Lettera al Mercato IVASS n. 31644/2025: Segnalazioni dei Gravi Incidenti Informatici e delle Minacce Informatiche ai sensi del Regolamento UE 2022/2554 (DORA)

Con lettera al mercato n. 31644 del 14.02.2025 emanata da IVASS, sono state comunicate le modalità operative mediante le quali

• le imprese assicurative e riassicurative con sede in Italia;
• le imprese assicurative con sede legale in un paese terzo (extra SEE) avente una filiale in Italia;
• gli intermediari assicurativi, riassicurativi e a titolo accessorio (escluse le PMI, ossia gli intermediari con (i) un numero di dipendenti inferiore a 250 e (ii) un fatturato annuo inferiore a 50 milioni di euro o (iii) un bilancio inferiore a 43 milioni di euro);

dovranno inviare, ai sensi del Regolamento UE 2022/2554 (i.e., “Digital Operational Resilience Act” o “DORA”), applicabile dal 17.01.2025, ad IVASS le segnalazioni relative:

• ai gravi incidenti informatici
  (ossia, gli incidenti connessi alle Tecnologie dell'informazione e della Comunicazione (TIC) che hanno un impatto avverso sui sistemi informatici e di rete a supporto delle funzioni essenziali o importanti dell’entità finanziaria); e
   
• su base volontaria, alle minacce informatiche significative rilevanti per il sistema finanziario, gli utenti dei servizi o i clienti
  (ossia, le minacce informatica le cui caratteristiche tecniche indicano che potrebbe potenzialmente causare un grave incidente TIC o un grave incidente operativo o di sicurezza dei pagamenti);

così come previsti e definiti dal Regolamento Dora, nonché disciplinati dal Regolamento Delegato UE 2024/1772 e dai relativi Atti delegati (RTS e ITS) (gli “Atti delegati”).

In particolare, gli Atti delegati hanno stabilito i seguenti termini per l’espletamento delle tre fasi necessarie ad informare e relazionare le Autorità competenti di riferimento (in questo caso IVASS):

1. una notifica iniziale, entro 24 ore dall’identificazione dell’incidente;
2. un report intermedio, entro 72 ore dalla notifica iniziale, con possibilità di trasmettere successivi aggiornamenti;
3. un report finale, entro un mese dall’invio dell’ultimo aggiornamento del report intermedio.

Il contenuto delle notifiche è caratterizzato da un livello di dettaglio crescente ed il contenuto è indicato negli stessi Atti delegati.

IVASS fornisce infine un template da compilare secondo le modalità previste dagli Atti delegati e i recapiti PEC mediante i quali – entro i termini suindicati – le imprese e gli intermediari assicurativi soggetti a DORA dovranno trasmettere le segnalazioni dei gravi incidenti informatici e delle minacce informatiche rilevanti; in particolare:

• vigilanza.prudenziale@pec.ivass.it (per quanto concerne le imprese assicurative);
• vigilanzacondottamercato@pec.ivass.it (per quanto riguarda gli intermediari di assicurazione, di riassicurazione e assicurativi a titolo accessorio).

La Lettera al Mercato è disponibile – per il momento – solo in italiano al seguente link: https://www.ivass.it/normativa/nazionale/secondaria-ivass/lettere/2025/lm-14-02-2025/Lettera_al_mercato_14_02_2025.pdf