Con l'introduzione della DORA, applicabile dal 17 gennaio 2025, finalizzata a consolidare e aggiornare i requisiti in materia di rischi informatici nell’ambito dei requisiti in materia di rischi operativi in ambito finanziario, le imprese di assicurazione e di riassicurazione soggette a Solvency II, nonché gli intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio rilevanti a fini DORA, e dunque che non siano micro o piccole imprese (i.e., numero di dipendenti pari o superiore a 250 e fatturato annuo superiore a 50 milioni di Euro o un bilancio annuo superiore a 43 milioni di Euro) sono tenute alle comunicazioni annuali di cui all'art. 28 del citato Regolamento.
In particolare, ai sensi dell'art. 28, co. 3, del DORA, i destinatari di tale disciplina sono tenuti a comunicare, almeno una volta l'anno, alle Autorità competenti: (i) il numero di nuovi accordi per l'utilizzo dei servizi ICT; (ii) le categorie di fornitori terzi di servizi ICT, (iii) il tipo di accordi contrattuali e le funzioni e i servizi ICT acquisiti.
Con la lettera al mercato del 7 marzo 2025 ("Lettera al mercato"), l'IVASS rende noto che, ai sensi dell'art. 3 della Decisione, resa dalle Autorità Europee di Vigilanza in data 8 novembre 2024, tale segnalazione dovrà essere eseguita:
(i) a livello individuale, laddove il segnalante non sia parte di un gruppo finanziario, ovvero se parte di un gruppo finanziario in cui la capogruppo è un'entità incorporata in uno Stato al di fuori dell'Unione europea e non esista una capogruppo nell'Unione europea; (ii) per i gruppi finanziari, al livello più alto di consolidamento nell'Unione europea in base alla competenza delle Autorità stabilita dal DORA (cfr. Art. 46).
L'IVASS ricorda, poi, che, con il Regolamento di Esecuzione 2024/2956 del 29 novembre 2024 la Commissione ha fissato le norme tecniche di attuazione per l'applicazione del DORA con riferimento ai modelli standard per il registro delle informazioni le quali dovranno essere eseguite su base consolidata e sub-consolidata (cfr. Art 6, ITS).
La Lettera al mercato fissa, poi, le modalità tecnico-operative per la trasmissione del registro delle informazioni che dovrà avvenire tramite la survey DORA e sulla piattaforma "Infostat", già in uso per la generalità delle segnalazioni di vigilanza e statistiche. Sul punto vengono definite le modalità di trasmissione e le modalità tecniche di caricamento dei files, che dovrà avvenire in conformità alle istruzioni ed indicazioni operative già fornite dall'Istituto.
Naturalmente, gli intermediari ed i soggetti privi di abilitazione all'utilizzo di tale piattaforma, saranno tenuti ad accreditarsi alla stessa indicando il soggetto delegato alla trasmissione dei dati.
L'IVASS conferma, poi, come l'obbligo di comunicazione diverrà operativo entro l'11 aprile 2025, data di prima scadenza per l'invio dei dati da parte dei soggetti destinatari della normativa al 31 marzo 2025.
