Il Regolamento (UE) 2022/2554, cosiddetto Digital Operational Resilience Act, o maggiormente noto con l’acronimo DORA, entrerà in vigore il 17 gennaio 2025 e creerà un quadro organico di compliance per il settore bancario, finanziario e assicurativo in materia di cybersicurezza.
Chi scrive ha avuto modo di confrontarsi già da alcuni mesi con il DORA in quanto ha creato una partnership con First Personal Coin, società di consulenza fondata a gestita dal dott. Mariano Giovanni Carozzi, per l’erogazione di programmi tailor made di compliance per il DORA.
Il DORA è parte della cosiddetta digital financial strategy dell’UE, cioè la strategia sulla creazione di un nuovo quadro di regole della UE per la finanza digitale presentata a settembre 2020 e, poi, sostanziatasi nell’emissione di tre differenti regolamenti: il maggiormente noto MiCA (Market in Crypto Assets Regulation), il poco fortunato (in termini di tasso applicativo) regolamento DLT pilot e, infine, il DORA, approvato in via definitiva dall’Unione il 14 dicembre 2022 edeputato a creare un quadro di regole per la cybersicurezza nell’ambito finanziario così come in quello bancario e assicurativo.
Il concetto di resilienza operativa digitale (digital operationalresilience) è esattamente definito dal DORA: «la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi TIC [tecnologie dell’informazione e della comunicazione], l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza dei sistemi informatici e di rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni» (art. 3, par.1).
In pratica un quadro di compliance strutturato e articolato per garantire che le banche e le imprese del settore finanziario, bancario e assicurativo siano in condizione di garantire la sicurezza dei sistemi informatici e di rete. Tre punti devono essere evidenziati preliminarmente. In primo luogo, le responsabilità dell’applicazione del DORA puntano direttamente all’organo amministrativo delle imprese, in una continuità ideale con il novellato articolo 2086 c.c., comma 2 (secondo cui «l’imprenditore, che operi in forma societaria o collettiva ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa […]»).
Inoltre, il DORA è costruito sulla presa d’atto che attualmente il sistema tecnologico e digitale delle imprese, soprattutto di quelle che devono costruire infrastrutture complesse, si basa necessariamente su una catena di fornitori di differenti livellidi soluzioni tecnologiche, con la conseguenza che, in effetti, l’ente destinatario degli obblighi di compliance del DORA non controlla in-house i vari software che compongono la propria infrastruttura digitale: la verifica e il monitoraggio continuo dei fornitori (rectius della catena dei fornitori) è parte integrante degli obblighi di compliance del DORA; ci si riferisce in particolare all’obbligo di redigere il registro degli accordi dei fornitori.
Infine, anche se il DORA si riferisce principalmente al “reame tecnologico”, includendo altresì alcuni obblighi minimi in tema, ad esempio, di penetration test, è a tutti gli effetti un sistema di compliance essenzialmente normativo:l’adempimento del DORA richiede la preparazione di una serie di documenti interni e di policy organizzative che illustrino e documentino le regole di sicurezza e le prassi operative utilizzate all’interno dell’ente.
L’art. 2 del DORA identifica i destinatari (cioè chi è obbligato ad avere un sistema di compliance conforme al DORA entro il 17 gennaio 2025) del Regolamento:
• enti creditizi;
• istituti di pagamento, compresi gli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366;
• prestatori di servizi di informazione sui conti;
• istituti di moneta elettronica, compresi gli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE;
• imprese di investimento;
• fornitori di servizi per le cripto-attività autorizzati a norma del regolamento del Parlamento europeo e del Consiglio concernente i mercati delle cripto-attività e recante modifica dei regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e delle direttive 2013/36/UE e (UE) 2019/1937 (regolamento sui mercati delle cripto-attività) ed emittenti di token collegati ad attività;
• depositari centrali di titoli;
• controparti centrali;
• sedi di negoziazione;
• repertori di dati sulle negoziazioni;
• gestori di fondi di investimento alternativi;
• società di gestione;
• fornitori di servizi di comunicazione dati;
• imprese di assicurazione e di riassicurazione;
• intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio;
• enti pensionistici aziendali o professionali;
• agenzie di rating del credito;
• amministratori di indici di riferimento critici;
• fornitori di servizi di crowdfunding;
• repertori di dati sulle cartolarizzazioni;
• fornitori terzi di servizi TIC.
E’ importante sottolineare che – ed è questa forse la maggiore complessità del Regolamento – nel DORA sono riscontrabili almeno tre diversi quadri differenziati di obblighi di compliance. Volendo schematizzare al massimo, si possono identificare i seguenti tre quadri all’interno del DORA:
• Quadro standard: Il sistema di compliance DORA per le imprese standard. E’ il sistema che si potrebbe definire standard cioè quello con il livello più elevato di obblighi di compliance.
• Quadro microimprese: il sistema di compliance DORA per le microimprese (un’impresa che occupa meno di 10 persone e realizza un fatturato annuo e/o un totale di bilancio annuo non superiore a 2 milioni di EUR). E’ il sistema che si potrebbe definire intermedio cioè quello con il livello intermedio di obblighi.
• Quadro semplificato: il sistema semplificato di compliance DORA per un gruppo d’imprese eterogenee, indipendentemente dal fatto che siano microimprese o imprese medie o imprese grandi, come per esempio, le imprese di pagamento piccole e non interconnesse o gli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366. Si tratta del sistema più semplice di compliance per il DORA.
In estrema sintesi, le principali attività e documenti richiesti dal DORA sono i seguenti (da differenziare, comunque, in base al quadro di compliance di riferimento come sopra evidenziato):
• Redigere il quadro per la gestione dei rischi informatici.
• Fare attività di formazione al consiglio di amministrazione sui rischi cyber.
• Redigere il quadro delle risorse IT e hardware dell’impresa.
• Redigere il piano di continuità operativa.
• Redigere la business impact assessment (BIA).
• Redigere le politiche di back up.
• Redigere il registro degli accordi dei fornitori.
• Effettuare e documentare i test di penetrazione di minaccia secondo determinate scadenze.
Nell’insieme il DORA obbligherà le imprese destinatarie degli obblighi in esso previsti a una intensa attività di messa a punto del proprio sistema di compliance in ambito di cybersicurezza: se nel breve periodo si tratterà di un onere, nel lungo periodo la messa a regime di un sistema efficace di resilienza operativa digitale permetterà alle imprese del comparto interessato di sviluppare livelli più efficaci di operatività aziendale, cioè un sistema imprenditoriale più solido.
