Quali sono gli adempimenti prescritti dal Regolamento DORA e dalla normativa nazionale di adeguamento? E quali sanzioni sono previste?
L’utilizzo sempre più esteso di piattaforme digitali, servizi cloud, processi automatizzati e fornitori terzi di servizi TIC ha infatti ampliato in modo significativo l’esposizione delle entità finanziarie a incidenti informatici, vulnerabilità sistemiche e interruzioni operative suscettibili di incidere non soltanto sull’organizzazione interna dell’impresa, ma anche sulla stabilità del mercato, sulla protezione dei clienti e sul regolare svolgimento di funzioni essenziali o importanti.
In tale scenario è intervenuto il Regolamento (UE) 2022/2554, noto come Regolamento DORA, il quale ha introdotto una disciplina uniforme in materia di resilienza operativa digitale per il settore finanziario dell’Unione europea, imponendo obblighi puntuali in materia di governance, gestione del rischio TIC, segnalazione degli incidenti, test di resilienza e controllo dei rapporti con i fornitori terzi di servizi tecnologici.
A livello interno, il quadro è stato completato dal D. Lgs. 10 marzo 2025, n. 23, che ha adeguato l’ordinamento italiano al DORA, individuando le autorità competenti, disciplinando il coordinamento con le strutture nazionali di cybersicurezza e introducendo il relativo apparato sanzionatorio.
Con il presente contributo vogliamo offrire una panoramica della normativa DORA, chiarendo quali siano i soggetti obbligati, quali adempimenti sono imposti alle istituzioni finanziarie e quali attività di compliance si rendono necessarie.
Il Regolamento DORA nel quadro della normativa europea sulla cybersicurezza
Il Regolamento DORA si colloca all’interno di un più ampio processo di rafforzamento della disciplina europea in materia di sicurezza informatica e resilienza delle infrastrutture essenziali. Esso introduce una disciplina settoriale e specialistica destinata al comparto finanziario, considerato dal legislatore europeo come un ecosistema particolarmente esposto ai rischi derivanti dall’interdipendenza digitale, dalla concentrazione dei fornitori tecnologici e dalla potenziale propagazione sistemica degli incidenti TIC.
In questa prospettiva, il DORA costituisce un atto normativo che, pur dialogando con la direttiva NIS 2 e con le altre discipline europee sulla cybersicurezza, se ne distingue per oggetto, finalità e tecnica di regolazione, poiché non si limita a fissare obblighi generali di sicurezza delle reti e dei sistemi informativi, ma costruisce un modello articolato di governo della resilienza operativa digitale in capo alle entità finanziarie.
Il regolamento, infatti, disciplina in maniera organica la gestione del rischio informatico, la classificazione e segnalazione degli incidenti, i test di resilienza, il monitoraggio dei fornitori terzi di servizi TIC e il coordinamento tra autorità di vigilanza.
È proprio tale impostazione a rendere il Regolamento DORA una normativa centrale per la corporate compliance nel settore finanziario, che richiede un assetto organizzativo, contrattuale e procedurale coerente con la continuità dei servizi finanziari e con la tutela del mercato.
I soggetti obbligati e l’estensione della disciplina alla filiera tecnologica
Quanto all’individuazione dei soggetti destinatari degli obblighi di resilienza operativa digitale, l’art. 2 del Regolamento (UE) 2022/2554 delinea un perimetro soggettivo particolarmente ampio, che ricomprende non soltanto gli operatori bancari in senso stretto, ma l’intero ecosistema dei servizi finanziari europei.
Rientrano nel campo di applicazione del DORA gli enti creditizi, gli istituti di pagamento, gli istituti di moneta elettronica, le imprese di investimento, i fornitori di servizi per le cripto-attività, i depositari centrali di titoli, le controparti centrali, le sedi di negoziazione, i gestori di fondi, le imprese di assicurazione e di riassicurazione, gli intermediari assicurativi, gli enti pensionistici aziendali o professionali, le agenzie di rating del credito, gli amministratori di indici di riferimento critici, i fornitori di servizi di crowdfunding e altre categorie di operatori rilevanti per il funzionamento del mercato finanziario.
