1. Premessa
Con il presente aggiornamento della circolare della Banca d'Italia n. 285/2013 sono modificati il Capitolo 4 «Il sistema informativo» e il Capitolo 5 «La continuita' operativa» della Parte prima, Titolo IV, per assicurare un riordino della disciplina applicabile alla luce delle previsioni del regolamento (UE) 2022/2554 sulla resilienza operativa digitale per il settore finanziario («Regolamento DORA») e dei relativi atti delegati, in un'ottica di chiarezza del complessivo quadro normativo, nonche' per dare attuazione all'art. 4 della direttiva (UE) 2022/2556 («Direttiva DORA»), recante modifiche alla direttiva 2013/36/UE. Con l'occasione sono inoltre effettuati alcuni interventi di raccordo e aggiornamento del Capitolo 3 «Il sistema dei controlli interni» della Parte prima, Titolo IV, nonche' delle Disposizioni introduttive e della Parte prima, Titolo I, Capitolo 1 «Autorizzazione all'attivita' bancaria».
Le modifiche sono di mero adeguamento ad atti di altre autorita' direttamente applicabili o vincolanti (i.e., regolamento DORA e relativi atti delegati; direttiva DORA) e pertanto, in linea con quanto previsto nel regolamento della Banca d'Italia sugli atti di natura normativa o di contenuto generale (1) , non sono state sottoposte a consultazione pubblica e ad analisi di impatto della regolamentazione (AIR). 2. Adeguamento al regolamento DORA e ai relativi atti delegati e attuazione della direttiva DORA
Per assicurare l'adeguamento al regolamento DORA e ai relativi atti delegati, vengono abrogate le Sezioni del Capitolo 4 sul governo del sistema informativo, sulla gestione del rischio ICT e di sicurezza, sulla gestione della sicurezza dell'informazione e delle operazioni ICT, sulla gestione dei progetti e dei cambiamenti ICT, sull'esternalizzazione del sistema informativo e il ricorso a soggetti terzi per la prestazione di servizi ICT. In luogo di tali sezioni, viene inserito un rinvio alle previsioni, direttamente applicabili, del regolamento DORA e dei relativi atti delegati in materia di strumenti, metodi, processi e politiche per la gestione dei rischi informatici, politica relativa agli accordi contrattuali per l'utilizzo di servizi ICT a supporto di funzioni essenziali o importanti prestati da fornitori terzi di servizi ICT, incidenti ICT e minacce informatiche significative.
La sezione sul sistema di gestione dei dati, non ricompresa nel framework DORA, viene spostata nel capitolo 3 «Il sistema dei controlli interni». La sezione sulle disposizioni specifiche in materia di prestazione di servizi di pagamento e' oggetto di modifiche volte a dare attuazione agli orientamenti dell'EBA dell'11 febbraio 2025 (EBA/GL/2025/02), che hanno abrogato in larga parte gli orientamenti dell'EBA sulla gestione dei rischi relativi alle tecnologie dell'informazione e di sicurezza (EBA/GL/2019/04), mantenendo esclusivamente i paragrafi relativi alla gestione del rapporto con gli utenti dei servizi di pagamento.
Viene inoltre modificato il Capitolo 5 «La continuita' operativa» (2) , con particolare riferimento ai requisiti di continuita' operativa applicabili a tutti gli operatori, allo scopo di dare attuazione alle modifiche apportate dalla direttiva DORA alle norme della direttiva 2013/36/UE in materia di continuita' operativa e di rimuovere le previsioni sulla continuita' operativa in ambito ICT, sostituite dalle previsioni direttamente applicabili del regolamento DORA e dei relativi atti delegati. Con l'occasione, si e' perseguito l'obiettivo di coordinare, per quanto possibile, le regole sulla politica generale di continuita' operativa con il framework DORA.
Con il presente aggiornamento non vengono apportate modifiche all'allegato A, Sezione III, del Capitolo 5 («Requisiti particolari per i processi a rilevanza sistemica»), sul quale sono in corso approfondimenti di piu' ampia portata, tenuto conto che il tema dei requisiti di continuita' operativa per i processi a rilevanza sistemica coinvolge anche operatori finanziari diversi dalle banche. Ad esito di questi approfondimenti potra' essere operata una revisione complessiva della disciplina applicabile agli operatori del settore finanziario rilevanti sul piano sistemico. 3. Procedimenti amministrativi
Il presente aggiornamento non introduce nuovi procedimenti amministrativi ne' modifica quelli esistenti. 4. Entrata in vigore
Le disposizioni contenute nel presente aggiornamento entrano in vigore il giorno successivo a quello della pubblicazione nella Gazzetta Ufficiale.
Fermo restando quanto previsto dal regolamento DORA e dai relativi atti delegati, le banche si adeguano alle modifiche apportate al Capitolo 5 della Parte prima, Titolo IV, della circolare della Banca d'Italia n. 285/2013 entro sei mesi dalla data di entrata in vigore del presente aggiornamento.
Le modifiche alla circolare della Banca d'Italia n. 285/2013 introdotte dal presente aggiornamento si applicano alle succursali in Italia di banche extracomunitarie a partire dalla data di entrata in vigore della normativa di attuazione dell'art. 58-quinquies del decreto legislativo 1° settembre 1993, n. 385 (Testo unico bancario), come introdotto dal decreto legislativo 31 dicembre 2025, n. 208, di attuazione della direttiva (UE) 2024/1619. Fino a tale data, alle succursali in Italia di banche extracomunitarie continuano ad applicarsi i Capitoli 3, 4 e 5 della Parte prima, Titolo IV, della circolare della Banca d'Italia n. 285/2013 nella versione antecedente al presente aggiornamento.
Roma, 3 febbraio 2026
Il Governatore: Panetta
(1) Provvedimento del 9 luglio 2019 «Regolamento recante la
disciplina dell'adozione degli atti di natura normativa o di
contenuto generale della Banca d'Italia nell'esercizio delle
funzioni di vigilanza, ai sensi dell'art. 23 della legge 28
dicembre 2005, n. 262, art. 8».
(2) In particolare, il Capitolo 5 viene suddiviso in due Sezioni, con
contestuale abrogazione delle Sezioni I e II dell'allegato A.
|