Il 27 dicembre 2022 è stato pubblicato in Gazzetta Ufficiale dell’Unione europea il Regolamento DORA sulla “Resilienza operativa digitale per il settore finanziario”; esso è entrato in vigore il 17 gennaio 2023, ma diventerà vincolante a partire dal 17 gennaio 2025. Tale Regolamento fa parte di un più ampio pacchetto di misure per la finanza digitale adottato dalla Commissione europea già a settembre 2020. Per “resilienza operativa digitale” si intende la capacità delle entità finanziarie di resistere ad ogni tipo di malfunzionamento e minaccia connessa alle tecnologie dell’informazione e della comunicazione (TIC), ovvero la capacità di garantire un controllo efficace dei rischi informatici, di prevenire eventuali minacce informatiche e di affrontarle in maniera tempestiva ed efficiente. Il Regolamento DORA si applica a tutte le entità finanziarie del perimetro europeo, tenendo conto delle dimensioni e dell’esposizione al rischio informatico delle stesse, si applica non solo a società finanziarie di tipo tradizionale, ma anche a nuovi soggetti finanziari quali emittenti di cripto-asset ed emettenti di token. Il DORA prevede: l’obbligo delle entità finanziarie di dotarsi di una governance interna responsabile della gestione complessiva dei rischi informatici, l’obbligo di disporre un quadro di gestione dei rischi informatici completo, l’obbligo di svolgere periodici test di resilienza operativa digitale, l’obbligo di registrare e classificare eventuali incidenti informatici e di prevedere piani di ripristino. Inoltre, il Regolamento disciplina i rischi derivanti da fornitori terzi di servizi TIC di cui le entità finanziarie si avvalgono (es. servizi di cloud computing, software, analisi di dati, centri di dati…) introducendo poteri di sorveglianza e sanzionatori da parte delle Autorità di vigilanza europee sui fornitori terzi considerati “critici” e armonizzando aspetti contrattuali chiave come stipula, esecuzione, estinzione e fase post-contrattuale relativi al rapporto tra fornitore terzo ed entità finanziaria.
