DORA — Segnalazione annuale a Banca d’Italia delle stime dei costi e delle perdite da gravi incidenti TIC: cosa fare entro il 30 giugno 2026
In sintesi. La Banca d’Italia ha introdotto un nuovo adempimento segnaletico annuale a carico degli intermediari direttamente vigilati, in attuazione del Regolamento DORA. Per il primo anno di applicazione la scadenza è fissata al 30 giugno 2026. L’obbligo riguarda esclusivamente le entità che nell’anno di riferimento abbiano effettivamente segnalato incidenti gravi connessi alle TIC, secondo quanto chiarito direttamente dalla Banca d’Italia su nostra richiesta.Il quadro normativo
Il Regolamento (UE) 2022/2554 sulla Resilienza Operativa Digitale (DORA), all’articolo 11, paragrafi 10 e 11, prevede che le entità finanziarie diverse dalle microimprese comunichino alle Autorità Competenti, su richiesta di queste ultime, una stima dei costi e delle perdite annuali aggregati causati da gravi incidenti connessi alle Tecnologie dell’Informazione e della Comunicazione.
Le modalità di stima sono dettagliate negli Orientamenti Congiunti delle Autorità Europee di Vigilanza (EBA, ESMA, EIOPA) JC/GL/2024/34 del 5 giugno 2024, applicabili dal 19 maggio 2025, che individuano il perimetro degli incidenti rilevanti, le fasi del processo di stima e il modello di reporting.
Con propria Comunicazione, la Banca d’Italia ha tradotto in adempimento sistematico la facoltà prevista dal Regolamento, richiedendo a tutti gli intermediari direttamente vigilati la trasmissione annuale, su base consolidata, entro il 31 maggio di ciascun anno (con la sola eccezione del primo anno, per il quale la scadenza è posticipata al 30 giugno 2026).
Chi è tenuto alla segnalazione
L’obbligo riguarda le entità finanziarie direttamente vigilate dalla Banca d’Italia, ad eccezione delle microimprese.
È importante sottolineare che la nozione di microimpresa rilevante ai fini DORA è quella della Raccomandazione 2003/361/CE, richiamata dall’articolo 3, n. 60, del Regolamento: impresa che occupa meno di 10 persone e che realizza un fatturato annuo oppure un totale di bilancio annuo non superiore a 2 milioni di euro.
La definizione di microimpresa rilevante ai fini DORA è autonoma rispetto a quella di impresa di investimento “piccola e non interconnessa” (SNI) prevista dall’articolo 12 del Regolamento (UE) 2019/2033 (IFR), che individua la cosiddetta Classe 3 ai fini prudenziali. Le due nozioni rispondono a logiche diverse e si sovrappongono solo parzialmente. Una SIM Classe 3 può non essere microimpresa ai fini DORA, ad esempio perché occupa più di 10 dipendenti o supera la soglia di 2 milioni di euro di fatturato o bilancio: in tale ipotesi è pienamente assoggettata all’obbligo segnaletico in commento. La qualifica di microimpresa va dunque verificata autonomamente sulla base dei parametri della Raccomandazione 2003/361/CE.
Per i gruppi bancari meno significativi e per i gruppi di SIM la segnalazione è trasmessa dalla capogruppo in un unico report consolidato, che comprende i dati di tutte le componenti del gruppo. Le entità non appartenenti a un gruppo segnalano su base individuale.
L’oggetto della segnalazione: solo i gravi incidenti TIC
La stima richiesta dalla Banca d’Italia ha ad oggetto esclusivamente i gravi incidenti connessi alle TIC come definiti dal Regolamento delegato (UE) 2024/1772 della Commissione.
In particolare, secondo il paragrafo 6 degli Orientamenti Congiunti, devono essere inclusi nella stima:
- gli incidenti classificati come gravi per i quali l’entità finanziaria ha trasmesso una relazione finale ai sensi dell’articolo 19, paragrafo 4, lettera c), di DORA nell’anno di riferimento;
- gli incidenti gravi segnalati in anni di riferimento precedenti che abbiano avuto un impatto finanziario quantificabile nell’anno di riferimento corrente (ossia costi, perdite o adeguamenti contabilizzati nell’esercizio attuale ma riferibili a incidenti di anni precedenti).
Il processo di stima si articola in tre fasi successive:
- stima individuale, per ciascun grave incidente, dei costi e delle perdite lordi, tenendo conto delle tipologie di cui all’articolo 7, paragrafi 1 e 2, del Regolamento delegato (UE) 2024/1772;
- stima dei recuperi finanziari per ciascun incidente, secondo l’Allegato II del Regolamento di esecuzione (UE) 2025/302;
- aggregazione dei costi/perdite lordi e dei recuperi a livello complessivo per l’anno di riferimento.
Come base per la stima, le entità finanziarie devono fare riferimento ai dati di conto economico e di segnalazione di vigilanza dell’anno di riferimento, includendo anche gli eventuali accantonamenti contabili e gli adeguamenti relativi a stime di anni precedenti.
L’entità può scegliere se l’anno di riferimento corrisponda all’anno civile concluso ovvero al proprio esercizio contabile concluso. La scelta, una volta operata, deve essere mantenuta nelle stime future ed è modificabile solo previa notifica all’Autorità Competente e in assenza di obiezioni entro due mesi.
