Pubblicato il decreto attuativo di adeguamento alla DORA in Gazzetta Ufficiale

E’ entrato in vigore ieri il Decreto Legislativo 10 marzo 2025, n. 23, volto a recepire e attuare il Regolamento (UE) 2022/2554 (DORA) e la Direttiva (UE) 2022/2556 in materia di sicurezza informatica e operativa nel settore finanziario.

L’intervento normativo si colloca in un contesto europeo di crescente attenzione alla cybersicurezza sistemica e alla stabilità dei servizi essenziali, incidendo direttamente su intermediari bancari, assicurativi, fondi pensione e prestatori di servizi digitali critici.

---

Obiettivi del provvedimento: convergenza tra vigilanza e resilienza digitale

Il D.Lgs. 23/2025 armonizza la normativa nazionale con i più recenti indirizzi dell’Unione Europea, puntando a:

• garantire la continuità operativa digitale degli operatori finanziari;
• istituzionalizzare protocolli di segnalazione per incidenti TIC (Tecnologie dell’Informazione e Comunicazione);
• sanzionare severamente l’inosservanza degli obblighi di sicurezza e cooperazione;
• rafforzare il coordinamento tra autorità di vigilanza e soggetti istituzionali, inclusa l’Agenzia per la Cybersicurezza Nazionale (ACN).

---

Autorità competenti e vigilanza condivisa

Il sistema di vigilanza multilivello si articola su base settoriale, individuando come Autorità competenti DORA:

• Banca d’Italia;
• Consob;
• IVASS (settore assicurativo);
• COVIP (fondi pensione).

A questi si affianca il CSIRT Italia – centro nazionale di risposta agli incidenti – che riceve le notifiche sui gravi incidenti cyber.

Le autorità possono effettuare ispezioni presso fornitori terzi TIC, esigere documentazione e convocare i vertici aziendali.

---

Obblighi per gli operatori: compliance tecnologica e notifiche obbligatorie

Gli intermediari finanziari e Bancoposta sono ora tenuti ad adottare misure stringenti di sicurezza informatica in conformità con numerosi articoli del Regolamento DORA. Tra gli obblighi più rilevanti:

• monitoraggio e reportistica degli incidenti cyber (art. 19 DORA);
• testing di resilienza operativa;
• valutazione dei fornitori terzi TIC considerati critici;
• adozione di piani di continuità operativa e disaster recovery.

---

Sanzioni: regime sanzionatorio graduato e severo

Il decreto prevede sanzioni pecuniarie fortemente deterrenti, con soglie che variano in base alla gravità della violazione e al fatturato del soggetto vigilato.

Per banche e SIM: multe fino a 20 milioni di euro o 10% del fatturato.

Per i fornitori di crowdfunding: sanzioni fino a 500.000 euro o 5% del fatturato.

Per le persone fisiche con ruoli apicali (amministratori, sindaci, dirigenti): interdizione fino a 3 anni e sanzioni fino a 5 milioni di euro.

È prevista la sanzione raddoppiata se il vantaggio ottenuto supera il massimo previsto.

---

Il ruolo dell’Agenzia per la Cybersicurezza Nazionale

L’ACN non assume solo funzioni di vigilanza tecnica, ma diventa fulcro del sistema informativo nazionale di allerta e prevenzione, con poteri di raccordo con i servizi di sicurezza e il Ministero della Difesa per la gestione di minacce critiche.

---

una riforma strutturale, non cosmetica

Il Decreto Legislativo n. 23/2025 non si limita a recepire norme sovranazionali, ma rappresenta un salto di paradigma nel trattamento della cybersicurezza nei servizi finanziari.

Le responsabilità legali e operative vengono estese ai fornitori di tecnologia e alle figure apicali, in un quadro sanzionatorio rigoroso e ben strutturato.

È evidente l’intento del legislatore: rafforzare il presidio istituzionale della dimensione digitale della finanza moderna, spesso trascurata ma sempre più esposta a rischi sistemici.