1. Premessa
Con il presente aggiornamento della circolare della Banca
d'Italia n. 285/2013 sono modificati il Capitolo 4 «Il sistema
informativo» e il Capitolo 5 «La continuita' operativa» della Parte
prima, Titolo IV, per assicurare un riordino della disciplina
applicabile alla luce delle previsioni del regolamento (UE) 2022/2554
sulla resilienza operativa digitale per il settore finanziario
(«Regolamento DORA») e dei relativi atti delegati, in un'ottica di
chiarezza del complessivo quadro normativo, nonche' per dare
attuazione all'art. 4 della direttiva (UE) 2022/2556 («Direttiva
DORA»), recante modifiche alla direttiva 2013/36/UE. Con l'occasione
sono inoltre effettuati alcuni interventi di raccordo e aggiornamento
del Capitolo 3 «Il sistema dei controlli interni» della Parte prima,
Titolo IV, nonche' delle Disposizioni introduttive e della Parte
prima, Titolo I, Capitolo 1 «Autorizzazione all'attivita' bancaria».
Le modifiche sono di mero adeguamento ad atti di altre autorita'
direttamente applicabili o vincolanti (i.e., regolamento DORA e
relativi atti delegati; direttiva DORA) e pertanto, in linea con
quanto previsto nel regolamento della Banca d'Italia sugli atti di
natura normativa o di contenuto generale (1) , non sono state
sottoposte a consultazione pubblica e ad analisi di impatto della
regolamentazione (AIR).
2. Adeguamento al regolamento DORA e ai relativi atti delegati e
attuazione della direttiva DORA
Per assicurare l'adeguamento al regolamento DORA e ai relativi
atti delegati, vengono abrogate le Sezioni del Capitolo 4 sul governo
del sistema informativo, sulla gestione del rischio ICT e di
sicurezza, sulla gestione della sicurezza dell'informazione e delle
operazioni ICT, sulla gestione dei progetti e dei cambiamenti ICT,
sull'esternalizzazione del sistema informativo e il ricorso a
soggetti terzi per la prestazione di servizi ICT. In luogo di tali
sezioni, viene inserito un rinvio alle previsioni, direttamente
applicabili, del regolamento DORA e dei relativi atti delegati in
materia di strumenti, metodi, processi e politiche per la gestione
dei rischi informatici, politica relativa agli accordi contrattuali
per l'utilizzo di servizi ICT a supporto di funzioni essenziali o
importanti prestati da fornitori terzi di servizi ICT, incidenti ICT
e minacce informatiche significative.
La sezione sul sistema di gestione dei dati, non ricompresa nel
framework DORA, viene spostata nel capitolo 3 «Il sistema dei
controlli interni». La sezione sulle disposizioni specifiche in
materia di prestazione di servizi di pagamento e' oggetto di
modifiche volte a dare attuazione agli orientamenti dell'EBA dell'11
febbraio 2025 (EBA/GL/2025/02), che hanno abrogato in larga parte gli
orientamenti dell'EBA sulla gestione dei rischi relativi alle
tecnologie dell'informazione e di sicurezza (EBA/GL/2019/04),
mantenendo esclusivamente i paragrafi relativi alla gestione del
rapporto con gli utenti dei servizi di pagamento.
Viene inoltre modificato il Capitolo 5 «La continuita' operativa»
(2) , con particolare riferimento ai requisiti di continuita'
operativa applicabili a tutti gli operatori, allo scopo di dare
attuazione alle modifiche apportate dalla direttiva DORA alle norme
della direttiva 2013/36/UE in materia di continuita' operativa e di
rimuovere le previsioni sulla continuita' operativa in ambito ICT,
sostituite dalle previsioni direttamente applicabili del regolamento
DORA e dei relativi atti delegati. Con l'occasione, si e' perseguito
l'obiettivo di coordinare, per quanto possibile, le regole sulla
politica generale di continuita' operativa con il framework DORA.
Con il presente aggiornamento non vengono apportate modifiche
all'allegato A, Sezione III, del Capitolo 5 («Requisiti particolari
per i processi a rilevanza sistemica»), sul quale sono in corso
approfondimenti di piu' ampia portata, tenuto conto che il tema dei
requisiti di continuita' operativa per i processi a rilevanza
sistemica coinvolge anche operatori finanziari diversi dalle banche.
Ad esito di questi approfondimenti potra' essere operata una
revisione complessiva della disciplina applicabile agli operatori del
settore finanziario rilevanti sul piano sistemico.
3. Procedimenti amministrativi
Il presente aggiornamento non introduce nuovi procedimenti
amministrativi ne' modifica quelli esistenti.
4. Entrata in vigore
Le disposizioni contenute nel presente aggiornamento entrano in
vigore il giorno successivo a quello della pubblicazione nella
Gazzetta Ufficiale.
Fermo restando quanto previsto dal regolamento DORA e dai
relativi atti delegati, le banche si adeguano alle modifiche
apportate al Capitolo 5 della Parte prima, Titolo IV, della circolare
della Banca d'Italia n. 285/2013 entro sei mesi dalla data di entrata
in vigore del presente aggiornamento.
Le modifiche alla circolare della Banca d'Italia n. 285/2013
introdotte dal presente aggiornamento si applicano alle succursali in
Italia di banche extracomunitarie a partire dalla data di entrata in
vigore della normativa di attuazione dell'art. 58-quinquies del
decreto legislativo 1° settembre 1993, n. 385 (Testo unico bancario),
come introdotto dal decreto legislativo 31 dicembre 2025, n. 208, di
attuazione della direttiva (UE) 2024/1619. Fino a tale data, alle
succursali in Italia di banche extracomunitarie continuano ad
applicarsi i Capitoli 3, 4 e 5 della Parte prima, Titolo IV, della
circolare della Banca d'Italia n. 285/2013 nella versione antecedente
al presente aggiornamento.
Roma, 3 febbraio 2026
Il Governatore: Panetta
(1) Provvedimento del 9 luglio 2019 «Regolamento recante la
disciplina dell'adozione degli atti di natura normativa o di
contenuto generale della Banca d'Italia nell'esercizio delle
funzioni di vigilanza, ai sensi dell'art. 23 della legge 28
dicembre 2005, n. 262, art. 8».
(2) In particolare, il Capitolo 5 viene suddiviso in due Sezioni, con
contestuale abrogazione delle Sezioni I e II dell'allegato A.