DORA, ecco come l’attua l’Italia: sanzioni e vigilanza

Introduzione al regolamento DORA: quadro normativo e principi

L’atto del Governo n. 242 (in Consiglio dei ministri venerdì 28 febbraio scorso) contiene lo schema di decreto legislativo per l’adeguamento della normativa nazionale al Regolamento DORA ((UE) 2022/2554) sulla resilienza operativa digitale per il settore finanziario, nonché per il recepimento della direttiva (UE) 2022/2556 (anch’essa c.d. direttiva DORA) per adeguare talune direttive comunitarie[1] al Regolamento DORA in tema di gestione del rischio informatico.

I principi di delega per l’attuazione di tali normative sono contenuti nell’art. 16 della legge 15/ 2024, come integrati successivamente dalla legge 90/2024, di cui si ricordano i seguenti:

a) apportare alla normativa le necessarie modifiche, anche al sistema sanzionatorio, necessarie all’adeguamento dell’ordinamento nazionale al Regolamento e alla Direttiva DORA, anche mediante normativa secondaria, tenuto anche conto delle disposizioni nazionali di recepimento delle direttive c.d. NIS2 ((UE) 2022/2555 e c.d. CER ((UE) 2022/2557) relativa alla resilienza dei soggetti critici;

b) attribuire alle autorità competenti tutti i poteri di vigilanza, di indagine e sanzionatori per l’attuazione delle normative in oggetto;

c) conferire alle autorità competenti il potere di imporre le sanzioni e le altre misure amministrative previste dagli artt. 42, paragrafo 6, e 50 del Regolamento DORA, avuto riguardo al riparto di competenze nel settore finanziario nazionale.

Si segnala che la bozza (all’art. 2) contiene anche le norme in materia di resilienza operativa digitale applicabili agli intermediari finanziari (di cui all’art. 106 TUB) e a Bancoposta (ex art. 15 della legge 90/2024), facendo salve le disposizioni in materia di perimetro di sicurezza nazionale cibernetica (di cui al DL 105/2019).

Regolamento DORA: autorità competenti e poteri di vigilanza

L’art. 3 del dlgs. in esame individua la Banca d’Italia, la Consob, l’IVASS e la COVIP quali Autorità competenti per il rispetto del Regolamento DORA da parte dei soggetti vigilati dalle medesime autorità, secondo le rispettive attribuzioni, e ne definisce il ruolo nella partecipazione al forum di sorveglianza.

L’art. 8, quindi, prevede i poteri di vigilanza e indagine che le Autorità possono esercitare sia nei confronti delle entità finanziarie che dei loro fornitori terzi di servizi ICT[2], comprese le attività di accesso e ispezione, la facoltà di convocare amministratori, sindaci e personale, nonchè richiedere informazioni e documenti. Un “potere” previsto dal Regolamento DORA che può porate sino alla sospensione del contratto (art. 42[3]) per contrastare la forza quasi monopolistica di alcuni prestatori di servizi ICT che potrebbero imporre condizioni contrattuali a cui le entità finanziarie (e non solo loro) non sempre, di fatto, hanno la forza di resistere.

Sanzioni per gli enti finanziari, gli amministratori e sindaci: modifiche al TUB e al TUF

L’art. 10 modifica il TUB[4] (testo unico in materia bancaria e creditizia), il TUF[5] (testo unico in materia di intermediazione finanziaria), il codice delle assicurazioni private[6], il dlgs.252/2005 sulle forme pensionistiche complementari e il dlgs. 129/2024 in materia di cripto-attività per introdurre le sanzioni amministrative pecuniarie applicabili per l’inosservanza del Regolamento DORA (e relative norme tecniche di regolamentazione e attuazione). Le disposizioni in esame fissano i limiti edittali (minimi e massimi) delle sanzioni applicabili sia nei confronti delle persone giuridiche, sia delle persone fisiche che svolgono funzioni di amministrazione, direzione o controllo delle società e degli enti nei confronti dei quali sono accertate le violazioni. E’ prevista anche l’applicazione della sanzione amministrativa accessoria dell’interdizione, per un periodo non inferiore a 6 mesi e non superiore a 3 anni, nei casi più gravi.

