Aggiornamenti sullo sfruttamento di React2Shell, le ultime da Pechino e Teheran, nuovi attacchi in Italia

Phishing e ransomware in Italia, data breach nel mondo, nuove operazioni state-sponsored

 Vedi tutte
Legal

Gli impatti negoziali del Regolamento DORA

DORA foto orizz

Prevedendo diversi strumenti per gestire i rischi legati agli incidenti informatici nonché misure per prevenirli e mitigarli, il Regolamento DORA mira a garantire la sicurezza delle tecnologie digitali impiegate dalle entità del settore finanziario.

Tale Regolamento si inserisce in un quadro normativo complesso che si pone come obiettivo la coerenza con le strategie di cybersicurezza adottate dagli Stati membri, per rafforzare la resilienza del settore finanziario nell’Unione Europea da parte dei fornitori dei servizi TIC.  Dunque, a livello europeo, si prevedono particolari obblighi e misure che incidono, in ottica preventiva, anche sulle clausole contrattuali tra i fornitori dei servizi TIC e le entità finanziare, influenzando il business, le dinamiche negoziali nonché diritti ed obblighi delle parti coinvolte nel rapporto contrattuale.

 

Il Regolamento DORA

Nato con lo scopo di conseguire un livello comune elevato di resilienza operativa digitale, il Regolamento 2022/2554 rubricato “Digital Operation Resilience Act” (cd. Regolamento DORA) costituisce la risposta europea alle nuove istanze di cybersicurezza del settore finanziario, da sempre fondamentale per il corretto mantenimento degli assetti politico-sociali.

L’ambito applicativo del corpus normativo è regolato dall’art. 2, al cui par. 2 figurano le “Entità Finanziarie”, ovvero enti creditizi, imprese e fondi di investimento, fornitori di servizi per le cripto-attività. Ai sensi dell’art. 2 par. 1 lett. u), inoltre, il regolamento trova applicazione anche per i “fornitori terzi di servizi TIC”, ossia soggetti che forniscono “servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa […]” (art. 3 par. 1 n. 21).

 

Gli approcci

negoziazione contrattuale DORAL’approccio adottato dal Regolamento Dora è basato sul risk management, prevedendo diversi strumenti idonei a raggiungere gli obiettivi di sicurezza digitale, quali penetration test, esami del codice sorgente e valutazione di sicurezza delle reti. Più nel dettaglio, per le entità finanziarie è stato introdotto l’obbligo di sottoporre le proprie soluzioni TIC a test di resilienza operativa digitale, effettuati, a cadenza almeno annuale, da soggetti indipendenti; nonché quello di dotarsi di sistemi e strumenti conformi ai più elevati standard di sicurezza, al fine di poter monitorare l’utilizzo delle TIC e reagire prontamente ad eventuali anomalie, essere in grado di fronteggiare incidenti connessi al loro utilizzo ed attivare piani idonei a scongiurare ulteriori danni (artt.10 ed 11).

Tuttavia, la portata innovativa dell’intervento europeo si coglie proprio nel riconoscimento normativo dell’impossibilità, per le entità finanziarie, di dotarsi esclusivamente di soluzioni tech in-house, con la conseguente centralità dei fornitori esterni di tali servizi che possano garantire la business continuity. I soggetti esterni che svolgono i suddetti test, infatti, devono possedere specifici requisiti, quali ad esempio un elevato grado di reputazione, nonché idonea e certificata esperienza in tema di gestione del rischio (art. 27).

 

Obblighi e responsabilità

Gli obblighi e responsabilità derivanti dal Dora non hanno solo impatti di natura tecnico-fattuale ma coinvolgono anche la fase di negoziazione contrattuale e stipulazione dell’accordo fra i soggetti interessati.

A testimonianza di ciò, infatti, l’art. 30 enuclea le clausole minime che devono essere previste nei contratti fra i fornitori di servizi TIC e le entità finanziarie interessate alle loro prestazioni, tra cui compaiono quelle atte a prevedere una descrizione chiara ed esaustiva della gestione della sicurezza dei dati (compresi quelli personali) e dei livelli di servizio. Inoltre, altre è imposto l’obbligo per il fornitore terzo di servizi TIC di prestare, alle entità finanziarie, assistenza senza costi aggiuntivi o a un costo stabilito ex ante in caso di incidente connesso al servizio TIC fornito all’entità finanziaria. Rilevanti, inoltre, in termini di adempimenti ad essi correlati, sono gli obblighi di monitoraggio delle prestazioni offerte dai fornitori di servizi TIC, la predisposizione di misure, strumenti e politiche per la sicurezza della fornitura delle TIC, nonché la partecipazione dei fornitori terzi di servizi TIC ai programmi di sensibilizzazione sulla sicurezza delle tecnologie stesse.

business continuity DORAA corredo degli stringenti obblighi contrattuali sopra illustrati e valevoli per gli operatori di settore, è stato emanato il Regolamento (UE) 2024/1773, riguardante le politiche cui i soggetti DORA devono attenersi per l’utilizzo delle TIC. Specificatamente, ai sensi dell’art. 8 del summenzionato Regolamento, le entità finanziarie hanno il diritto di ottenere informazioni ed effettuare ispezioni, test ed audit sulle soluzioni TIC (per il tramite sia di soggetti interni che esterni, purché con adeguate garanzie di indipendenza), pur mantenendo un margine di discrezionalità che permette loro di applicare ulteriori misure ritenute opportune.

