on atto di emanazione del 3 febbraio 2026, Banca d’Italia ha pubblicato il 51° aggiornamento della Circolare n. 285 del 17 dicembre 2013 (Disposizioni di vigilanza per le banche), dando attuazione al Regolamento (UE) 2022/2554 (DORA) e alla Direttiva (UE) 2022/2556 (Direttiva DORA).
L’aggiornamento è finalizzato a riordinare la disciplina nazionale alla luce delle previsioni del Regolamento DORA e dei relativi atti delegati, nonché a recepire le modifiche alla Direttiva 2013/36/UE introdotte dall’art. 4 della Direttiva DORA.
Ambito delle modifiche
Le principali modifiche riguardano:
le Disposizioni introduttive;
il Capitolo I – Autorizzazione all’attività bancaria (Parte Prima, Titolo I);
la Parte Prima, Titolo IV, con interventi sui Capitoli:
3 – Il sistema dei controlli interni;
4 – Il sistema informativo;
5 – La continuità operativa.
Integrazione con il framework DORA
In coerenza con l’applicazione diretta del Regolamento DORA:
sono abrogate le Sezioni del Capitolo 4 relative a governo del sistema informativo, gestione del rischio ICT e di sicurezza, sicurezza delle informazioni, gestione dei progetti ICT ed esternalizzazione dei servizi ICT;
tali profili sono ora disciplinati tramite rinvio diretto al Regolamento DORA e ai relativi atti delegati, in materia di gestione dei rischi ICT, accordi contrattuali con fornitori terzi, incidenti ICT e minacce informatiche significative.
La disciplina sul sistema di gestione dei dati, non ricompresa nel framework DORA, è invece trasferita nel Capitolo 3 sul sistema dei controlli interni.
Servizi di pagamento e continuità operativa
La sezione relativa alla prestazione di servizi di pagamento è aggiornata per dare attuazione agli Orientamenti EBA dell’11 febbraio 2025 (EBA/GL/2025/02), che hanno abrogato i precedenti Orientamenti EBA sulla gestione dei rischi ICT, mantenendo le sole disposizioni sul rapporto con gli utenti.
Il Capitolo 5 sulla continuità operativa è modificato per recepire le novità della Direttiva DORA alla CRD, eliminando le disposizioni sulla continuità operativa in ambito ICT, ora disciplinate direttamente dal Regolamento DORA.
Banca d’Italia precisa che non sono ancora modificate, allo stato, le disposizioni dell’Allegato A, Sezione III, relative ai processi a rilevanza sistemica, oggetto di ulteriori approfondimenti.
Entrata in vigore e regime transitorio
Le modifiche entrano in vigore il giorno successivo alla pubblicazione in Gazzetta Ufficiale.
Le banche dovranno adeguarsi alle nuove disposizioni del Capitolo 5 entro sei mesi dalla data di entrata in vigore.
Le nuove regole si applicano anche alle succursali italiane di banche extracomunitarie a partire dall’entrata in vigore della normativa di attuazione dell’art. 58-quinquies TUB (D. Lgs. 208/2025). Fino a tale data, resta applicabile la versione previgente della Circolare 285.