Si tratta, dunque, di una disciplina che investe una pluralità di soggetti accomunati non dalla forma giuridica, ma dall’esercizio di attività la cui compromissione digitale può produrre effetti economici e sistemici significativi.
Accanto alle entità finanziarie, il Regolamento DORA attribuisce un ruolo sempre più rilevante anche ai fornitori terzi di servizi TIC, in quanto la continuità dei servizi finanziari dipende in misura crescente dalla supply chain tecnologica. Pur restando la responsabilità primaria in capo all’entità finanziaria, il DORA incide direttamente anche sulla dimensione contrattuale, organizzativa e ispettiva dei rapporti con i provider tecnologici, soprattutto quando questi supportano funzioni essenziali o importanti.
Il D. Lgs. 23/2025 e l’adeguamento dell’ordinamento italiano al DORA
Con il D. Lgs. 10 marzo 2025, n. 23 il legislatore italiano ha armonizzato il quadro interno per renderlo compatibile con le disposizioni del Regolamento DORA. Il decreto delegato non riproduce il contenuto del regolamento europeo, che è direttamente applicabile, ma detta una disciplina “di raccordo” volta a individuare le autorità competenti, estendere talune disposizioni a soggetti dell’ordinamento nazionale e integrare il sistema dei poteri di vigilanza e delle sanzioni. Abbiamo pubblicato sul tema anche uno specifico approfondimento.
Sotto questo profilo, la novella interviene sui testi unici di settore — in particolare TUB, TUF, CAP e D. Lgs. n. 252/2005.
L’art. 3 individua quali Autorità competenti DORA la Banca d’Italia, la Consob, l’IVASS e la COVIP, ciascuna in relazione ai soggetti già vigilati secondo i rispettivi ambiti di competenza, mentre gli artt. 4 e 5 disciplinano il sistema nazionale di ricezione delle segnalazioni di gravi incidenti TIC e il coordinamento con l’Agenzia per la cybersicurezza nazionale e con CSIRT Italia. Particolarmente significativa è inoltre la scelta del legislatore di estendere un perimetro selettivo di obblighi DORA agli intermediari finanziari e a Bancoposta, così da ampliare la portata sostanziale della resilienza operativa digitale anche a soggetti non integralmente coincidenti con il perimetro europeo originario.
Gli obblighi di governance e di gestione del rischio previsti dal Regolamento DORA
Il core della normativa DORA è rappresentato dagli obblighi di governance e di gestione del rischio TIC, disciplinati principalmente dagli artt. 5–16 del Regolamento (UE) 2022/2554. Il legislatore europeo ha inteso chiarire come la resilienza operativa digitale debba essere ricondotta alla sfera della responsabilità dell’organo di gestione e, più in generale, al sistema di governo societario dell’entità finanziaria.
In questa prospettiva, il DORA impone ai soggetti obbligati di adottare un quadro interno di gestione del rischio TIC solido, esaustivo, adeguatamente documentato e proporzionato alla natura, alla dimensione e alla complessità dell’attività esercitata.
Tale quadro deve coprire l’intero ciclo di vita dei sistemi e delle funzioni supportate da tecnologie dell’informazione e della comunicazione, includendo la mappatura delle risorse TIC, l’identificazione delle dipendenze interne ed esterne, la classificazione dei rischi, l’adozione di misure di protezione e prevenzione, nonché la predisposizione di procedure di risposta e ripristino.
L’organo di gestione è chiamato ad approvare, vigilare e riesaminare periodicamente le strategie, le politiche e i piani in materia di sicurezza e continuità operativa, assicurando l’allocazione di risorse adeguate e la formazione del personale. In termini di compliance, ciò implica la necessità di verificare la tenuta dell’assetto organizzativo, la coerenza delle policy interne, la corretta distribuzione delle responsabilità e la capacità dell’ente di documentare in modo strutturato il proprio presidio di resilienza operativa digitale, anche ai fini della vigilanza.
