Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/2554, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600

Ai fini del presente decreto, si applicano le definizioni contenute negli articoli 2, paragrafo 2, e 3 del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022.

Per quanto non diversamente previsto dal presente articolo si applicano le definizioni previste dalle disposizioni del TUB, del TUF, del CAP e del decreto legislativo 5 dicembre 2005, n. 252.

Il presente decreto detta le disposizioni necessarie all'adeguamento del quadro normativo nazionale al regolamento DORA e al recepimento della direttiva DORA, nonche' a garantire il coordinamento con le vigenti disposizioni di settore.

Il presente decreto individua, altresi', le disposizioni applicabili agli intermediari finanziari e a Bancoposta in materia di resilienza operativa digitale.

Resta fermo quanto stabilito dal decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, in materia di perimetro di sicurezza nazionale cibernetica, nei confronti dei soggetti di cui all'articolo 1, comma 2-bis, del medesimo decreto-legge n. 105 del 2019.

Autorita' competenti DORA e partecipazione al forum di sorveglianza

Ai sensi dell'articolo 46 del regolamento DORA, la Banca d'Italia, la Commissione nazionale per la societa' e la borsa (Consob), l'Istituto per la vigilanza sulle assicurazioni (IVASS) e la Commissione di vigilanza sui fondi pensione (COVIP) sono le autorita' competenti per il rispetto degli obblighi posti dal medesimo regolamento a carico dei soggetti vigilati dalle medesime autorita', secondo le rispettive attribuzioni di vigilanza.

La Banca d'Italia e' l'autorita' competente per il rispetto degli obblighi posti dal regolamento DORA a carico di Cassa depositi e prestiti S.p.A.

La Banca d'Italia e' l'autorita' competente per il rispetto degli obblighi posti dal presente decreto legislativo a carico degli intermediari finanziari e di Bancoposta.

I protocolli di cui all'articolo 5, comma 1, del presente decreto possono disciplinare le modalita' di partecipazione e lo scambio di informazioni relative al forum di sorveglianza.

Nel caso di entita' finanziarie vigilate da piu' Autorita' competenti DORA, l'Autorita' ricevente, come individuata al comma 1, trasmette tempestivamente alle altre Autorita' competenti la notifica iniziale e ciascuna relazione di cui all'articolo 19, paragrafo 4, del regolamento DORA, relative ai gravi incidenti TIC, nonche' le notifiche volontarie relative alle minacce informatiche significative, con le modalita' definite nei protocolli di intesa di cui all'articolo 5, comma 1, del presente decreto.

Fermo restando quanto previsto ai commi 1, 2 e 4, le entita' finanziarie del settore bancario e delle infrastrutture dei mercati finanziari di cui all'allegato I alla direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, nonche' i soggetti appartenenti al settore bancario e delle infrastrutture dei mercati finanziari identificati come critici ai sensi della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, forniscono, ai sensi dell'articolo 19, paragrafo 1, comma 6, del regolamento DORA, anche a CSIRT Italia la notifica iniziale dei gravi incidenti TIC e ciascuna relazione di cui al medesimo articolo 19, paragrafo 4, del regolamento DORA, utilizzando i modelli e nel rispetto dei termini definiti ai sensi dell'articolo 20 del medesimo regolamento. Le informazioni trasmesse a CSIRT Italia ai sensi del presente comma sono coperte dal segreto d'ufficio.

Le entita' finanziarie che procedono alla notifica su base volontaria delle minacce informatiche significative, a norma dell'articolo 19, paragrafo 2, del regolamento DORA, possono trasmettere la notifica anche a CSIRT Italia. Le informazioni trasmesse a CSIRT Italia, ai sensi del presente comma, sono coperte dal segreto d'ufficio.

Con riferimento alle sedi di negoziazione all'ingrosso di titoli di Stato, la notifica iniziale, le relazioni di cui all'articolo 19, paragrafo 4, del regolamento DORA relative ai gravi incidenti TIC, nonche' le notifiche volontarie relative alle minacce informatiche significative, sono trasmesse dalla Banca d'Italia anche al Ministero dell'economia e delle finanze contestualmente alla trasmissione alla Consob ai sensi del comma 2.