Il chiarimento sulla segnalazione “negativa”: non è dovuta
Un dubbio operativo di particolare rilevanza ha riguardato il comportamento atteso nell’ipotesi in cui, nell’anno di riferimento, l’entità finanziaria non abbia registrato alcun grave incidente connesso alle TIC, e dunque non abbia trasmesso alcuna relazione finale ai sensi dell’articolo 19, paragrafo 4, lettera c), DORA, né abbia rilevato impatti finanziari quantificabili derivanti da incidenti gravi di anni precedenti.
Né la Comunicazione della Banca d’Italia, né le Istruzioni operative INFOSTAT, né gli Orientamenti Congiunti contengono al riguardo un’indicazione testuale esplicita.
Interpellata sul punto, la Banca d’Italia ha chiarito che la segnalazione è dovuta esclusivamente qualora siano stati notificati incidenti nel corso dell’anno precedente (nel caso di specie, il 2025) ovvero qualora un incidente già segnalato ai sensi del Regolamento DORA in anni precedenti abbia comportato nuovi costi o perdite nell’esercizio finanziario oggetto di segnalazione.
In altri termini, non è prevista alcuna “segnalazione nulla” o “negativa”: le entità finanziarie che nell’anno di riferimento non hanno avuto alcun grave incidente connesso alle TIC né impatti finanziari da incidenti pregressi non sono tenute a trasmettere il modello.
Resta in ogni caso opportuno, sul piano di compliance, mantenere agli atti una memoria interna che documenti la verifica effettuata e la conseguente non applicabilità dell’obbligo segnaletico per l’anno di riferimento, a supporto della scelta in caso di future verifiche ispettive.
Modalità operative di trasmissione
Per le entità tenute alla segnalazione, la trasmissione avviene secondo le seguenti modalità.
Modello
È utilizzato il file Excel DORA_modello_costi_perdite.xlsx messo a disposizione dalla Banca d’Italia. Il modello è composto da due fogli: il foglio “Istruzioni”, che descrive denominazione e tipologia di ciascun campo, e il foglio “Modulo costi e perdite”, che contiene la sezione anagrafica (denominazione dell’entità, codice LEI, data di inizio e di fine dell’anno di riferimento, valuta, eventuali commenti), i totali aggregati di costi/perdite e recuperi e il dettaglio per singolo incidente. Per ciascun incidente vanno indicati: il codice LEI dell’entità che ha segnalato l’incidente, la data di trasmissione della relazione finale, il numero di riferimento dell’incidente (il medesimo codice valorizzato nel campo 2.1 del report finale ex Regolamento di esecuzione UE 2025/302), i costi/perdite lordi e i recuperi, espressi in migliaia di unità di valuta.
Denominazione del file
Il file va denominato secondo la convenzione <COD_ENTE_SEGN>_DORACOSTIPERDITE_<AAAA-MM-GG>.xlsx, dove <COD_ENTE_SEGN> è il codice dell’ente segnalante (per i soggetti vigilati coincide con il codice ABI completo della cifra di controllo) e <AAAA-MM-GG> è la data di riferimento della rilevazione. Non sono accettati questionari manomessi o alterati rispetto al formato originale.
Canale
La trasmissione avviene esclusivamente tramite la piattaforma INFOSTAT della Banca d’Italia (https://infostat.bancaditalia.it), selezionando la rilevazione VIG45 “DORA – Segnalazione costi e perdite causati da gravi incidenti ICT” dalla sezione “Rilevazioni statistiche e di Vigilanza”. L’invio deve essere effettuato da un rappresentante dell’entità abilitato (o da un suo delegato). Al termine dell’invio la Banca d’Italia trasmette un’e-mail di conferma.
Accreditamento preventivo
Le entità non ancora accreditate a INFOSTAT devono attivare la procedura di accreditamento, operazione una tantum che richiede tempi tecnici non trascurabili. In sintesi: il referente (“responsabile codice PIN”) si registra al portale all’indirizzo https://infostat.bancaditalia.it; scarica, compila e firma il “Modulo per l’utilizzo di INFOSTAT” disponibile sulla pagina “Raccolta dati via Internet” del sito della Banca d’Italia, sezione Modulistica; acquisisce in formato digitale i documenti d’identità del referente e del rappresentante legale (non necessari per il legale rappresentante se il modulo è firmato digitalmente); trasmette il tutto via PEC aziendale a res@pec.bancaditalia.it, con copia a rdvi.helpdesk@bancaditalia.it. Si raccomanda di avviare la procedura entro il mese di marzo 2026, per disporre di un margine adeguato in caso di richieste integrative.
- Pagina dedicata di Banca d’Italia: https://www.bancaditalia.it/compiti/vigilanza/dora-incidenti/index.html
- Quesiti normativi:
VIG.incidenti@bancaditalia.it - Assistenza tecnica INFOSTAT:
rdvi.helpdesk@bancaditalia.it(tel. 06 4792 6459)
La presente nota ha finalità esclusivamente informativa e non costituisce parere professionale. Per l’applicazione al caso concreto si raccomanda una valutazione specifica.