Il Regolamento DORA e la gestione degli incidenti informatici
Un ulteriore asse portante della normativa DORA è costituito dalla gestione, classificazione e segnalazione degli incidenti connessi alle tecnologie dell’informazione e della comunicazione. Gli artt. 17–23 del Regolamento (UE) 2022/2554 impongono alle entità finanziarie di istituire procedure strutturate e documentate per rilevare, registrare, classificare e trattare gli incidenti TIC, nonché per gestire le minacce informatiche significative.
La logica sottesa al DORA è quella di superare approcci frammentari o meramente reattivi, imponendo invece un sistema organizzato di incident management, fondato su criteri armonizzati di gravità, su obblighi di escalation interna e su un rapporto costante con le autorità competenti. La classificazione dell’evento deve avvenire sulla base di parametri quali il numero di clienti o controparti coinvolti, la durata dell’interruzione, l’estensione geografica, l’impatto sui dati e la criticità dei servizi colpiti.
Quando l’evento integra la nozione di grave incidente TIC, scattano gli obblighi di notifica all’autorità competente, secondo un modello che prevede una notifica iniziale, eventuali relazioni intermedie e una relazione finale. Il D. Lgs. 23/2025 ha poi precisato, per l’ordinamento italiano, il riparto delle competenze tra Banca d’Italia, Consob, IVASS e COVIP, nonché il coordinamento con CSIRT Italia e con l’Agenzia per la cybersicurezza nazionale.
In termini operativi, la compliance al DORA richiede dunque la predisposizione di procedure interne di classificazione, registri incidenti, flussi decisionali chiari e protocolli di notifica coerenti con il nuovo sistema europeo e nazionale.
Il Regolamento DORA e la gestione dei fornitori terzi di servizi TIC
Tra i profili di maggiore innovazione del Regolamento DORA vi è certamente la disciplina dei rapporti con i fornitori terzi di servizi TIC, oggi divenuti componenti essenziali dell’operatività del settore finanziario. Gli artt. 28–30 del Regolamento (UE) 2022/2554 affrontano in modo diretto il tema della supply chain digitale, muovendo dal presupposto che l’esternalizzazione di servizi informatici, infrastrutturali o cloud non riduce in alcun modo la responsabilità dell’entità finanziaria rispetto agli obblighi di resilienza operativa digitale.
Il DORA chiarisce infatti che il rischio derivante da terzi costituisce una componente integrante del rischio TIC e, come tale, deve essere gestito all’interno del quadro generale di governance e controllo. Le entità finanziarie sono quindi chiamate ad adottare una strategia specifica in materia di rischio da terzi, a mantenere un registro aggiornato degli accordi contrattuali relativi ai servizi TIC e a svolgere valutazioni preventive e periodiche sulla criticità dei fornitori, sui rischi di concentrazione e sulle dipendenze operative.
Di particolare rilievo è l’art. 30 del Regolamento DORA, che individua il contenuto minimo degli accordi contrattuali, imponendo clausole dettagliate in tema di livelli di servizio, localizzazione dei dati, obblighi di assistenza in caso di incidente, cooperazione con le autorità, diritti di audit, condizioni di subappalto e strategie di uscita. Il rapporto con il fornitore tecnologico diviene un ambito di compliance regolatoria, rispetto al quale risulta essenziale un presidio legale capace di integrare profili societari, tecnologici e di sicurezza informatica.
Regolamento DORA, D. Lgs. 23/2025 e sistema sanzionatorio
Gli obblighi di resilienza operativa digitale non hanno carattere meramente programmatico, ma sono assistiti da strumenti di enforcement incisivi, tanto sul piano amministrativo quanto, in via eventuale, sul piano penale. Il fondamento europeo di tale apparato si rinviene negli artt. 50, 51 e 52 del Regolamento (UE) 2022/2554, i quali impongono agli Stati membri di attribuire alle autorità competenti poteri di vigilanza, indagine e sanzione adeguati, nonché di prevedere sanzioni amministrative e misure di riparazione effettive, proporzionate e dissuasive. In attuazione di tali previsioni, il D. Lgs. 10 marzo 2025, n. 23, all’art. 10, ha modificato i principali testi normativi settoriali — TUB, TUF, CAP— introducendo un sistema sanzionatorio differenziato per settore, categoria di soggetto vigilato e gravità della violazione.
