Comunitario e Internazionale

Ai nastri di partenza il Pacchetto sulla Finanza Digitale e il Regolamento DORA

In arrivo dall'Unione Europea una rivoluzione in ambito finanziario, capace di guidare in maniera armonizzata la transizione digitale nel settore. In particolare, la Proposta di Regolamento DORA segna un nuovo inizio per le Entità Financial Services

di Andrea Del Forno*

Il contesto europeo

In una società interconnessa e digitale, caratterizzata da uno sviluppo tecnologico crescente e capace di aprire nuove opportunità per l'economia e la società, scegliere di combattere questo cambiamento significherebbe precludersi le nuove opportunità derivanti dalle c.d. Tecnologie dell'Informazione e della Comunicazione, anche dette "T.I.C.", ovvero tutti quei metodi e quelle tecniche utilizzate nella trasmissione, ricezione ed elaborazione di dati, informazioni e servizi digitali.

L'Unione Europea, mossa in questi ultimi anni dalla volontà di favorire l'innovazione tecnologica, l'applicazione delle nuove tecnologie ed il ricorso all'Intelligenza Artificiale, ha delineato una serie di misure volte a disciplinare le materie chiavi di questa transizione digitale: tra queste, oltre alla tanto discussa Proposta di Regolamento in materia di Intelligenza Artificiale, ha appositamente previsto per il settore economico finanziario il c.d. "Pacchetto Europeo sulla Finanza Digitale", la cui emanazione e successiva entrata in vigore è da supporre nel quarto trimestre 2022.

Formulato in maniera tale da gettare le basi per una vera e propria rivoluzione digitale dell'intero ambito finanziario europeo, tale Pacchetto si compone di tre specifiche proposte di Regolamento:

• la Proposta di Regolamento MiCA ("Markets in Crypto-Asset"), il cui focus è quello delle criptoattività;
• la Proposta di Regolamento DLT ("Distributed Ledger Technology"), in materia di blockchain;
• la Proposta di Regolamento DORA ("Digital Operational Resilience Act"), la quale disciplina il presidio dei rischi in materia di cybersecurity.

Il Regolamento DORA

Focalizzando l'attenzione sulla Proposta di Regolamento DORA, questa si configura come la strada che l'Unione Europea vuole tracciare per permettere al settore finanziario di continuare ad evolversi dal punto di vista tecnologico, senza contestualmente temere il conseguente aumento dei rischi connessi alla digitalizzazione, oltre che degli eventuali malfunzionamenti e minacce.

In altre parole, il Regolamento DORA tratteggia le misure che il settore finanziario dovrà attuare per perseguire l'obiettivo della Resilienza Operativa Digitale: in altre parole, tale regolamento individua la via che le Financial Entities dovranno percorrere per affrontare, in maniera consapevole, l'aumento dei rischi e delle minacce connesse alla digitalizzazione, per uscirne non solo illese, ma fortificate.

Infatti, l'intero settore finanziario, per adeguarsi alle T.I.C., dovrà incrementare la propria capacità di creare, assicurare e verificare l'integrità operativa tecnologica, garantendo al contempo, in modo diretto o indiretto e anche tramite il ricorso ai servizi offerti da eventuali fornitori terzi, l'intera gamma delle capacità associate alle T.I.C. e necessarie per assicurare la sicurezza delle reti e dei sistemi informativi impiegati dalle stesse Financial Entities, su cui si fondano l' offerta e la qualità dei servizi finanziari.

Queste misure propongono, oltre che una serie di norme tecniche riconosciute a livello europeo ed internazionale - in parte già integrate nella Proposta, in parte ancora da definire -, l'applicazione uniforme delle best practices di alcune specifiche realtà ma giudicate compliant dalle Autorità di Vigilanza, in quanto riescono a garantire la resilienza, l'integrità e la sicurezza delle infrastrutture, delle attrezzature fisiche necessarie all'utilizzo della tecnologia e dei processi e del personale collegati alle T.I.C. senza, al contempo, obbligare le Financial Entities ad una standardizzazione eccessivamente dettagliata.

Con queste previsioni, poi, l'Unione Europea vuole spingere il settore ad aggiornarsi ed a fronteggiare le consistenti minacce informatiche attraverso una reazione resiliente del sistema, quindi a rispondere ad eventuali attacchi e malfunzionamenti in maniera tale da consentire agli stessi operatori del mercato di superare rapidamente, esaustivamente ed efficientemente i rischi connessi alle T.I.C., senza riportare conseguenze.

In tal modo, il Regolamento DORA delinea un vero e proprio programma di test di resilienza operativa digitale, con il quale le Financial Entities possano procedere all'identificazione di punti deboli, lacune o carenze della propria capacità di resilienza, così che, attraverso eventuali misure correttive, il settore finanziario sia in grado di raggiungere un opportuno livello di gestione dei rischi, idoneo a consentire di andare oltre eventuali malfunzionamenti di processi o incidenti informatici.

Relativamente, ancora, alle specifiche misure da porre in essere, le Financial Entities dovranno predisporre un vero e proprio quadro operativo per la gestione dei rischi, che dovrà ricomprendere una serie di adempimenti, tra i quali, a titolo esemplificativo e non esaustivo:
• l'attuazione di strumenti e sistemi idonei a minimizzare l'impatto dei rischi;
• l'individuazione di misure di protezione e prevenzione;
• l'identificazione tempestiva e aggiornata delle fonti di rischio;
• il riconoscimento puntuale di eventuali anomalie;
• la previsione di strategie di continuità operativa e di piani di ripristino, ai quali ricorrere in caso di disastro o grave incidente.

Inoltre, dal punto di vista legale, il Legislatore Europeo, attuando una strategia già perseguita per altre materie, ha provveduto ad indicare in modo analitico quello che è il contenuto minino da includere all'interno dei contratti di esternalizzazione dei servizi T.I.C. coi relativi fornitori, ovvero, tra le altre cose, i diritti di accesso, audit e di ispezione da parte delle Financial Entities, nonché la previsione di obblighi di segnalazione, di assistenza in caso di incidente e di cooperazione in capo al fornitore.

In conclusione

Avendo come destinatari gli Stati Membri dell'Unione Europea, il Regolamento DORA troverà applicazione, nell'intero perimetro europeo, nei confronti di 220mila società in ambito Financial Services, sia di tipo tradizionale (quindi, a titolo esemplificativo, istituti di credito, compagnie di assicurazione, istituti di pagamento, borse, IMEL, ect…), sia di nuova definizione (quali gli emittenti di cripto-asset, i fornitori di servizi di criptovaluta, nonché i fornitori terzi di servizi T.I.C.), così da produrre un impatto talmente massiccio da consentire di definire la portata del Regolamento DORA come quella di una vera e propria rivoluzione digitale del settore economico.

Le Financial Entities dovranno, quindi, farsi trovare pronte ad affrontare le future sfide della transizione tecnologica, derivanti non solo dalla Proposta di Regolamento DORA ma dall'intero Pacchetto sulla Finanza Digitale, così da evitare di incorrere nei relativi rischi e danni, visto che la Commissione Europea stima i costi degli ipotizzabili incidenti operativi tra i 2 ed i 27 miliardi di euro all'anno (senza parlare dei danni reputazionali conseguenti), ed affacciarsi verso la rivoluzione digitale incombente con la volontà di trarne benefici per loro e per i propri clienti.

_____


*A cura dell'Avv. Andrea Del Forno

Per saperne di piùRiproduzione riservata ©