Comunitario e Internazionale

Dal Digital Finance Package al Regolamento sulla resilienza operativa digitale per il settore finanziario "DORA"

In consultazione la proposta di Regolamento UE in materia di resilienza operativa digitale, focus su gestione dei rischi, test di resilienza e supervisione dei fornitori di servizi TIC definiti "critici"

di Vittorio Buonaguidi, Cristina Scarpinato*

Digital Finance Package

Il futuro della finanza è digitale: i partecipanti al mercato maggiormente innovativi stanno implementando già da tempo nuove tecnologie, i consumatori e le imprese accedono ormai con costanza ai servizi finanziari con modalità digitali e i modelli di business esistenti stanno evolvendo. Le tecnologie digitali, quindi, sono e saranno il punto cardine del rilancio della finanza e della modernizzazione dell'economia europea in tutti i settori.

Al fine di sostenere un settore finanziario europeo competitivo e, contestualmente, garantire la stabilità del settore e la protezione dei consumatori, il 24 settembre 2020 la Commissione Europea ha adottato il Digital Finance Package che include due macro-interventi: la strategia di finanza digitale (Digital Finance Strategy - DFS) e la strategia dei servizi e degli strumenti di pagamento al dettaglio innovativi (Renewed strategy for modern and safe retail payments).

Digital Finance Strategy

La Digital Finance Strategy, in particolare, definisce le linee guida per sostenere la trasformazione digitale della finanza nel corso dei prossimi anni, mitigandone i rischi.
La strategia definisce quattro priorità per la trasformazione digitale del settore finanziario dell'UE da finalizzare entro il 2024:
affrontare ed eliminare la frammentazione del mercato unico digitale, al fine di fornire ai consumatori europei l'accesso a servizi e identità digitali transfrontalieri e di supportare le imprese finanziarie europee nell'espansione dei servizi finanziari digitali nel mercato unico;
garantire che il quadro normativo dell'UE agevoli l'innovazione digitale nell'interesse dei consumatori e dell'efficienza del mercato, regolamentando strumenti finanziari tokenizzati e l'utilizzo delle criptovalute nonché promuovendo la cooperazione e l'utilizzo delle infrastrutture di cloud computing, degli investimenti in software e l'adozione di strumenti di intelligenza artificiale;
promuovere l'innovazione basata sui dati creando uno spazio comune europeo di dati finanziari che includa il potenziamento dell'accesso digitale in tempo reale a tutte le informazioni finanziarie regolamentate e promuova contestualmente strumenti informatici innovativi per efficientare la rendicontazione, la supervisione e la condivisione dei dati tra imprese nel settore finanziario dell'UE (cd. Open Finance);
affrontare le sfide e i rischi associati alla trasformazione digitale, garantendo la stabilità finanziaria, tutelando gli investitori e i consumatori e potenziando la resilienza operativa digitale.

L'implementazione della finanza digitale supporterebbe, invero, ampiamente l'innovazione europea, creando maggiori opportunità per sviluppare prodotti finanziari migliori per i consumatori, anche ai fini dell'inclusione dei consumatori attualmente incapaci di accedere ai servizi finanziari digitali. E tale rafforzamento digitale sosterrebbe altresì la strategia di ripresa economica dell'Europa e la più ampia trasformazione economica.

Al fine di adottare compiutamente ed implementare la Digital Finance Strategy, la Commissione Europea ha pubblicato quattro proposte legislative su specifici settori della digitalizzazione:
Regolamento sulla resilienza operativa digitale per il settore finanziario (DORA) teso ad approfondire la dimensione della gestione dei rischi digitali, a migliorare e razionalizzare la gestione dei rischi relativi alle tecnologie dell'informazione e della comunicazione, accrescendo la consapevolezza degli operatori coinvolti e istituendo un meccanismo coerente di segnalazione degli incidenti;
Regolamento relativo ai mercati delle cripto-attività (MiCA), al fine di consentirne l'innovazione preservando la stabilità finanziaria e proteggendo gli investitori;
Regolamento relativo alle infrastrutture di mercato basate sulla tecnologia di registro distribuito (DLTR) volto a creare un regime pilota per le infrastrutture di mercato DLT, preservando contestualmente un livello elevato di stabilità finanziaria, integrità del mercato, trasparenza e tutela degli investitori;
Strategia in materia di pagamenti al dettaglio per l'UE che sviluppa una visione chiara, stabilendo la rotta prevista e collocando le azioni future nel contesto di un unico quadro politico coerente.