Analizzeremo nel corso del presente lavoro esclusivamente le principali modifiche al TUB e al TUF.

Modifiche al TUB

L’art. 10 della bozza del dlgs. in esame, fra l’altro, prevede:

1. la modifica dell’art. 144 TUB, con l’inserimento di due nomi commi (8bis e 8 ter), e dell’art. 144-ter, con l’inserimento dei commi da 2-bis a 2-quater, che prevedono:
2. in caso di inosservanza delle disposizioni di cui agli articoli 5 (governance e organizzazione), 6 (quadro di gestione dei rischi informatici), paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10 (individuazione attività anomale), 12 (politiche e procedure di back-up, principi di recupero e ripristino), 16 (quadro semplificato per imprese di investimento piccole), paragrafi 1 e 2, 17 (processo di gestione degli incidenti), 19 (segnalazione dei gravi incidenti), paragrafi 1, 3 e 4, 24 (test di resilienza operativa digitale) del Regolamento DORA e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell’ambito di un’indagine, un’ispezione o una richiesta delle Autorità (art. 144, comma 8-bis, TUB), si applica:

• la sanzione amministrativa pecuniaria da euro 30.000 fino al 10% del fatturato nei confronti delle banche, degli intermediari finanziari e dei relativi fornitori terzi di servizi ICT;
• la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni ovvero fino al 10% del fatturato (quando tale importo è superiore a euro 5 milioni e il fatturato è disponibile e determinabile), nei confronti degli istituti di pagamento, degli istituti di moneta elettronica e dei relativi fornitori terzi di servizi TIC;

• in caso di inosservanza delle disposizioni di cui agli articoli 7 (sistemi, protocolli e strumenti ICT), 8 (identificazione), 9 (protezione e prevenzione), 11 (risposta e ripristino), paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13 (apprendimento e evoluzione), 14 (comunicazione delle crisi), 18 (classificazione degli incidenti e delle minacce), paragrafi 1 e 2, 25 (test di strumenti e sistemi ICT), 26 (test avanzati), paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27 (test TLPT), 28 (gestione dei rischi informatici di terze parti), paragrafi 2, 3, 4, 5, 6, 7 e 8, 29 (valutazione del rischio di concentrazione), 30 (disposizioni contrattuali per i servizi ICT di terzi), paragrafi 1, 2, 3 e 4, e 31 (fornitori critici), paragrafo 12, del Regolamento DORA e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell’ambito di un’indagine, un’ispezione o una richiesta delle Autorità (art. 144 comma 8-ter TUB), si applica:

• la sanzione amministrativa pecuniaria da euro 30.000 fino al 7% del fatturato, nei confronti delle banche, degli intermediari finanziari e dei relativi fornitori terzi di servizi TIC;
• la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni ovvero fino al 7% del fatturato (quando tale importo è superiore a euro 3,5 milioni e il fatturato è disponibile e determinabile), nei confronti degli istituti di pagamento, degli istituti di moneta elettronica e dei relativi fornitori terzi di servizi TIC;

c) le sanzioni (art. 144 ter, comma 2bis, TUB)

(i) da euro 5.000 fino a euro 5 milioni, si applicano nei casi di inosservanza delle disposizioni di cui al nuovo comma 8-bis dell’articolo 144 TUB;

(ii) da euro 5.000 fino a euro 3,5 milioni, si applicano nei casi di inosservanza delle disposizioni di cui al nuovo comma 8-ter dell’articolo 144TUB

si applicano nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle società e degli enti nei confronti dei quali sono accertate le violazioni, quando l’inosservanza è conseguenza della violazione di doveri propri o dell’organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della società o dell’ente a provvedimenti specifici (art. 144 ter, comma 2ter, TUB).

