive e di riparazione per le violazioni del Regolamento.

Nondimeno, le Autorità competenti DORA possono effettuare accessi e ispezioni presso i fornitori terzi di servizi TIC a supporto di funzioni essenziali o importanti, nonché convocare gli amministratori, i sindaci e il personale di tali fornitori e richiedere loro di fornire informazioni ed esibire documenti.

Le sanzioni amministrative e le altre misure

L’articolo 10 del decreto DORA apporta delle modifiche sostanziali alla disciplina nazionale di settore (i.e., TUB, TUF, Codice delle Assicurazioni Private, D. Lgs. n. 252/2005 e D. Lgs. n. 129/2024), introducendo delle sanzioni amministrative pecuniarie specifiche.

Il regime sanzionatorio introdotto dal decreto DORA prevede due diverse cornici edittali in base alla gravità della violazione del Regolamento.

Le sanzioni amministrative pecuniarie più elevate attengono ai casi di violazione delle disposizioni del Regolamento relative a (i) governance e organizzazione, (ii) quadro per la gestione dei rischi informatici, (iii) individuazione, (iv) politiche e procedure di back-up – procedure e metodi di ripristino e recupero, (v) quadro semplificato per la gestione dei rischi informatici, (vi) processo di gestione degli incidenti connessi alle TIC, (vii) segnalazione dei gravi incidenti TIC, (viii) requisiti generali per lo svolgimento dei test di resilienza operativa digitale, nonché delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito in un’indagine, ispezione o richiesta dell’Autorità (di seguito, per brevità, “Gravi Violazioni”).

In aggiunta, sono in ogni caso passibili di sanzioni anche le violazioni del Regolamento riferite a (i) sistemi, protocolli e strumenti di TIC, (ii) identificazione, (iii) protezione e prevenzione, (iv) risposta e ripristino, (v) apprendimento ed evoluzione, (vi) comunicazione, (vii) classificazione degli incidenti connessi alle TIC e delle minacce informatiche, (viii) test di strumenti e sistemi di TIC, (ix) test avanzati, (x) test TLPT, (xi) principi generali per gestione dei rischi informatici di terze parti, (xii) valutazione preliminare del rischio di concentrazione delle TIC, (xiii) principali disposizioni contrattuali per i servizi TIC forniti da terze parti, (xiv) fornitori critici di servizi TIC, nonché delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito in un’indagine, ispezione o richiesta dell’Autorità (di seguito, per brevità, “Altre Violazioni”).

Considerando gli emendamenti apportati alle singole normative di settore, si evince che:

Anche le entità finanziarie – e i relativi fornitori di servizi TIC – sottoposte al Codice delle Assicurazioni Private e alle altre discipline di settore (i.e., D. Lgs. n. 252/2005 e D. Lgs. n. 129/2024) sono potenzialmente interessati da un nuovo regime sanzionatorio, che prevede soglie per gran parte coincidenti o vicine ai massimali sopra indicati per i settori bancario e finanziario.

Inoltre, salvo che il fatto costituisca reato, a carico dei soggetti che svolgono funzioni di amministrazione, di direzione o di controllo, nonché del personale, che abbiano violato il Regolamento, è prevista sia (i) una sanzione amministrativa pecuniaria fino a euro 5 milioni, ovvero fino al doppio dell’ammontare dell’eventuale superiore vantaggio ottenuto dal soggetto, sia (ii) la sanzione amministrativa accessoria dell’interdizione, da 6 mesi a 3 anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del TUF, del TUB, del Codice delle Assicurazioni Private, del D. Lgs. n. 252/2005 o presso fondi pensione.

In ultimo, quando le violazioni del decreto DORA sono connotate da scarsa offensività o pericolosità, le Autorità competenti DORA possono, in alternativa alle sanzioni amministrative pecuniarie, disporre:

In ogni caso, i provvedimenti di applicazione delle sanzioni, dopo la comunicazione al destinatario, sono pubblicati senza ritardo e per estratto nel sito internet dell’Autorità competente DORA che lo ha adottato.

Copyright © – Riproduzione riservata