Rischi informatici nel settore finanziario: strumenti di prevenzione e resilienza operativa digitale
1. Stabilità del settore finanziario e rischi “di nuovo genere” nel paradigma delle c.d. twin transitions. – 2. Prevenzione e gestione dei rischi informatici nel quadro normativo europeo: il Regolamento sulla resilienza operativa digitale (DORA). – 3. Resilienza operativa digitale e corporate governance delle entità finanziarie. – 4. Asimmetrie negoziali, dipendenza tecnologica e conformazione del contratto nel mercato dei servizi TIC per il settore finanziario. – 5. (Segue) Squilibrio negoziale e competenze tech dell’organo di gestione. – 6. Supervisione diretta delle ESAs sui fornitori “critici” di servizi TIC. – 7. Flussi informativi esterni e strumenti di cooperazione (cross-settoriale) tra autorità e operatori del settore finanziario. – 8. Meccanismi di condivisione di informazioni sulle minacce cyber tra entità finanziarie al vaglio del diritto antitrust. – 9. Riflessioni conclusive.
Il presente contributo analizza gli strumenti normativi tesi a prevenire e affrontare i rischi informatici nel settore finanziario. Viene esaminata, in particolare, la normativa europea in materia di resilienza operativa digitale delle entità finanziarie, introdotta mediante il Regolamento (UE) 2022/2554 (c.d. DORA), che stabilisce obblighi – di imminente applicazione – per le entità finanziarie e i fornitori critici di servizi TIC, affrontando questioni relative alla governance degli intermediari, agli accordi contrattuali intercorrenti tra questi ultimi e i fornitori di servizi informatici, alla condivisione di informazioni relative ai rischi cyber nel settore finanziario e allo svolgimento dell’attività di vigilanza. Lo studio mira a valutare l’efficacia delle misure predisposte dal legislatore europeo, verificando se e in quale misura gli strumenti approntati consentono di far fronte alle principali criticità rilevate in materia di rischi informatici e a garantire la resilienza operativa digitale delle entità finanziarie e, in ultima istanza, la stabilità del sistema finanziario.
This paper analyzes the regulatory tools aimed at preventing and addressing cyber risks in the financial sector. In particular, it examines European rules on the digital operational resilience of financial entities, introduced through the so-called DORA Regulation (Regulation EU no. 2022/2554), which sets out obligations – soon to come into effect – for financial entities and critical ICT service providers. It addresses issues related to the governance of financial entities, contractual agreements between financial entities and ICT service providers, information sharing on cyber risks in the financial sector and supervisory activities. The study aims to assess the effectiveness of the measures established by the European legislator, investigating whether and to what extent these tools help address key issues related to cyber risks and ensure the digital operational resilience of financial entities, ultimately contributing to the stability of the financial system.