LA BANCA D'ITALIA
Visto l'art. 114-quaterdecies, comma 2, del decreto legislativo 1° settembre 1993, n. 385, Testo unico delle leggi in materia bancaria e creditizia (di seguito, TUB), in base al quale la Banca d'Italia detta disposizioni di carattere generale aventi ad oggetto, in particolare, il governo societario, l'organizzazione amministrativa e contabile e i controlli interni degli istituti di pagamento;
Visto l'art. 114-quinquies.2, comma 2, TUB, in base al quale la Banca d'Italia detta disposizioni di carattere generale aventi ad oggetto, in particolare, il governo societario, l'organizzazione amministrativa e contabile e i controlli interni degli istituti di moneta elettronica;
Tenuto conto del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario (DORA), e dei relativi atti delegati;
Tenuto conto della direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio del 14 dicembre 2022 (direttiva DORA), recante modifiche, tra l'altro, alla direttiva 2015/2366/UE sui servizi di pagamento nel mercato interno (PSD2);
Tenuto conto degli orientamenti dell'Autorita' bancaria europea («ABE») dell'11 febbraio 2025 (EBA/GL/2025/02), recanti modifiche agli orientamenti sulla gestione dei rischi relativi alle tecnologie dell'informazione e di sicurezza del 28 novembre 2019 (EBA/GL/2019/04);
Considerata l'esigenza di modificare la disciplina applicativa degli istituti di pagamento e di moneta elettronica;
Emana:
Il presente provvedimento che modifica le «Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica» del 17 maggio 2016 per assicurare un riordino della disciplina sui sistemi informativi e gestione dei rischi operativi e di sicurezza alla luce delle previsioni del regolamento DORA e dei relativi atti delegati, in un'ottica di chiarezza del complessivo quadro normativo, nonche' per dare attuazione all'art. 7 della direttiva (UE) 2022/2556 («Direttiva DORA»), recante modifiche alla PSD2, e agli orientamenti dell'EBA dell'11 febbraio 2025 (EBA/GL/2025/02), che hanno abrogato in larga parte gli orientamenti dell'EBA sulla gestione dei rischi relativi alle tecnologie dell'informazione e di sicurezza (EBA/GL/2019/04), mantenendo esclusivamente i paragrafi relativi alla gestione del rapporto con gli utenti dei servizi di pagamento.
Le modifiche, ivi incluse quelle relative a interventi di raccordo, riguardano: il Capitolo I, Sezioni I (Fonti normative) e II (Definizioni); il Capitolo VI, Sezioni I, II, IV, e allegati A, B, C, D, E.
Le modifiche sono di mero adeguamento ad atti di altre autorita' direttamente applicabili o vincolanti (i.e., regolamento DORA e relativi atti delegati; direttiva DORA) e pertanto, in linea con quanto previsto nel regolamento della Banca d'Italia sugli atti di natura normativa o di contenuto generale, non sono state sottoposte a consultazione pubblica e ad analisi di impatto della regolamentazione (AIR).
Con il presente provvedimento e' abrogato il seguente procedimento amministrativo:
divieto di esternalizzazione di funzioni operative relative ai servizi di pagamento o all'emissione di moneta elettronica nonche' al sistema dei controlli interni o del sistema informativo o componenti critiche dello stesso.
Le nuove disposizioni entrano in vigore il giorno successivo a quello di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Il presente provvedimento e' pubblicato sul sito web della Banca d'Italia.
Roma, 3 febbraio 2026
Il Governatore: Panetta Delibera 32/2026
|