European Banking Authority – EBA: pubblicati tre nuovi set di Q&A sul Regolamento DORA. Chiarimenti su esenzioni per autorità pubbliche, “servizi telefonici” e qualificazione degli incidenti di phishing.

L’Autorità bancaria europea (EBA) ha pubblicato tre nuovi set di Q&A nella sezione dedicate al Regolamento (UE) 2022/2554 (DORA), con chiarimenti utili per la gestione dei fornitori ICT e la classificazione degli incidenti.

 

Sul fronte esenzioni, l’EBA precisa che le autorità pubbliche che forniscono servizi ICT nell’esercizio di funzioni statali non devono essere considerate fornitori terzi ICT ai fini DORA; di conseguenza, non si applicano nei loro confronti gli obblighi contrattuali dell’art. 30, par. 2, che presuppongono l’ingaggio di un fornitore terzo ICT.

 

Quanto ai servizi telefonici, l’EBA chiarisce che l’esclusione per i “servizi telefonici analogici tradizionali” non può essere estesa a servizi basati su reti in fibra, inclusa la “dark fibre”, che rientrano invece nella nozione ampia di servizi ICT rilevanti per DORA.

 

Infine, sulla classificazione del phishing, l’EBA evidenzia che episodi di phishing che avvengono nella sfera privata del cliente (ad esempio su e-mail personale) e che non incidono sui servizi prestati dall’entità finanziaria non sono, di per sé, “incidenti ICT” ai fini DORA; perché lo diventino, devono rientrare nella definizione e nelle soglie previste per gli incidenti ICT.

 

A seguito delle nuove risposte e dei chiarimenti forniti dall’EBA, le entità finanziarie dovrebbero riesaminare (i) la mappatura dei fornitori e degli accordi per servizi ICT, (ii) i criteri di classificazione e segnalazione degli incidenti, e (iii) le procedure interne su incidenti di phishing e canali cliente.