Banca d'Italia: Comunicazione al mercato in materia di sicurezza ICT

La Comunicazione in oggetto è destinata ai seguenti soggetti vigilati dalla Banca d’Italia: banche (escluse le banche significative), imprese di investimento, gestori, istituti di pagamento, istituti di moneta elettronica, emittenti di token collegati ad attività, prestatori di servizi per le cripto-attività, fornitori di servizi di crowdfunding. Non è destinata a quei soggetti a cui non si applica il Regolamento DORA.

La Banca d'Italia ha richiesto ai suddetti destinatari di valutare, su base consolidata per i gruppi e individuale per i soggetti non appartenenti a gruppi , il proprio posizionamento rispetto ai requisiti introdotti dal Regolamento DORA, con particolare riferimento alle seguenti aree: i) strategie sul rischio di terza parte, sul rinnovo dei contratti di fornitura e sulla trasmissione all’Autorità del Registro delle Informazioni; ii) adattamento di presidi e politiche interne; iii) attività e programma di test di resilienza operativa digitale.

Più nel dettaglio, si richiede a tali intermediari di effettuare una autovalutazione del proprio sistema di gestione dei rischi ICT, al fine di assicurare che le politiche, le procedure, i protocolli e gli strumenti in materia di rischio ICT siano adeguati a:

-  prevenire, ovvero rilevare tempestivamente, violazioni alla riservatezza dei dati e/o dei servizi forniti;

- ridurre il rischio derivante dai cambiamenti ICT. A tale proposito, si richiede agli intermediari di valutare che il proprio quadro di ICT change management sia in linea con quanto richiesto dal Regolamento DORA e dalle relative norme attuative in termini di prassi, politiche, attribuzione di responsabilità e meccanismi di presidio della sicurezza.

L’organo di amministrazione dovrà approvare l’autovalutazione, condotta con il coinvolgimento delle funzioni di controllo di secondo e terzo livello, e trasmetterla alla Banca d’Italia entro il 30 aprile 2025.