A completamento del quadro normativo è intervenuto anche il legislatore italiano con il D. Lgs. 23/2025 che, novando precedenti impianti legislativi (quali il TUF e il TUB), ha introdotto elevate sanzioni amministrative per tutti quei soggetti DORA che ne violano le prescrizioni. Tra i diversi interventi è da segnalare come l’art. 144 comma 8-bis lett. a) del TUB preveda, nel testo novato, che alle banche e intermediari finanziari si applichi una sanzione a partire da 30.000 euro fino al 10% del fatturato, mentre, ai sensi della lett. b) del medesimo comma, agli istituti di pagamento e di moneta elettronica si applica una sanzione da 30.000 fino a 5 milioni di euro ovvero fino al 10% del fatturato se superiore. Le stesse sanzioni trovano applicazione, in modo speculare, anche nei riguardi dei rispettivi fornitori di servizi TIC. Infine, è doveroso osservare come l’art. 144-ter del TUB preveda che, laddove vi sia una violazione “…di doveri propri o dell’organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della società”, venga comminata una sanzione da 5.000 fino 5 milioni di euro nei confronti dei “soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale”.

 

Conclusioni sul DORA

In conclusione, il DORA, quale lex specialis della NIS 2, si inserisce in un quadro normativo estremamente complesso volto a “garantire la coerenza con le strategie di cibersicurezza adottate dagli Stati membri” (considerando 16), a completamento delle riforme statali intervenute post 2008 atte a rafforzare la resilienza digitale del settore finanziario dell’Ue.  Al contempo, il Regolamento innova profondamente il quadro normativo previgente attraverso il riconoscimento del ruolo essenziale svolto dai servizi TIC nel settore finanziario, il cui elevato livello di interconnessione “potrebbe costituire una potenziale vulnerabilità sistemica dal momento che incidenti informatici localizzati potrebbero rapidamente diffondersi” (considerando 3). Tale cambio di prospettiva si può apprezzare, a livello europeo, nella previsione di particolari obblighi e cautele particolarmente analitiche che incidono, in un’ottica di prevenzione, anche sulle clausole contrattuali tra i fornitori dei servizi TIC e le entità finanziarie, influenzando le dinamiche negoziali nonché diritti ed obblighi delle parti coinvolte.

 

 

Gli autori

Federica Lucrezia Romeo, laureata in Giurisprudenza presso l’Università “La Sapienza” di Roma con una tesi in diritto penale dal titolo “Nesso di rischio ed interruzione del rapporto causale nella più recente evoluzione giurisprudenziale”, con la quale ha ottenuto un Tirocinio presso la Procura della Repubblica di Frosinone. In precedenza, ha svolto la professione legale ed attualmente ricopre il ruolo di Legal Specialist in Telsy.

Erica Onorati, laureata in Giurisprudenza all’Università LUISS Guido Carli di Roma con una tesi in diritto civile intitolata “Le clausole di rinegoziazione”, incentrata sull’analisi e sull’applicabilità della rinegoziazione in materia contrattuale. Ha poi conseguito un Executive Master presso il Sole 24 Ore Business School in Cybersecurity e Data Protection, avente ad oggetto l’analisi delle strategie per proteggere gli asset aziendali e prevenire i rischi informatici. Specializzata nel profilo di diritto civile, ha approfondito temi legati alla responsabilità contrattuale ed extracontrattuale e al diritto societario e commerciale. Dopo diverse esperienze maturate in ambito legale in contesti aziendali come giurista d’impresa, attualmente ricopre il ruolo di Legal Supervisor in Telsy, con un focus incentrato sulla gestione della contrattualistica d’impresa, sulla consulenza legale fornita alle linee di business coinvolte nei vari settori di operatività aziendale, sulle operazioni straordinarie e sulla segreteria societaria.

Niccolò Francesco Terracciano, studente di Giurisprudenza presso l’Università LUISS Guido Carli di Roma, ha maturato esperienza in associazioni senza scopo di lucro, avendo modo di approfondire le tematiche relative al diritto commerciale e alla consulenza d’impresa. Attualmente, ricopre il ruolo di Legal Specialist in Telsy dove sta sviluppando in ambito aziendale le conoscenze teoriche apprese durante il percorso di studi in materia di diritto civile, societario e delle nuove tecnologie.

2