Banca d’Italia, con atto di emanazione del 03 febbraio 2026, ha pubblicato il 51° aggiornamento della propria Circolare 285 del 17 dicembre 2013, con le disposizioni di vigilanza per le banche, in attuazione del Regolamento (UE) 2022/2554 (DORA) e della Direttiva (UE) 2022/2556 (Direttiva DORA).
Le modifiche sono volte ad assicurare un riordino della disciplina applicabile alla luce delle previsioni del Regolamento DORA e dei rispettivi atti delegati, nonché per attuare l’art. 4 della Direttiva DORA, che modifica la Direttiva 2013/36/UE.
In particolare, sono stati modificati:
- le Disposizioni introduttive
- il Capitolo I “Autorizzazione all’attività bancaria”, della Parte Prima, Titolo I
- nella Parte Prima, Titolo IV:
- il Capitolo 3 “Il sistema dei controlli interni” (con disposizioni di raccordo e aggiornamento)
- il Capitolo 4 “Il sistema informativo”
- il Capitolo 5 “La continuità operativa”.
In sintesi, con le modifiche alla Circolare 285 di Banca d’Italia, in attuazione di Regolamento e Direttiva DORA:
- vengono abrogate le Sezioni del Capitolo 4 su:
- governo del sistema informativo
- gestione del rischio ICT e di sicurezza
- gestione della sicurezza dell’informazione e delle operazioni ICT
- gestione dei progetti e dei cambiamenti ICT
- esternalizzazione del sistema informativo e il ricorso a soggetti terzi per la prestazione di servizi ICT
Al posto di tali Sezioni, viene inserito un rinvio alle previsioni, direttamente applicabili, del Regolamento DORA e dei relativi atti delegati in materia di strumenti, metodi, processi e politiche per la gestione dei rischi informatici, politica relativa agli accordi contrattuali per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti prestati da fornitori terzi di servizi ICT, incidenti ICT e minacce informatiche significative
- la sezione sul sistema di gestione dei dati, non ricompresa nel framework DORA, viene spostata nel capitolo 3 “Il sistema dei controlli interni”
- la sezione sulle disposizioni specifiche in materia di prestazione di servizi di pagamento è oggetto di modifiche che attuano gli Orientamenti EBA dell’11 febbraio 2025 (EBA/GL/2025/02), che hanno abrogato gli Orientamenti EBA sulla gestione dei rischi relativi alle tecnologie ICT (EBA/GL/2019/04), mantenendo esclusivamente i paragrafi relativi alla gestione del rapporto con gli utenti dei servizi di pagamento
- si modifica il Capitolo 5 sui requisiti di continuità operativa applicabili a tutti gli operatori, per dare attuazione alle modifiche della Direttiva DORA alle norme della Direttiva 2013/36/UE sulla continuità operativa e rimuovere le previsioni sulla continuità operativa in ambito ICT, sostituite dalle previsioni direttamente applicabili del Regolamento DORA e dei relativi atti delegati.
Banca d’Italia precisa che l’aggiornamento pubblicato non modifica, per il momento, l’Allegato A, Sezione III, del Capitolo 5 sui requisiti particolari per i processi a rilevanza sistemica, sul quale sono ancora in corso approfondimenti di più ampia portata, in quanto il tema dei requisiti di continuità operativa per i processi a rilevanza sistemica coinvolge anche operatori finanziari diversi dalle banche.
Le modifiche alle disposizioni entreranno in vigore il giorno successivo a quello della pubblicazione sulla Gazzetta Ufficiale e le banche dovranno adeguarsi alle modifiche apportate al Capitolo 5 della Parte Prima, Titolo IV, entro sei mesi dalla data di entrata in vigore dell’aggiornamento.
Le modifiche si applicano anche alle succursali in Italia di banche extracomunitarie, a partire dalla data di entrata in vigore della normativa di attuazione dell’art. 58-quinquies del TUB, come introdotto dal D. Lgs. 208/2025: fino a tale data, alle succursali in Italia di banche extracomunitarie continuano ad applicarsi i Capitoli 3, 4 e 5 della Parte Prima, Titolo IV, della Circolare della Banca d’Italia n. 285/2013 nella versione antecedente al presente aggiornamento.
