DORA e incidenti ICT: Banca d’Italia fissa al 30 giugno 2026 il primo invio delle stime di costi e perdite
La resilienza operativa digitale entra sempre più nella dimensione ordinaria della vigilanza, della governance e dei controlli interni degli intermediari finanziari.
Con comunicazione pubblicata il 22 maggio 2026, la Banca d’Italia ha fornito indicazioni sulla trasmissione delle stime dei costi e delle perdite annuali aggregati causati da gravi incidenti ICT, nell’ambito del Regolamento UE 2022/2554, noto come DORA – Digital Operational Resilience Act.
Il Regolamento DORA prevede che le entità finanziarie, diverse dalle microimprese, comunichino alle Autorità competenti, su richiesta di queste ultime, una stima dei costi e delle perdite annuali aggregati derivanti da incidenti gravi connessi alle tecnologie dell’informazione e della comunicazione.
In coerenza con tale quadro, la Banca d’Italia richiede agli intermediari direttamente vigilati di trasmettere annualmente, su base consolidata, tali informazioni entro il 31 maggio. Limitatamente al primo anno di applicazione, la scadenza è stata posticipata al 30 giugno 2026.
La comunicazione riguarda un passaggio di particolare rilievo operativo: non si tratta soltanto di raccogliere dati tecnici sugli incidenti informatici, ma di rappresentare in modo strutturato l’impatto economico degli eventi ICT gravi, collegando la gestione del rischio digitale alla misurazione delle conseguenze organizzative, patrimoniali e operative.
Il tema interessa direttamente le funzioni di compliance, risk management, internal audit, ICT risk, sicurezza informatica, continuità operativa e gestione dei fornitori tecnologici.
Secondo le indicazioni pubblicate sul sito della Banca d’Italia, le segnalazioni devono essere effettuate tramite la piattaforma INFOSTAT. Le informazioni operative si applicano a una platea ampia di soggetti vigilati, tra cui banche, imprese di investimento, gestori, istituti di pagamento, istituti di moneta elettronica, emittenti di token collegati ad attività, prestatori di servizi per le cripto-attività, fornitori di servizi di crowdfunding, Cassa Depositi e Prestiti e Poste Italiane per l’attività di Bancoposta.
Per gli intermediari, l’adempimento conferma la necessità di un presidio integrato del rischio ICT. La rilevazione dei costi e delle perdite richiede infatti processi interni capaci di collegare incident reporting, classificazione degli eventi, valutazione degli impatti, tracciabilità delle evidenze e coinvolgimento delle funzioni aziendali competenti.
La gestione degli incidenti ICT non può quindi essere letta come un’attività esclusivamente tecnica. Nell’impianto DORA, la resilienza digitale diventa parte del sistema complessivo di governo dei rischi, con impatti sulla responsabilità degli organi aziendali, sull’organizzazione dei controlli interni e sulla capacità dell’intermediario di assicurare continuità operativa anche in presenza di eventi critici.
La scadenza del 30 giugno 2026 rappresenta, per il primo anno, un banco di prova significativo per la qualità dei presidi adottati dagli operatori vigilati e per la loro capacità di trasformare gli obblighi DORA in processi strutturati, documentati e verificabili.
Potrebbe interessare anche
CONSOB: nuova soglia per l’internal dealing e semplificazioni per prospetti e offerte pubbliche
20 Maggio 2026
