Banca d’Italia recepisce DORA: il 51° aggiornamento della Circolare 285/2013

Il 51° aggiornamento della Circolare n. 285 del 17 dicembre 2013 della Banca d’Italia interviene in modo organico sulle Disposizioni di vigilanza per le banche per adeguare l’ordinamento nazionale al Regolamento (UE) 2022/2554, relativo alla resilienza operativa digitale del settore finanziario (DORA), e alla Direttiva (UE) 2022/2556, che modifica la direttiva 2013/36/UE. L’intervento mira a rafforzare l’allineamento tra disciplina interna e quadro normativo europeo, valorizzando l’applicazione diretta delle fonti unionali in materia di rischi ICT, sicurezza informatica e continuità operativa.

Le modifiche riguardano in primo luogo la Parte Prima, Titolo IV, con una revisione significativa del Capitolo 4 “Il sistema informativo”. In tale ambito vengono abrogate le sezioni dedicate al governo del sistema informativo, alla gestione del rischio ICT e di sicurezza, alla sicurezza delle informazioni e delle operazioni ICT, alla gestione dei progetti e dei cambiamenti tecnologici, nonché all’esternalizzazione del sistema informativo e al ricorso a fornitori terzi di servizi ICT. Per questi profili la Circolare introduce un rinvio espresso alle previsioni, direttamente applicabili, del Regolamento DORA e dei relativi atti delegati, che disciplinano strumenti, processi e politiche di gestione dei rischi informatici, la gestione degli incidenti ICT e delle minacce informatiche significative, oltre alla politica contrattuale per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti.

Alcuni ambiti non ricompresi nel perimetro del framework DORA restano invece regolati dalla disciplina nazionale. In particolare, la sezione relativa al sistema di gestione dei dati viene trasferita nel Capitolo 3 “Il sistema dei controlli interni”, in un’ottica di maggiore coerenza sistematica. Contestualmente, il Capitolo 3 è oggetto di interventi di raccordo e aggiornamento, finalizzati ad assicurare l’integrazione tra presidi di controllo interno e nuovo assetto europeo della resilienza digitale.

Ulteriori modifiche interessano le disposizioni specifiche in materia di servizi di pagamento, che vengono adeguate agli Orientamenti dell’EBA dell’11 febbraio 2025 (EBA/GL/2025/02). Tali orientamenti hanno in larga parte abrogato i precedenti Orientamenti EBA sulla gestione dei rischi ICT e di sicurezza (EBA/GL/2019/04), mantenendo applicabili esclusivamente le previsioni relative alla gestione del rapporto con gli utenti dei servizi di pagamento. L’aggiornamento recepisce questo assetto, limitando il rinvio alle sole parti ancora vigenti e coerenti con il quadro DORA.

Il Capitolo 5 “La continuità operativa” viene modificato per dare attuazione alle innovazioni introdotte dalla Direttiva DORA in materia di requisiti di continuità operativa. In tale contesto vengono eliminate le disposizioni specifiche sulla continuità operativa in ambito ICT, sostituite dalle norme direttamente applicabili del Regolamento DORA e dei relativi atti delegati. La revisione persegue anche l’obiettivo di coordinare la politica generale di continuità operativa con il framework europeo della resilienza digitale, riducendo sovrapposizioni normative e duplicazioni di obblighi.

Resta invariato l’Allegato A, Sezione III, del Capitolo 5, relativo ai requisiti particolari per i processi a rilevanza sistemica. La Banca d’Italia segnala che su tale materia sono in corso approfondimenti di più ampia portata, considerata la rilevanza trasversale del tema e il coinvolgimento di operatori finanziari diversi dalle banche. Eventuali revisioni complessive della disciplina potranno essere valutate all’esito di tali approfondimenti.

Sotto il profilo procedurale, l’aggiornamento non introduce nuovi procedimenti amministrativi né modifica quelli esistenti. Le modifiche sono qualificate come meri adeguamenti a fonti europee direttamente applicabili o vincolanti e, in conformità al Regolamento della Banca d’Italia sugli atti di natura normativa o di contenuto generale del 9 luglio 2019, non sono state sottoposte a consultazione pubblica né ad analisi di impatto della regolamentazione.

Le disposizioni entrano in vigore il giorno successivo alla pubblicazione in Gazzetta Ufficiale. Le banche sono tenute ad adeguarsi alle modifiche apportate al Capitolo 5 entro sei mesi dalla data di entrata in vigore dell’aggiornamento. Per le succursali in Italia di banche extracomunitarie, l’applicazione delle nuove disposizioni è subordinata all’entrata in vigore della normativa di attuazione dell’articolo 58-quinquies del decreto legislativo 1° settembre 1993, n. 385, come introdotto dal decreto legislativo 31 dicembre 2025, n. 208, continuando fino ad allora ad applicarsi la versione previgente della Circolare n. 285/2013.