A partire dal 17 gennaio 2025, in applicazione del Regolamento UE 2022/2554 – Digital Operational Resilience Act (DORA) e le norme tecniche di regolamentazione da esso derivanti, tutti i fondi di previdenza complementare dovranno adeguarsi alle nuove regole.
Il fondo sarà l’unico responsabile della conformità a quanto previsto dalla legge, anche se potrà farsi assistere da società e/o professionisti esperti in materia.
Vediamo in dettaglio cosa questo comporta sia per l’organizzazione del fondo che per il lavoratore socio, che ha scelto la previdenza complementare come sua principale forma di risparmio per il futuro.
Cosa è DORA
Il Regolamento DORA, in buona sostanza, mira a garantire la resilienza operativa delle entità finanziarie, obbligandole ad identificare e gestire i rischi operativi e a adottare misure per prevenire e mitigare le minacce informatiche e le violazioni dei dati.
L’impianto del nuovo regolamento si aggiunge alle diverse normative esistenti in materia, sia a livello europeo che italiano (per queste ultime, per esempio il perimetro di sicurezza nazionale cibernetica, la circolare 285 di Banca Italia, la normativa Ivass).
Le società finanziarie non conformi, oltre al rischio in sé, possono incorrere in multe fino a 10 milioni di euro o al 5% del loro fatturato annuo totale.
L’ambito di applicazione Dora è molto esteso e riguarda banche, società di investimento e istituti di credito, intermediari assicurativi, fornitori terzi di servizi ITC ed anche enti pensionistici aziendali o professionali.
I principali adempimenti per il fondo
Gli obblighi per i fondi possono essere riassunti nei seguenti 5 pilastri (cercando di non essere troppo tecnici, anche nel linguaggio):
- Gestione dei rischi ICT
- Gestione degli incidenti ICT: classificazione e notifica
- Test di resilienza operativa digitale: obblighi di eseguire specifiche prove
- Gestione dei rischi ICT derivanti da terze parti: regole per monitorare ed avere un quadro preciso di supervisione dei fornitori terzi critici di servizi informatici
- Condivisione delle informazioni: scambio volontario di informazioni e indagini sulle minacce cyber.
L’acronimo ICT sta per Information and communications technology, l’insieme dei metodi e delle tecniche utilizzate nella trasmissione, ricezione ed elaborazione di dati e informazioni, tecnologie digitali comprese.
In altre parole, si tratta di prevedere un quadro di governance e di organizzazione interna della sicurezza informatica (responsabilità, processi, controlli interni), configurando un piano per la gestione dei suoi rischi e definendo una strategia di resilienza digitale, per assicurare business continuity e disaster recovery.
La complessa normativa prevede infine di classificare gli incidenti informatici, creando un sistema di segnalazione degli stessi, ed effettuare specifici test, anche di simulazione di attacchi cibernetici.
I fondi di previdenza complementare sono in subbuglio e stanno organizzando tutte le attività che assicurino il rispetto della nuova normativa, a partire dall’organizzazione interna: sotto questo punto di vista la scelta sembra essere rivolta a creare una funzione di controllo, affidata all’esterno, per garantire tutte le competenze tecniche necessarie alla complessa macchina imposta dalla direttiva europea, visto che ovviamente, nella maggior parte dei casi, non esistono strutture interne con professionalità di questo tipo.
Rimane comunque fondamentale che gli organi apicali del fondo e i suoi dipendenti conoscano e siano aggiornati rispetto alla normativa; ed è per questo motivo che, tra i primi adempimenti connessi al puntuale rispetto del Dora, ci siano specifici momenti formativi, utili anche ad acquisire la consapevolezza dei rischi.
Tre quindi sono i primissimi adempimenti che dovranno essere svolti dai fondi prima del 17 gennaio 2025:
- adeguare la propria governance
- verificare ed implementare il sistema di risk management al nuovo contesto
- predisporre adeguati piani di formazione per tutti gli operatori
Perché la norma: i vantaggi per il lavoratore associato
Il fine ultimo della nuova normativa è quella di tutelare i risparmi degli iscritti ai fondi da attacchi informatici.
Nel corso degli ultimi anni, come noto, sono diventati sempre più frequenti casi di hackeraggio, in qualche caso clamorosi, che sono arrivati a bloccare per esempio i sistemi informatici della regione Lazio o hanno causato il blocco della biglietteria di Trenitalia o di qualche compagnia aerea.
Il cyber – risk è sicuramente diventato uno dei pericoli operativi più importanti anche per i fondi di previdenza complementare.
In realtà, ovviamente, già la precedente normativa IORP 2 aveva imposto una prima valutazione interna del rischio. Con il DORA si tratta di far diventare sistema e di focalizzare ancora di più quello che a tutti gli effetti, non più soltanto per il mondo della previdenza complementare, è la minaccia più importante del prossimo futuro.
Il lavoratore iscritto alla previdenza complementare, quindi, sarà ancora più tutelato rispetto alla gestione informatica dei suoi dati, sia quelli relativi alla persona, che quelli delle singole posizioni individuali del capitale risparmiato.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link