Regolamento sulla resilienza operativa digitale per il settore finanziario (DORA)

Nell'era digitale le tecnologie dell'informazione e della comunicazione (TIC) sostengono i principali settori delle nostre economie contribuendo a migliorare il funzionamento del mercato.

Il sempre maggior grado di digitalizzazione e interconnessione amplifica d'altra parte i rischi relativi alle TIC, rendendo il sistema finanziario vulnerabile alle minacce informatiche. Nonostante il costante utilizzo dei sistemi di TIC nella totalità delle attività delle entità finanziarie dell'Unione, la resilienza digitale non è ancora sufficientemente integrata e i rischi relativi a tali tecnologie continuano a rappresentare una sfida per la resilienza operativa, le prestazioni e la stabilità del sistema finanziario dell'UE.

Al fine di ampliare e integrare il framework normativo in essere potenziando la resilienza digitale nel settore finanziario, il 24 settembre 2020 la Commissione Europea ha pubblicato la proposta del citato Regolamento per armonizzare il panorama normativo attualmente frammentato dell'UE in materia di resilienza operativa digitale, con un focus particolare sulla gestione dei rischi, sui test di resilienza e sulla supervisione dei fornitori di servizi TIC definiti critici.

L'atto stabilisce una base di riferimento comune per il rischio delle TIC per tutti i settori dei servizi finanziari nel suo campo di applicazione, istituendo un quadro coerente per la supervisione degli operatori coinvolti.
Ed invero, tale Regolamento ha altresì l'obiettivo di stabilire una base chiara e consolidata per le autorità locali di regolamentazione e le autorità di vigilanza finanziaria, al fine di garantire che le imprese rimangano resilienti in caso di gravi interruzioni operative.

I requisiti normati chiave della proposta includono:
Gestione dei rischi relativi alle TIC, ivi incluse le prescrizioni relative alla governance e all'organizzazione, alla gestione dei rischi relativi alle TIC, ai sistemi IT, tool e protocolli nonché ad un sistema di prevenzione, protezione, politiche di backup e metodi di ripristino;
Segnalazione di incidenti connessi alle TIC previa definizione di un sistema di gestione, classificazione e segnalazione degli incidenti gravi connessi alle TIC;
Test di resilienza operativa digitale con indicazione delle prescrizioni generali per lo svolgimento dei test di resilienza operativa digitale, test avanzati e requisiti per i tester;
Rischi relativi alle TIC derivanti da terzi concernente altresì la valutazione preliminare del rischio di concentrazione delle TIC e ulteriori accordi di sub-esternalizzazione, con indicazione delle principali disposizioni contrattuali e prescrizioni in materia di fornitori terzi di servizi di TIC definiti critici;
Condivisione delle informazioni volta a potenziare la resilienza operativa digitale delle entità finanziarie.

Allo stato attuale, la proposta di Regolamento è ancora in fase di consultazione. Considerando che il periodo standard di pubblicazione della regolamentazione europea è di circa 18 mesi, la versione definitiva del Regolamento dovrebbe essere emanata entro la prima metà del 2022. Sulla base dei requisiti normativi attualmente inclusi nella proposta, si raccomanda alle società italiane coinvolte di monitorare i prossimi sviluppi normativi e di predisporre fin da adesso una solida strategia aziendale che sia in grado di far fronte in modo proattivo alle evoluzioni che ne deriveranno.

_____


*A cura dell' Avv. Vittorio Buonaguidi – founder Buonaguidi & Partners, Partner 24 ORE e Cristina Scarpinato, Financial Service , Regulatory Compilance, Strategic Risk Consulting Specialist.

Per saperne di piùRiproduzione riservata ©