EBA, con Q&A n. 7613/2025, ha chiarito se i singoli episodi di phishing che prendono di mira i clienti di un’entità finanziaria nella loro “sfera privata” possono essere ricompresi nella definizione di incidente connesso alle ICT di cui all’art. 3 n. 8 di DORA e possono quindi costituire un incidente ICT grave che debba essere segnalato ai sensi dell’art. 19, par. 1 del Regolamento.
La questione riguarda la categorizzazione di un episodio di phishing come incidente ICT in situazioni in cui l’episodio di phishing è diretto contro i clienti di entità finanziarie nella loro “sfera privata”, ad esempio quando il cliente clicca su un link di phishing nella sua casella di posta elettronica privata o inserisce le proprie credenziali su una “homepage di phishing” dell’entità finanziaria.
Affinché singoli episodi di phishing che prendono di mira i clienti di un ente finanziario possano essere considerati incidenti correlati alle ICT, dovrebbero innanzitutto soddisfare la definizione di incidente ICT grave (artt. 3, par. 8 e 10 di DORA): pertanto, tali incidenti dovrebbero compromettere la sicurezza della rete e dei sistemi informativi.
Tuttavia, la formulazione dell’art. 3, par. 8 di DORA non chiarisce se tale compromissione debba essere diretta contro gli enti finanziari stessi o se possano essere interessati anche i clienti dell’ente finanziario.
Secondo l’istante, gli ulteriori criteri per la valutazione di un incidente grave correlato alle ICT previsti dal Regolamento Delegato (UE) 2024/1772 non forniscono attualmente chiarezza, poiché il rapporto tra l’art. 6 del Regolamento Delegato (UE) 2024/1772 e la definizione di cui all’art. 3 di DORA non appare chiaro.
Peraltro, tra le autorità di vigilanza nazionali, la valutazione di questi incidenti di phishing viene gestita in modo diverso: il quesito sottoposto mira pertanto a garantire la certezza del diritto nell’interpretazione della norma citata, nonché l’uniformità e la comparabilità delle segnalazioni di incidenti gravi correlati alle ICT.
L’istante sottolinea infine che un obbligo di segnalazione in questi casi comporterebbe un notevole onere aggiuntivo per le entità finanziarie a causa dell’elevato numero di incidenti di phishing: quasi tutti sarebbero soggetti a segnalazione in quanto le soglie di rilevanza di cui all’art. 8, par. 1, lett. a) e all’art. 9, par. 5, lett. a), del Regolamento Delegato (UE) 2024/1772 sono rispettate.
In tale contesto, il requisito di cui all’art. 1, lett. b) del Regolamento Delegato (UE) 2024/1772 sarà regolarmente soddisfatto: tale requisito concerne una possibile perdita di dati in caso di accesso riuscito, malevolo e non autorizzato (ad esempio se il cliente clicca su un link di phishing nella sua casella di posta elettronica privata e quindi l’autore della minaccia ottiene l’accesso all’account del cliente).
È discutibile se ciò sia in linea con l’idea di ridurre gli oneri amministrativi, come affermato, ad esempio, nel considerando 23 di DORA.
EBA chiarisce che quando un incidente di phishing nella sfera privata del cliente non influisce direttamente sui servizi forniti dall’ente finanziario (o tramite uno qualsiasi dei fornitori terzi dell’ente finanziario), non si qualifica come “incidente correlato alle TIC” o “incidente operativo o correlato ai pagamenti di sicurezza” ai sensi di DORA.
Pertanto, in tal caso, non può far scattare le soglie per essere considerato un incidente correlato alle ITC grave e il relativo obbligo di segnalazione.
Al contrario, se l’ente finanziario stesso viene preso di mira e subisce un’intrusione, ad esempio tramite e-mail di phishing inviate ai dipendenti, o nel caso in cui una campagna di phishing su larga scala finisca per compromettere i servizi dell’ente finanziario, l’incidente può essere qualificato come incidente ICT ai sensi di DORA.
Nella misura in cui questo incidente ICT raggiunge le soglie pertinenti, può essere classificato come incidente ICT grave.
