In vista dell’entrata in vigore del Regolamento Digital Operation Resilience Act (DORA) a partire dal prossimo 17 gennaio, riteniamo utile fare chiarezza sui principali obblighi previsti per i fornitori di servizi di crowdfunding. L’obiettivo di DORA, infatti, è quello di garantire un livello uniforme di resilienza operativa digitale, stabilendo regole precise in merito alla sicurezza dei sistemi informatici e delle reti che supportano i processi delle entità finanziarie.
I principali obblighi sono i seguenti:
- Gestione dei rischi informatici: è richiesto che le entità predispongano un quadro di gestione e controllo interno (“Framework”) in grado di garantire una gestione prudente ed efficace dei rischi informatici.
- Segnalazione degli incidenti: le autorità competenti devono essere informate in caso di incidenti gravi legati alle tecnologie informatiche e di rete (TIC). Inoltre, è prevista la possibilità di segnalare volontariamente eventuali minacce informatiche significative.
- Contratti con fornitori di servizi TIC: vengono stabiliti obblighi riguardanti gli accordi contrattuali tra le entità finanziarie e i fornitori terzi di servizi tecnologici.
- Registro degli accordi contrattuali: è necessario mantenere un registro delle informazioni relative a tutti gli accordi stipulati con fornitori di servizi ICT terzi.
È importante sottolineare che DORA prevede un regime semplificato per gli intermediari di piccole dimensioni, come stabilito dall’articolo 16, comma 1 del regolamento, ma i fornitori di servizi di crowdfunding non rientrano tra questi soggetti.
Per garantire una corretta applicazione del regolamento, quest’ultimo prevede l’applicazione del principio di proporzionalità, ai sensi del quale si deve tenere conto delle dimensioni, del profilo di rischio, e della complessità dei servizi e delle attività svolte da ciascun soggetto obbligato. Pertanto, gli intermediari di dimensioni più piccole o con minori interconnessioni con il sistema, dovranno comunque rispettare gli obblighi, ma in maniera meno rigida e stringente.
Un aspetto importante per i fornitori di servizi di crowdfunding è rappresentato dagli esoneri previsti per le “microimprese”, ossia per quelle entità che occupano meno di 10 persone e che non superano i 2 milioni di euro di fatturato o totale di bilancio annuo, tra i quali rientra, attualmente, un numero significativo di fornitori di crowdfunding.
Per quanto riguarda il primo obbligo, relativo alla gestione dei rischi informatici (punto a), il Consiglio di Amministrazione è incaricato di definire e approvare il Framework e pertanto i suoi membri devono ricevere formazione continua per comprendere i rischi informatici e valutarne l’impatto sulle operazioni.
Il Framework deve includere strategie, politiche, procedure, protocolli e strumenti necessari per proteggere adeguatamente tutti i beni informatici e le risorse TIC, comprese infrastrutture, software, hardware, server, e le aree sensibili come i centri di elaborazione dati. L’obiettivo è garantire che queste risorse siano protette da rischi come danni, accessi non autorizzati o usi impropri.
Consulta il documento completo qui sotto.
DOWNLOAD PDF