Il decreto distingue, infatti, tra un primo gruppo di inosservanze considerate più gravi, che attengono essenzialmente ai presidi strutturali di governance, gestione del rischio, segnalazione degli incidenti e testing, e un secondo gruppo di inosservanze concernenti ulteriori obblighi organizzativi, operativi e contrattuali, per i quali sono previste soglie sanzionatorie comunque elevate, ma tendenzialmente inferiori.
Nel settore bancario e creditizio disciplinato dal TUB, il nuovo art. 144, commi 8-bis e 8-ter, come introdotto dall’art. 10 del decreto, prevede che, in caso di violazione di specifiche disposizioni del DORA, ovvero in caso di omessa collaborazione o mancato seguito a indagini, ispezioni o richieste esercitate ai sensi dell’art. 8 del medesimo decreto, si applichino sanzioni amministrative pecuniarie di particolare intensità.
Per le banche, gli intermediari finanziari e i relativi fornitori terzi di servizi TIC, la sanzione può andare da 30.000 euro fino al 10 per cento del fatturato nei casi più gravi di cui al comma 8-bis, e da 30.000 euro fino al 7 per cento del fatturato nei casi di cui al comma 8-ter. Per istituti di pagamento e istituti di moneta elettronica, la disciplina prevede, nei casi più gravi, una sanzione da 30.000 euro fino a 5 milioni di euro, ovvero fino al 10 per cento del fatturato se superiore a 5 milioni.
Accanto alla responsabilità dell’ente, il decreto prevede in modo espresso anche la responsabilità delle persone fisiche. L’art. 144-ter TUB, come modificato dall’art. 10 del D. Lgs. 23/2025, stabilisce che, salvo che il fatto costituisca reato, quando le violazioni indicate dall’art. 144, commi 8-bis e 8-ter, siano commesse da soggetti che svolgono funzioni di amministrazione, direzione o controllo o dal personale dell’ente, si applichino sanzioni amministrative personali da 5.000 euro fino a 5 milioni di euro per le violazioni più gravi e da 5.000 euro fino a 3,5 milioni di euro per le violazioni meno gravi.
La responsabilità personale non è automatica, ma richiede che l’inosservanza sia conseguenza della violazione di doveri propri o dell’organo di appartenenza e che la condotta abbia inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali, ovvero abbia contribuito alla mancata ottemperanza a provvedimenti specifici dell’autorità di vigilanza o all’inosservanza dell’ordine di cessazione previsto dall’art. 50, par. 4, lett. a), del Regolamento DORA.
Una struttura analoga è stata introdotta nel Testo Unico della Finanza mediante il nuovo art. 190-bis.3, inserito dall’art. 10, comma 2, del decreto. Anche in questo caso il legislatore distingue due gruppi di violazioni del DORA.
Per SIM, SGR, SICAV, SICAF, controparti centrali, gestori di mercati regolamentati e relativi fornitori terzi di servizi TIC, la sanzione può arrivare, per le violazioni più gravi, fino a 5 milioni di euro oppure fino al 10 per cento del fatturato, se superiore. Per il secondo gruppo di violazioni, i massimali si riducono, rispettivamente, a 3,5 milioni di euro o al 7 per cento del fatturato per SIM, SGR, SICAV, SICAF, controparti centrali e gestori di mercati.
Anche qui è prevista la responsabilità personale degli esponenti e del personale, con sanzioni che, a seconda del soggetto e della fattispecie, possono arrivare fino a 5 milioni, 500.000 euro o 350.000 euro, nonché la sanzione interdittiva accessoria da sei mesi a tre anni e l’elevazione fino al doppio del vantaggio conseguito.
Nel settore assicurativo, l’art. 10, comma 3, del D. Lgs. 23/2025 modifica il CAP introducendo un sistema sanzionatorio coerente con il modello DORA, ma adattato alla struttura del comparto. Per imprese di assicurazione, imprese di riassicurazione e relativi fornitori terzi di servizi TIC, l’art. 310 CAP, come modificato, ricomprende espressamente tra le violazioni sanzionabili l’inosservanza delle disposizioni DORA e delle relative norme tecniche, nonché l’omessa collaborazione nell’ambito di indagini o ispezioni. Per il secondo gruppo di violazioni, il nuovo comma 1-bis dell’art. 310 prevede una sanzione da 30.000 euro al 7 per cento del fatturato.
