Insight | 05.12.2024

DORA: il framework di gestione dei rischi informatici per fornitori di servizi di crowdfunding

Gestione dei rischi informatici, segnalazione degli incidenti, contratti con fornitori di servizi TIC e registro degli accordi contrattuali, ecco i principali obblighi del Regolamento DORA


Marketing & Communication
marketing@lcalex.it

In vista dell’entrata in vigore del Regolamento Digi­tal Operation Resilience Act (DORA) a partire dal prossimo 17 gennaio, riteniamo utile fare chiarezza sui principali obblighi previsti per i fornitori di servizi di crowdfunding. L’obiettivo di DORA, infatti, è quello di garantire un livello uniforme di resilienza operativa digi­tale, stabilendo regole precise in merito alla sicurezza dei sistemi informatici e delle reti che supportano i processi delle entità finanziarie.

I principali obblighi sono i seguenti:

  1. Gestione dei rischi informatici: è richiesto che le en­tità predispongano un quadro di gestione e control­lo interno (“Framework”) in grado di garantire una gestione prudente ed efficace dei rischi informatici.
  2. Segnalazione degli incidenti: le autorità competenti devono essere informate in caso di incidenti gravi le­gati alle tecnologie informatiche e di rete (TIC). Inol­tre, è prevista la possibilità di segnalare volontaria­mente eventuali minacce informatiche significative.
  3. Contratti con fornitori di servizi TIC: vengono stabiliti obblighi riguardanti gli accordi contrattuali tra le en­tità finanziarie e i fornitori terzi di servizi tecnologici.
  4. Registro degli accordi contrattuali: è necessario man­tenere un registro delle informazioni relative a tutti gli accordi stipulati con fornitori di servizi ICT terzi.

È importante sottolineare che DORA prevede un regime semplificato per gli intermediari di piccole dimensioni, come stabilito dall’articolo 16, comma 1 del regolamento, ma i fornitori di servizi di crowdfunding non rientrano tra questi soggetti.

Per garantire una corretta applicazione del regolamento, quest’ultimo prevede l’applicazione del principio di pro­porzionalità, ai sensi del quale si deve tenere conto delle dimensioni, del profilo di rischio, e della complessità dei servizi e delle attività svolte da ciascun soggetto obbliga­to. Pertanto, gli intermediari di dimensioni più piccole o con minori interconnessioni con il sistema, dovranno co­munque rispettare gli obblighi, ma in maniera meno rigi­da e stringente.

Un aspetto importante per i fornitori di servizi di crowdfunding è rappresentato dagli esoneri previsti per le “microimprese”, ossia per quelle entità che occupano meno di 10 persone e che non superano i 2 milioni di euro di fatturato o totale di bilancio annuo, tra i quali rientra, attualmente, un numero significativo di fornitori di crowdfunding.

Per quanto riguarda il primo obbligo, relativo alla ge­stione dei rischi informatici (punto a), il Consiglio di Amministrazione è incaricato di definire e approvare il Framework e pertanto i suoi membri devono ricevere for­mazione continua per comprendere i rischi informatici e valutarne l’impatto sulle operazioni.

Il Framework deve includere strategie, politiche, proce­dure, protocolli e strumenti necessari per proteggere ade­guatamente tutti i beni informatici e le risorse TIC, com­prese infrastrutture, software, hardware, server, e le aree sensibili come i centri di elaborazione dati. L’obiettivo è garantire che queste risorse siano protette da rischi come danni, accessi non autorizzati o usi impropri.

Consulta il documento completo qui sotto.

DOWNLOAD PDF
Equity Partner
Umberto Piattelli
Senior Associate
Sofia Caruso
Trainee
Gaia Rulli

Marketing & Communication
marketing@lcalex.it

Banking, Finance & Regulatory

LCA assiste istituzioni finanziarie, fondi di investimento, sponsor e società nella strutturazione, negoziazione ed esecuzione di un ampio spettro di operazioni di finanziamento, sia domestiche che internazionali, e di finanza strutturata, ivi incluso l’emissione di prestiti obbligazionari e cartolarizzazioni di crediti performing e non performing.
LINK

Potrebbe interessarti anche

09.09.2025
La responsabilità dell’intermediario finanziario nella esecuzione dei bonifici

Verifica obbligatoria dell’intestatario IBAN: dal 9 ottobre 2025 nuove responsabilità per i PSP secondo il Regolamento UE 2024/886.

04.09.2025
Alcune osservazioni sullo schema di decreto legislativo di recepimento della nuova ...

Recepimento della Direttiva CCD2: nuove tutele per i consumatori, regole più stringenti per il credito al consumo e disciplina aggiornat ...

01.07.2025
LCA con FBS nella cessione di crediti NPL e UTP da parte di Banca Popolare di Sond ...

Banca Popolare di Sondrio ha ceduto un portafoglio di crediti deteriorati per 197,6 milioni di euro tramite cartolarizzazione con Platin ...