1 min read

di Nadia Denisi

Avvocato e PhD

Le priorità di vigilanza dell’SSM per il 2024-26 stabiliscono che le banche devono affrontare i rischi legati alle tecnologie dell’informazione e della comunicazione (ICT) e alla sicurezza derivanti dalla digitalizzazione dei servizi bancari. Ciò richiede, tra l’altro, che l’organo di gestione di una banca abbia una comprensione adeguata dell’evoluzione e della rilevanza di tali rischi, al fine di prendere decisioni adeguate e tempestive per gestirli.

Negli ultimi anni, tuttavia, la vigilanza in corso ha individuato carenze nelle conoscenze e nelle competenze collettive degli organi di gestione delle banche sottoposte a vigilanza in materia di ICT e rischi per la sicurezza. In questo contesto, la BCE e le autorità di vigilanza nazionali hanno collaborato allo sviluppo di una politica specifica per la valutazione delle conoscenze collettive dell’organo di gestione nel contesto delle valutazioni di idoneità e correttezza. La policy contiene diverse aspettative chiave che sono anche incluse nella bozza della Guida della BCE sull’aggregazione efficace dei dati e sulla segnalazione dei rischi.

La politica si basa su tre Key Principles:

  1. le aspettative non incideranno sull’applicazione delle disposizioni di legge nazionali o di altre normative europee, come l’imminente Digital Operational Resilience Act (DORA) dell’UE per il settore finanziario;
  2. le aspettative seguono il principio di proporzionalità, in quanto le dimensioni di una banca, la sua esposizione ai rischi ICT e di sicurezza e la posizione manageriale in questione dovrebbero essere tenute in debita considerazione in ogni nomina e nella relativa valutazione di idoneità e correttezza condotta dalla banca e dall’autorità di vigilanza;
  3. le aspettative si applicheranno caso per caso senza alcun automatismo, in linea con il principio del supervisory judgement.

Seguici sui social: