Resilienza operativa digitale nel settore finanziario: analisi del Decreto Legislativo 23/2025 e quadro sanzionatorio DORA.

L’articolo analizza in dettaglio il Decreto Legislativo 10 marzo 2025, n. 23, che adegua l’ordinamento italiano al Regolamento (UE) 2022/2554 DORA (Digital Operational Resilience Act), con l’obiettivo di rafforzare la resilienza operativa digitale del settore finanziario.

Il contributo illustra:

• le autorità competenti per la vigilanza DORA (Banca d’Italia, Consob, IVASS, COVIP) e la loro ripartizione di competenze.
• il ruolo dell’ACN nella gestione degli incidenti TIC, in raccordo con le autorità finanziarie.
• i protocolli di coordinamento e assistenza tecnica tra autorità, anche in caso di incidenti rilevanti.

Ampio spazio è dedicato al sistema sanzionatorio, articolato su due livelli:

• sanzioni più gravi per violazioni fondamentali (es. mancanza di piani di gestione del rischio TIC, backup inadeguati, mancata segnalazione di incidenti).
• sanzioni meno gravi per obblighi organizzativi e procedurali.

Le sanzioni variano in base:

• alla tipologia di entità vigilata (banche, assicurazioni, SIM, cripto-attori, ecc.),
• alla gravità della violazione,
• al fatturato annuo della persona giuridica coinvolta.

Sono previste anche sanzioni per persone fisiche e misure alternative (es. cessazione di comportamenti illeciti), con pubblicazione dei provvedimenti sul sito dell’Autorità competente.

L’articolo rappresenta una guida per comprendere l’impatto del D.Lgs. 23/2025 sulla governance digitale, gli obblighi tecnici e i rischi sanzionatori nel settore bancario, finanziario e assicurativo.