Il Regolamento delegato 2025/532 integra il Regolamento DORA in materia di gestione del rischio che, in combinazione con l’art. 45, che disciplina la condivisione delle informazioni nel sistema finanziario, mira a rafforzare la rete di scambio per tutelare gli enti da minacce informatiche.

Nella Gazzetta Ufficiale dell’Unione europea del 2 luglio 2025 è stato pubblicato il Regolamento delegato 2025/532, che integra il Regolamento DORA (Digital Operational Resilience Act) con le norme tecniche di regolamentazione (RTS) per la gestione del rischio ICT nel settore finanziario.
A disciplinare lo scambio di informazioni e analisi in relazione alle minacce informatiche troviamo invece l’art. 45, fondamentale in materia di resilienza digitale e GDPR.

In che modo il Regolamento delegato disciplina la gestione dei rischi?

In vigore dal 22 luglio 2025, il provvedimento disciplina le norme tecniche relative alla gestione dei rischi derivanti dal subappalto dei servizi ICT.
Le principali novità riguardano:

• una mappatura completa della catena di subappalto;
• una contrattualizzazione maggiormente strutturata;
• maggiori responsabilità in corso di verifica.

Nel caso della mappatura, le entità finanziarie devono gestire l’intera catena di subfornitura, verificando i possibili fornitori critici, nonché i rischi in merito alla localizzazione e continuità del servizio.
I contratti con i fornitori terzi devono prevedere clausole di risoluzione qualora vengano individuate violazioni sostanziali, nonché obblighi di comunicazione per qualsiasi servizio subappaltabile e obbligo relativo ai piani operativi di emergenza.
Infine, in materia di responsabilità (accountability), il provvedimento impone la valutazione di potenziali ostacoli all’esercizio dei diritti di audit, ispezione e accesso da parte delle Autorità competenti. Oltre a questo, il Regolamento prevede che l’entità debba disporre di risorse finanziarie adeguate, umane e tecniche per il monitoraggio continuo dei rischi informatici in relazione ai servizi subappaltati.

Cosa prevede l’art. 45 DORA

Le crescenti minacce informatiche e la digitalizzazione in ambito finanziario hanno reso necessario un intervento mirato a garantire una maggiore tutela dei dati. A fronte dell’assenza di un quadro normativo uniforme, l’art. 45 si inserisce in tale contesto, promuovendo la condivisione di informazioni (information sharing) tra le diverse entità finanziarie.
L’obiettivo è quello di rafforzare i meccanismi volontari di scambio delle informazioni e analisi, tutelando le entità finanziarie da possibili minacce informatiche attraverso una risposta collettiva e rapida, che contenga potenziali eventi dannosi. 
Perché gli scambi reciproci e su base volontaria siano possibili, occorre che vengano rispettati tre presupposti. In base a quanto si legge al comma 1 dell’art. 45, l’attività:

• deve mirare a consolidare la resilienza operativa digitale;
• deve essere regolata da meccanismi di information sharing, disciplinati da norme in linea con quanto previsto dal GDPR, e rispettose della riservatezza dell’attività economica e delle policy in materia di concorrenza;
• deve essere svolta entro “comunità fidate” di entità finanziarie, le cui relazioni siano solide e il rapporto sia basato su fiducia reciproca. 

Art. 14 DORA, la comunicazione delle crisi

In rapporto di complementarietà con l’art. 45, che stabilisce uno scambio orizzontale di conoscenze tra le diverse entità finanziarie, l’art. 14 prevede invece obblighi verticali di comunicazione verso stakeholder interni ed esterni.
La normativa stabilisce l’elaborazione di piani di comunicazione delle crisi e la definizione di politiche interne per la comunicazione di incidenti legati a tecnologie dell’informazione e della comunicazione (TIC).
I piani di crisi sono destinati a svolgere una funzione di efficace comunicazione nei confronti di clienti, autorità, media e controparti. Le politiche interne, al contrario, si rivolgono ai dipendenti, distinguendo tra chi è coinvolto direttamente nella gestione ICT e gli altri dipendenti.

Un confronto tra i due articoli

In entrambi i casi l’obiettivo è quello di consolidare la resilienza collettiva, seppur con sistemi diversi. 
Se l’art. 45 basa la sua comunicazione su una logica volontaria, con informazioni scambiate reciprocamente sul presupposto fiduciario, l’art. 14 fonda la sua comunicazione su una base obbligatoria e unilaterale.
Un’altra differenza sostanziale riguarda l’organizzazione: mentre l’art. 14 prevede almeno un responsabile della comunicazione, l’art. 45 lascia alle entità la strutturazione di regole di partecipazione volontaria.
In ogni caso, per entrambi vale l’applicazione del cosiddetto principio di security by transparency, che riguarda la divulgazione di informazioni chiare e dettagliate sulla loro gestione dei rischi operativi e informatici, incidenti inclusi. 

Information sharing e l’equilibrio con il GDPR

Le informazioni, che possono contenere dati sensibili (e-mail, indirizzi IP etc.), devono essere bilanciate con quanto previsto dal Regolamento generale sulla protezione dei dati (GDPR). Alla base di tutto vi è l’art. 6 GDPR che, in combinazione con quanto stabilito dal Considerando (34) DORA e il Considerando (121) della Direttiva (UE) 2022/2555 (cd. “NIS2”), contempla:

• un obbligo legale nei casi di condivisioni previste a livello UE o a livello nazionale;
• l’interesse pubblico nei casi in cui lo scambio di informazioni è utile per garantire una maggiore tutela dei sistemi finanziari;
• il legittimo interesse del titolare del trattamento, unito a misure e strumenti considerati idonei.

In generale, per ridurre i rischi al minimo, gli enti dovrebbero sempre favorire l’uso di tecniche di anonimizzazione e pseudoanonimizzazione, con dati cifrati o dalla non facile identificazione.
A cause delle crescenti minacce gli operatori finanziari si trovano davanti a sfide sempre più impegnative. I meccanismi del regolamento DORA possono aiutarli nella costruzione di una resilienza digitale condivisa, sperimentando metodi via via più efficaci e sicuri.