FinTechProposta di Regolamento del Parlamento Europeo e del Consiglio relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014 e (UE) n. 909/2014 (COM(2020) 595 final)
Anche questa proposta di regolamento rientra tra le iniziative indicate nella strategia della Commissione Europea per i prossimi quattro anni in materia di finanza digitale, di cui alla Comunicazione del 24 settembre 2020 (supra sub 4), e si basa sulla consapevolezza che la digitalizzazione e la resilienza operativa del settore finanziario sono aspetti interconnessi e che le disposizioni esistenti in materia di servizi finanziari non hanno affrontato compiutamente ed in maniera armonizzata i rischi connessi alle tecnologie digitali, o tecnologie dell’informazione e della comunicazione (TIC).
Al fine di ovviare a questo carente quadro disciplinare e consentire una più coerente interazione con la direttiva NIS, si promuove l’introduzione di un quadro generale per tutti gli aspetti della resilienza operativa digitale del settore finanziario.
In linea con questo obiettivo l’ambito di applicazione soggettivo del proposto regolamento è estremamente ampio e si associa alla previsione di un approccio differenziato a secondo delle dimensioni del soggetto obbligato.
Nello specifico, sono previsti una serie di obblighi uniformi in relazione alla sicurezza delle reti e dei sistemi informativi che sostengono i processi commerciali delle entità finanziarie, anche laddove forniti da terzi. Si tratta di oneri gestionali di prevenzione e monitoraggio mediante l’effettuazione periodica di test di resilienza operativa digitale, nonchè di controllo, tempestiva rimozione e segnalazione alle autorità competenti degli “incidenti gravi” connessi alle TIC. Il regolamento definisce come tali un evento imprevisto, derivante o meno da attività dolose, che comprometta la sicurezza delle informazioni trattate, conservate o trasmesse, o che abbia effetti pregiudizievoli potenzialmente elevati sulla disponibilità, la riservatezza, la continuità o l’autenticità dei servizi finanziari forniti dall’entità finanziaria e specificatamente sulle sue funzioni critiche.
Le entità finanziarie sono chiamate, sotto la minaccia di eventuali conseguenze sanzionatorie, ad approvare un apposito quadro di gestione dei rischi relativi alle TIC, che deve prevedere le strategie, le procedure, gli strumenti e i protocolli necessari per proteggere adeguatamente ed efficacemente tutte le pertinenti infrastrutture e componenti fisiche, nonché tutti i locali, i centri di dati e le aree designate come sensibili.
Per le violazioni del regolamento proposto è richiesta l’adozione da parte degli Stati membri di norme che prevedano adeguate sanzioni amministrative irrogabili dalle autorità di vigilanza e misure di riparazione.
È in ogni caso fatta salva la possibilità di ricorso alla sanzione penale, con l’ulteriore prescrizione che, laddove lo Stato membro opti per questa possibilità, debba prevedere forme di dialogo e cooperazione tra le autorità competenti e le autorità giudiziarie.