Sanzioni per gli enti finanziari, gli amministratori e sindaci di cui al TUF

Al TUF è inserito, secondo l’art. 10 del dlgs. in bozza, l’art. 190bis3 che, fra l’altro, dispone:

1. nel caso di violazione delle medesime disposizioni del Regolamento DORA di cui al nuovo art. 144, comma 8-bis, TUB (si vedano le modifiche al TUB riferite al paragrafo precedente, punto 1) lett. a)), fra l’altro, si applicano:
2. la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni, ovvero fino al 10% del fatturato (quando tale importo è superiore a euro 5 milioni e il fatturato è determinabile), nei confronti delle SIM, delle SGR, delle SICAV, delle SICAF (società di investimento a capitale fisso), delle controparti centrali, dei gestori di mercati regolamentati e dei relativi fornitori terzi di servizi TIC (art. 190-bis.3, co. 1, lettera a));
3. la sanzione amministrativa pecuniaria da euro 500 fino a euro 500.000, ovvero fino al 5% del fatturato (quando tale importo è superiore a euro 500.000), nei confronti dei fornitori di servizi di crowdfunding e dei relativi fornitori terzi di servizi TIC (art. 190- bis.3, co. 1, lettera c));

• nel caso di violazione delle medesime disposizioni del Regolamento DORA di cui al nuovo art. 144, comma 8-ter, TUB (si vedano le modifiche al TUB riferite al paragrafo precedente, punto 1), lett. b)), fra l’altro, si applica:

• la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni, ovvero fino al 7% del fatturato (quando tale importo è superiore a euro 3,5 milioni ed è determinabile), nei confronti delle SIM, delle SGR, delle SICAV, delle SICAF, delle controparti centrali, dei gestori di mercati regolamentati e dei relativi fornitori terzi di servizi TIC (art. 190-bis.3, co. 3, lettera a));
• la sanzione amministrativa pecuniaria da euro 500 fino a euro 350.000, ovvero fino al 3,5% del fatturato (quando tale importo è superiore a euro 350.000 ed e determinabile), nei confronti dei fornitori di servizi di crowdfunding e dei relativi fornitori terzi di servizi TIC (art. 190-bis.3, co. 3, lettera c));

c) le sanzioni (nuovo art. 190bis3, commi 2 e 4, TUF)

(i) da euro 5.000 fino a euro 5 milioni, si applicano nei casi di inosservanza delle disposizioni di cui al nuovo190bis3 comma 1 lett. a, TUF;

(ii) da euro 500 fino a euro 500.000, si applicano nei casi di inosservanza delle disposizioni di cui al nuovo art. 190bis3 comma 1 lett. c, TUF;

(iii) da euro 5.000 fino a euro 3,5 milioni, si applicano nei casi di inosservanza delle disposizioni di cui al nuovo190bis3 comma 3 lett. a, TUF;

(iv) da euro 500 fino a euro 350.000, si applicano nei casi di inosservanza delle disposizioni di cui al nuovo art. 190bis3 comma 3 lett. c, TUF

si applicano nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle società e degli enti nei confronti dei quali sono accertate le violazioni, quando l’inosservanza è conseguenza della violazione di doveri propri o dell’organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali ha contribuito a determinare la mancata ottemperanza a provvedimenti ispettivi o di vigilanza (art. 190-bis, comma 5, TUF).

Le sanzioni amministrative in oggetto sono applicate dalla Banca d’Italia o dalla Consob, secondo le rispettive competenze, applicando la procedura sanzionatoria disciplinata dal TUF medesimo.

Sanzioni specifiche e criteri di valutazione

L’articolo 10, comma 6, dello schema di dgls. in esame, stabilisce che, laddove le violazioni del Regolamento DORA siano connotate “da scarsa offensività o pericolosità”, possano applicarsi le misure previste dall’art. 50, paragrafo 4, a) ed e), del Regolamento DORA: vale a dire:

“a) emanare un ordine che imponga alla persona fisica o giuridica di porre termine al comportamento in violazione del presente regolamento e di astenersi dal ripeterlo” e

“e) pubblicare comunicazioni pubbliche, comprese dichiarazioni pubbliche, indicanti l’identità della persona fisica o giuridica e la natura della violazione”.

