Il Regolamento DORA per la resilienza della finanza digitale
16 Giugno 2022 in Audit & Compliance
La crescente digitalizzazione dei servizi ha comportato la necessità di ripensare il mercato dei prodotti finanziari, al fine di impedire che l’utilizzo di strumenti digitali danneggi consumatori e investitori, in assenza di idonee politiche di gestione del rischio informatico.
A tal fine, l’Unione Europea ha presentato il “Pacchetto Europeo sulla finanza digitale”, un insieme di norme innovative volte ad agevolare la transizione digitale mediante la definizione di standard di gestione dei rischi uniformi e l’armonizzazione delle normative di settore.
Il pacchetto contiene tre proposte per il settore della finanza digitale:
- la prima introduce una normativa armonizzata in tema di cripto-attività che tuteli gli investitori (Regolamento Markets in Crypto-Assets o MiCA);
- la seconda definisce un quadro normativo uniforme sulla resilienza operativa digitale, per prevenire e mitigare le minacce informatiche (Regolamento Digital Operational Resilience o DORA);
- la terza disciplina l’utilizzo della blockchain e la tecnologia del registro distribuito (Regolamento Digital Ledger Technology o DLT).
I punti essenziali del Regolamento DORA
Mediante la proposta di Regolamento DORA si intende favorire il progresso del settore della finanza digitale, garantendo al contempo la c.d. Resilienza Operativa Digitale: si tratta, più nel dettaglio, della capacità di affrontare i rischi connessi a un malfunzionamento delle TIC – Tecnologie dell’informazione e della comunicazione (ossia, i metodi e le tecniche utilizzate nel processo di trasmissione, ricezione ed elaborazione di dati, informazioni e servizi digitali).
Il raggiungimento della resilienza operativa si fonda sul rispetto di una serie di prescrizioni e di principi chiave correlati alla gestione dei rischi relativi alle TIC, definiti sulla base di norme, linee guida, raccomandazioni e prassi venutesi a formare sul tema nel corso degli anni.
I principi cardine su cui si basa il regolamento sono, in particolare:
- il principio di accountability (responsabilizzazione), che pone in capo ai soggetti rientranti nell’ambito di applicazione del regolamento l’obbligo di documentare adeguatamente le proprie scelte strategiche nella gestione della resilienza operativa;
- il principio di proporzionalità, che impone l’adozione di misure di sicurezza adeguate alle esigenze commerciali, al dimensionamento e alle risorse disponibili.
Si tratta di principi già noti in materia bancaria e finanziaria, richiamati sia dalla Circolare 285/2013 della Banca d’Italia, sia dagli orientamenti EBA sulla gestione delle esternalizzazioni, oltre che dalla normativa in materia di protezione dei dati personali.
Il regolamento si applicherà a tutte le organizzazioni che operano nel settore dei servizi finanziari, come istituti di credito, società di gestione fondi, compagnie di assicurazione, fornitori di servizi di criptovaluta, e fornitori di servizi TIC (circa 22.000 società).
Gli obblighi previsti dal Regolamento DORA
Oltre ai principi chiave, il Regolamento definisce anche quali dovranno essere gli step da intraprendere per definire un processo end-to-end di gestione del rischio.
Si tratta di 5 step chiave, volti a fronteggiare il progressivo aumento dei rischi connessi alla digitalizzazione:
- definizione e predisposizione di un quadro per la gestione dei rischi connessi alle TIC;
- identificazione periodica delle possibili fonti di rischio e dell’impatto che le stesse avrebbero, con individuazione tempestiva di eventuali attività anomale;
- adozione e manutenzione, nel tempo, di strumenti idonei alla minimizzazione dell’impatto dei rischi rilevati;
- aggiornamento periodico delle misure di protezione e prevenzione dei rischi;
- adozione di strategie di disaster recovery che garantiscano il ripristino dei sistemi e la continuità operativa.
Le organizzazioni dovranno altresì dotarsi di un programma che consenta di testare i sistemi e identificare eventuali punti deboli degli stessi, così da porvi immediato rimedio.
Anche nei confronti delle terze parti, dovranno essere correttamente identificati e gestiti i rischi relativi alle TIC, anche mediante la conclusione di contratti che attribuiscano in modo chiaro obblighi e responsabilità dei soggetti coinvolti nella prestazione di servizi finanziari digitali.
Il Regolamento rappresenta, pertanto, un punto di svolta per l’intero sistema finanziario, che dovrà adeguarsi ai nuovi standard per evitare l’irrogazione di sanzioni amministrative, ai sensi dell’art. 44 del regolamento stesso.