A ciò si aggiunge la responsabilità delle persone fisiche, disciplinata dall’art. 311-sexies CAP, con sanzioni personali da 5.000 euro fino a 5 milioni di euro per le violazioni più gravi e da 5.000 euro fino a 3,5 milioni di euro per quelle meno gravi, oltre alla possibile interdizione da sei mesi a tre anni.
Una disciplina specifica è stata introdotta anche per il settore delle cripto-attività, mediante l’inserimento dell’art. 37-bis nel D. Lgs. 129/2024, ad opera dell’art. 10, comma 5, del decreto di adeguamento. Per gli emittenti di token collegati ad attività e i relativi fornitori terzi di servizi TIC, le violazioni più gravi sono punite con una sanzione da 30.000 euro fino a 5 milioni di euro, ovvero, se superiore, fino al 12,5 per cento del fatturato totale annuo; per i prestatori di servizi in cripto-attività, la sanzione arriva fino a 5 milioni di euro oppure, se superiore, fino al 5 per cento del fatturato totale annuo.
Per il secondo gruppo di violazioni, le soglie si riducono rispettivamente al 9 per cento e al 3,50 per cento del fatturato, o a 3,5 milioni di euro. Anche qui il legislatore prevede la responsabilità delle persone fisiche, con sanzioni da 5.000 euro fino a 700.000 euro per le violazioni più gravi e da 5.000 euro fino a 500.000 euro per le altre, oltre alla possibilità di interdizione e all’aumento fino al doppio del vantaggio.
Il sistema delineato dal D. Lgs. 23/2025 non si esaurisce tuttavia nella sola sanzione pecuniaria. L’art. 10, commi 6 e 7, prevede infatti che, quando le violazioni siano connotate da scarsa offensività o pericolosità, le Autorità competenti DORA possano, in alternativa all’irrogazione della sanzione pecuniaria, applicare le misure di cui all’art. 50, par. 4, lett. a) ed e), del Regolamento DORA, vale a dire l’ordine di cessazione del comportamento illecito e la pubblicazione della violazione.
Le Autorità possono altresì richiedere la cessazione temporanea o permanente di qualsiasi pratica o comportamento contrario al Regolamento, in attuazione dell’art. 50, par. 4, lett. b), DORA. Si tratta di misure di riparazione e contenimento che valorizzano la funzione preventiva e conformativa della vigilanza, in linea con la logica europea della resilienza digitale.
Circa il rapporto tra sanzioni amministrative e penali, occorre ricordare che l’art. 52 del Regolamento DORA consente agli Stati membri di prevedere sanzioni penali per le violazioni del Regolamento, anche in luogo delle misure amministrative, purché sia garantito un adeguato coordinamento tra autorità competenti e autorità giudiziarie. Nel sistema italiano la regola generale resta però quella del presidio amministrativo, come emerge dalle numerose clausole “salvo che il fatto costituisca reato” inserite nelle disposizioni sanzionatorie relative alle persone fisiche.
Compliance DORA. Affidati a noi per la gestione degli adempimenti
La compliance alla normativa DORA postula una revisione complessiva degli assetti di governance, dei processi di gestione del rischio, delle procedure di incident reporting, dei rapporti contrattuali con i fornitori terzi di servizi TIC e dei presidi documentali necessari a dimostrare l’effettiva conformità al nuovo quadro normativo.
Proprio per tale ragione, gli adempimenti richiedono il supporto di un professionista in grado di coniugare competenze in materia di corporate compliance, regolazione di settore, contrattualistica ICT e cybersicurezza.
Il nostro Studio assiste i destinatari della disciplina nella delicata attività di compliance alla normativa DORA, nella governance digitale e della gestione dei rapporti tra impresa e fornitura tecnologica.
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.