Banca d'Italia aggiorna le regole per IP e IMEL: scatta l'allineamento al framework DORA

Banca d’Italia, con provvedimento del 04 febbraio 2026, ha aggiornato le Disposizioni di vigilanza per gli istituti di pagamento (IP) e gli istituti di moneta elettronica (IMEL) del 17 maggio 2016, per riordinare la disciplina sui sistemi informativi e la gestione dei rischi operativi e di sicurezza, in attuazione del framework normativo DORA.

L’intervento dell’Autorità di vigilanza si inserisce nel più ampio processo di rafforzamento della resilienza operativa digitale del settore finanziario europeo, dando piena attuazione al Regolamento (UE) 2022/2554 (DORA) e alla normativa di secondo livello ad esso collegata. L’obiettivo è quello di assicurare standard omogenei e più stringenti in materia di governance ICT, gestione dei rischi informatici e sicurezza operativa per gli operatori del mercato dei pagamenti.

In particolare, le modifiche recepiscono:

• le previsioni del Regolamento DORA e dei relativi atti delegati;

• l’articolo 7 della Direttiva (UE) 2022/2556 (Direttiva DORA), che ha inciso sulla disciplina della PSD2;

• gli Orientamenti dell’EBA dell’11 febbraio 2025 (EBA/GL/2025/02), che hanno abrogato le precedenti linee guida del 2019 sulla gestione dei rischi ICT e di sicurezza, mantenendo in vigore esclusivamente i paragrafi relativi ai rapporti con gli utenti dei servizi di pagamento.

L’aggiornamento delle Disposizioni di vigilanza riguarda in modo puntuale diverse sezioni del corpus regolamentare, tra cui il Capitolo I (Sezioni I e II, dedicate rispettivamente alle fonti normative e alle definizioni), il Capitolo VI (Sezioni I, II e IV), nonché gli Allegati A, B, C, D ed E. Le revisioni mirano a rendere coerente l’impianto nazionale con il nuovo quadro europeo, superando sovrapposizioni e ridondanze normative.

Di particolare rilievo è anche la scelta della Banca d’Italia di abrogare il procedimento amministrativo relativo al divieto di esternalizzazione di alcune funzioni operative, in precedenza previsto per attività considerate particolarmente sensibili. Viene così meno il divieto specifico riferito:

• ai servizi di pagamento o all’emissione di moneta elettronica;

• al sistema dei controlli interni, al sistema informativo o alle componenti critiche dello stesso.

Resta fermo, tuttavia, il rispetto delle regole DORA in materia di gestione dei fornitori ICT terzi e di controllo dei rischi derivanti dall’outsourcing, che diventano ora il perno centrale della disciplina.

Le modifiche entreranno in vigore il giorno successivo alla pubblicazione del provvedimento nella Gazzetta Ufficiale, segnando un passaggio chiave per IP e IMEL chiamati ad adeguare assetti organizzativi, processi interni e sistemi di controllo al nuovo paradigma europeo della resilienza digitale.