Per la definizione dell’importo e della tipologia di sanzioni amministrative o misure di riparazione da applicare le Autorità devono tenere conto, nell’esercizio del potere sanzionatorio, dei criteri indicati dall’art. 51, paragrafo 2, del Regolamento DORA, ivi inclusi:

a) la rilevanza, la gravità e la durata della violazione;

b) il grado di responsabilità della persona fisica o giuridica responsabile della violazione;

c) la solidità finanziaria della persona fisica o giuridica responsabile;

d) l’importanza degli utili realizzati o delle perdite evitate da parte della persona fisica o giuridica responsabile, se determinabili;

e) le perdite subite da terzi a causa della violazione, se determinabili;

f) il livello di cooperazione che la persona fisica o giuridica responsabile ha dimostrato nei confronti dell’autorità competente, ferma restando la necessità di garantire la restituzione degli utili realizzati o delle perdite evitate da tale persona fisica o giuridica;

g) le precedenti violazioni commesse dalla persona fisica o giuridica responsabile.

Si noti che i provvedimenti di irrogazione delle sanzioni vengono resi pubblici, senza ritardo e per estratto, sul sito internet dell’Autorità che li ha adottati (art. 54 Regolamento DORA).

L‘importanza della conformità e della governance della cybersecurity

Il provvedimento in esame prevede che le sanzioni, assai rilevanti, trovino applicazioni non solo nei confronti dell’ente che ha commesso la violazione del Regolamento DORA, ma anche nei confronti delle persone fisiche componenti gli organi di amministrazione e di controllo, nonché di taluni soggetti apicali. Queste sanzioni che, come noto, non sono assicurabile con le polizze di D&O, rendono tale disciplina sensibilmente diversa rispetto a quella, sempre in tema di cybersecurity, di cui alla Direttiva NIS2 (recepita in Italia con Dlgs. 138/2024).

Inoltre, l’attenzione e “responsabilizzazione” degli organi di vertice testimonia, ancora una volta, la strategicità del rischio cyber che non è più possibile ricondurre ad una tematica meramente “tecnica”, ma che deve permeare, anche grazie all’”induction” dei Consiglieri di Amministrazione (obbligatoria anche in base al Regolamento DORA ex artt. 5 4) e 16(1) lett. h)), l’intera attività del Consiglio e portare (come già avviene nei fatti) alla scelta di componenti degli organi amministrativi sempre più “esperti” di governance della cybersecurity.

Note

[1] In particolare, le direttiva2009/65/CE, 2009/138/CE, 2011/61/CE, 2013/36/ UE, 2014/59/ UE, 2014/65/UE, UE 2015/2366 e UE 2016/2341.

[2] Il fornitore terzo di servizi ICT (o TIC), vale a dire di “servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali” (art. 3, punto 21) del Regolamento DORA).

[3] Il comma 6 dispone, fra l’altro: “A norma dell’articolo 50, le autorità competenti possono adottare, come misura di ultima istanza, a seguito della notifica e, se del caso, della consultazione di cui ai paragrafi 4 e 5 del presente articolo, una decisione che impone alle entità finanziarie di sospendere temporaneamente, in tutto o in parte, l’utilizzo o l’introduzione di un servizio prestato dal fornitore terzo critico di servizi TIC, fino a quando non siano stati affrontati i rischi identificati nelle raccomandazioni trasmesse ai fornitori terzi critici di servizi TIC. Laddove si renda necessario, le autorità competenti possono chiedere alle entità finanziarie di risolvere, in tutto o in parte, gli accordi contrattuali pertinenti stipulati con i fornitori terzi critici di servizi TIC”.

[4] Decreto legislativo 1° settembre 1993, n. 385.

[5] Decreto legislativo 24 febbraio 1998, n. 58.

[6] Decreto legislativo 7 settembre 2005, n. 209.