Il Regolamento (UE) 2022/2554, cosiddetto Digital Operational Resilience Act, o maggiormente noto con l’acronimo DORA (di seguito “DORA”), è entrato in vigore il 17 gennaio 2025 e stabilisce un quadro organico di compliance in materia di cybersicurezza per il settore bancario, finanziario e assicurativo, inclusi ovviamente gli Istituti di Pagamento e le Imprese di Moneta Digitale.

Il concetto di resilienza operativa digitale (digital operational resilience) è esattamente definito dal DORA: «la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa» (art. 3, par.1).

Che significa, in pratica, resilienza operativa digitale? E, soprattutto, quale è la novità del DORA rispetto allo standard internazionale ISO/IEC 27001 che molte imprese già hanno adottato ovvero rispetto a sistemi e soluzioni custom di cybersecurity? La risposta andrà articolate sotto due angoli visuali diversi, alternativi, ma entrambi assolutamente rilevanti: uno sostanziale e uno formale.

Sotto il profilo sostanziale, si passa da un sistema di compliance lasciato alla responsabilità (o all’iniziativa) della singola azienda a uno nel quale il legislatore europeo detta, in modo relativamente dettagliato, cosa debba contenere tale sistema e come debba essere strutturato.

Sotto il profilo formale, invece, va riscontrato come il DORA sia sostanzialmente un sistema normativo e non un quadro tecnico di regole della cybersecurity. In tal senso, il DORA non va pensato come un catalogo di regole informatiche o di soluzioni tecniche ma un sistema che detta obblighi relativi alla creazione di policy aziendali e di documentazione delle stesse in materia di cybersecurity: è un sistema di compliance e di organizzazione aziendale per la documentazione, l’aggiornamento e il miglioramento dello stesso e non un sistema tecnico-informatico di cybersecurity.

Il legislatore italiano con il decreto legislativo 10 marzo 2025, n. 23, pubblicato sulla gazzetta ufficiale del 10 marzo 2025 ed entrato in vigore il 12 marzo 2025, ha adeguato la normativa nazionale alle disposizioni del DORA.

In primo luogo, il decreto 23 stabilisce quali siano le autorità le autorità competenti per il rispetto degli obblighi derivanti dal regolamento DORA: la Banca d’Italia, la Commissione nazionale per la società e la borsa (Consob), l’Istituto per la vigilanza sulle assicurazioni (IVASS) e la Commissione di vigilanza sui fondi pensione (COVIP), secondo le rispettive attribuzioni di vigilanza.

Inoltre, Il decreto stabilisce le procedure per la segnalazione dei gravi incidenti nelle tecnologie dell’informazione e della comunicazione (TIC) e per la notifica volontaria delle minacce informatiche significative.Le segnalazioni e le notifiche devono essere trasmesse alle autorità competenti DORA e, in alcuni casi, anche al CSIRT Italia (il CSIRT è il “computer security incident response team”).

Infine, va riscontrato come il decreto 23 introduca un regime sanzionatorio particolarmente oneroso e, sia concesso dirlo, eccessivo; il DORA, infatti, ha posto solamente i principi di base, mentre la definizione granulare delle sanzioni è stata demandata ai vari legislatori nazionali.

In particolare le sanzioni poste dal decreto 23 sono: 1) sanzioni amministrative a carico delle imprese soggette al DORA (per vedere l’elenco delle imprese soggette al DORA, si veda: “Il DORA: come sarà il nuovo quadro di compliance sulla cybersicurezza per le imprese del settore finanziario”); 2) sanzioni amministrative a carico dei fornitori terzi di servizi TIC (cioè “tecnologie dell’informazione e delle telecomunicazioni”) delle imprese soggette al DORA; 3) sanzioni amministrative (“e salvo che il fatto non costituisca reato”, si preoccupa di precisare la norma) a carico delle persone che rivestono posizioni apicali all’interno delle imprese di cui ai precedenti punti 1) e 2).

Prima di fornire una sommaria panoramica sulle sanzioni contenute nel decreto 23 a carico delle summenzionate categorie di imprese, è importante notare come il legislatore italiano, forse per eccesso di “pignoleria repressiva”, equipara, a fini sanzionatori, le imprese soggette al DORA ai fornitori terzi di servizi TIC delle stesse. A tale proposito, va osservato che, se è vero che il DORA presta particolare attenzione al ruolo fondamentale svolto dai fornitori di servizi TIC, tuttavia, è anche vero che il regolamento prevede poteri ispettivi e sanzionatori in capo alle autorità di vigilanza solamente per quanto riguarda i cosiddetti fornitori di servizi “critici”, cioè quelli classificati in tal modo a seguito di una specifica procedura prevista dal DORA stesso, e non con riferimento a qualsiasi fornitore di servizi TIC delle entità finanziarie soggette al Regolamento. La norma di coordinamento italiana sembra essersi spinta troppo oltre nell’equiparare, a fini sanzionatori, le imprese soggette al DORA a tutti i loro fornitori di servizi TIC, senza limitarne l’ambito applicativo ai soli fornitori di servizi TIC.

Per quanto riguarda le sanzioni e dandone un quadro assolutamente sommario (cioè senza distinguere tra le varie tipologie d’impresa per le quali il DORA pone sanzioni diverse) esse sono:

A carico delle imprese soggette al DORA o dei loro fornitori di servizi TIC, le autorità di vigilanza possono irrogare sanzioni pecuniarie da 30.000 euro e fino a 5 milioni di euro ovvero, se maggiore, fino al 10% del fatturato. A carico delle persone fisiche che rivestono posizioni apicali nei soggetti previsti al precedente punto 1, sanzioni pecuniarie da 5.000 euro a 5 milioni di euro e interdizione dallo svolgimento di funzioni di amministrazione, direzione e controllo.

Nell’insieme l’apparato sanzionatorio approntato dal legislatore italiano appare decisamente eccessivo, oltre che strutturato su una forbice talmente eccessiva da creare un problema di incertezza del diritto, con gravi ripercussioni sulle imprese soggette al DORA e, in particolare, sui loro fornitori di servizi TIC.

