I provvedimenti pubblicati da Banca d’Italia il 3 e 4 febbraio 2026 apportano rilevanti modifiche al Regolamento DORA e alla Direttiva DORA, coinvolgendo numerosi istituti bancari. 

Il 3 e 4 febbraio 2026 Banca d’Italia ha pubblicato due provvedimenti con cui ha apportato delle modifiche al Regolamento DORA 2022/2554 e alla Direttiva DORA 2022/2556. 

Con il provvedimento del 3 febbraio 2026, Banca d’Italia ha reso pubblico il 51° aggiornamento sulla Circolare 285 del 17 dicembre 2013, intervenendo sulle disposizioni di vigilanza per le banche. 

Le modifiche, adottate in attuazione del regolamento DORA e della relativa direttiva europea, hanno come obiettivo quello di armonizzare la disciplina nazionale con le nuove regole sui rischi informatici e sulla sicurezza dei sistemi, attuando l’art. 4 della Direttiva DORA, recante modifiche alla direttiva 2013/36/UE.

A cambiare sono:

• le Disposizioni introduttive;
• il Capitolo I relativo alla “Autorizzazione all’attività bancaria”, della Parte Prima, Titolo I;
• della Parte Prima, Titolo IV:
  • il Capitolo 3 “Il sistema dei controlli interni” (con disposizioni di raccordo e aggiornamento);
  • il Capitolo 4 “Il sistema informativo”;
  • il Capitolo 5 “La continuità operativa”.

Continuità operativa e tempi di adeguamento per le banche

Uno degli elementi più importanti dell’aggiornamento riguarda la continuità operativa, tema centrale nel contesto della resilienza digitale del sistema finanziario. Le modifiche recepiscono infatti le innovazioni introdotte dalla direttiva europea, eliminando disposizioni ormai superate e sostituendole con il riferimento diretto alle norme del regolamento DORA e ai relativi atti delegati. 

La Banca d’Italia ha chiarito che alcune parti della disciplina, in particolare quelle relative ai processi a rilevanza sistemica, non sono state ancora modificate perché oggetto di ulteriori approfondimenti. Ciò dipende dal fatto che tali processi coinvolgono non solo le banche ma anche altri operatori finanziari, rendendo necessario un coordinamento normativo più ampio. 

Per quanto riguarda l’entrata in vigore, le nuove disposizioni risultano applicate dal giorno successivo alla pubblicazione in Gazzetta Ufficiale, mentre le banche avranno sei mesi di tempo per adeguarsi alle modifiche sulla continuità operativa. Le regole si estenderanno anche alle succursali italiane di banche extra-UE, ma solo dopo l’adozione della normativa nazionale di recepimento prevista dal Testo unico bancario. 

Cosa cambia per gli istituti di pagamento e IMEL

Con il provvedimento del giorno successivo, Banca d’Italia rende invece note le novità sulle disposizioni di vigilanza per gli istituti di pagamento (IP) e gli istituti di moneta elettronica (IMEL). 

La nuova disciplina relativa ai sistemi informativi e la gestione sui rischi operativi e di sicurezza modifica diversi punti, tra cui:

• il I Capitolo, in materia di fonti normative e definizioni;
• il VI Capitolo, Sezioni I, II, IV;
• gli Allegati A, B, C, D, E.

Si tratta di importanti cambiamenti che attuano le previsioni del Regolamento DORA e dei relativi atti delegati, nonché l’art. 7 della Direttiva DORA e gli Orientamenti EBA dell’11 febbraio 2025 in materia di gestione dei rischi relativi alle tecnologie dell’informazione e di sicurezza. 

E’ stata altresì prevista l’abrogazione del procedimento amministrativo che vietava l’esternalizzazione di alcune funzioni operative, come i servizi di pagamento o le attività relative ai controlli interni e ai sistemi informativi.

Anche in questo caso le modifiche sono entrate in vigore il giorno successiva alla pubblicazione in Gazzetta Ufficiale.