Le Autorita' competenti DORA individuano forme di coordinamento operativo e informativo tramite uno o piu' protocolli d'intesa, che garantiscono la tempestiva e completa condivisione dei dati e delle informazioni utili all'esercizio delle proprie funzioni di vigilanza, ivi incluse le informazioni sui gravi incidenti TIC, anche in relazione alle entita' finanziarie soggette, ai sensi della normativa di settore, alla vigilanza di piu' Autorita'. I protocolli d'intesa sono resi pubblici con le modalita' stabilite dalle medesime Autorita'.

Per le finalita' di cui al regolamento DORA, le Autorita' competenti DORA stipulano protocolli di intesa con l'Agenzia per la cybersicurezza nazionale per regolare lo scambio di informazioni pertinenti, istituire forme di consulenza e assistenza tecnica reciproca e meccanismi di coordinamento efficaci e di risposta rapida nel caso di incidenti, nonche' specificare, se del caso, le modalita' di coordinamento delle attivita' relative a soggetti essenziali o importanti, ai sensi della direttiva (UE) 2022/2555, che siano stati designati come fornitori terzi critici di servizi TIC, a norma dell'articolo 31 del regolamento DORA. Le Autorita' competenti DORA stipulano un apposito protocollo d'intesa con il Corpo della Guardia di finanza, ai sensi dell'articolo 19, paragrafo 6, lettera e), del regolamento DORA, per disciplinare lo scambio di informazioni relative alle segnalazioni e alle notifiche di cui all'articolo 4, per finalita' di prevenzione, accertamento e repressione degli illeciti di natura economico finanziaria.

Le informazioni acquisite dall'Agenzia per la cybersicurezza nazionale, anche sulla base dei protocolli di intesa di cui al comma 2, sono trasmesse agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, per le loro finalita' istituzionali, sulla base di intesa tra l'Agenzia per la cybersicurezza nazionale e gli stessi organismi di informazione per la sicurezza e, ove rilevanti per la difesa dello Stato, al Ministero della difesa, in qualita' di Autorita' nazionale di gestione delle crisi informatiche ai sensi dell'articolo 13 del decreto legislativo 4 settembre 2024, n. 138.

Qualora l'Autorita' nazionale competente NIS, in sede di vigilanza o di esecuzione, venga a conoscenza di una violazione degli obblighi di segnalazione di cui all'articolo 4 del presente decreto da parte di un'entita' finanziaria, ne informa, senza indebito ritardo, le Autorita' competenti DORA.

Agli intermediari finanziari si applicano le disposizioni di cui agli articoli 4, 16, paragrafi 1 e 2, 17, 18, paragrafi 1 e 2, 19, paragrafi 1, 2, 3, 4 e 5, 22, paragrafo 1, 24, 25, paragrafo 1, 28, paragrafi 1, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, 31, paragrafo 12, 45, 51, 54, 55 e 56 del regolamento DORA e alle relative norme tecniche di regolamentazione e attuazione, in quanto compatibili.

Agli intermediari finanziari che si qualificano come microimprese ai sensi dell'articolo 3, paragrafo 1, punto 60), del regolamento DORA non si applica l'articolo 24 del medesimo regolamento. Gli intermediari finanziari di cui al primo periodo eseguono i test di cui all'articolo 25, paragrafo 1, del regolamento DORA con le modalita' previste dall'articolo 25, paragrafo 3, del medesimo regolamento.

La Banca d'Italia puo' individuare, nelle disposizioni attuative adottate ai sensi dell'articolo 9, una categoria di intermediari finanziari a cui, sulla base delle dimensioni e dell'attivita' svolta, si applica, in luogo dell'articolo 16, paragrafi 1 e 2, del regolamento DORA, quanto previsto dagli articoli 5, 6, 7, 8, 9, 10, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8 e 10, 12, paragrafi 1, 2, 3, 4, 6 e 7, 13 e 14 del medesimo regolamento e dalle relative norme tecniche di regolamentazione e attuazione, in quanto compatibili.

A Bancoposta si applica quanto previsto dagli articoli 4, 5, 6, 7, 8, 9, 10, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8 e 10, 12, paragrafi 1, 2, 3, 4, 6 e 7, 13, 14, 17, 18, paragrafi 1 e 2, 19, paragrafi 1, 2, 3, 4 e 5, 22, paragrafo 1, 23, 24, 25, paragrafo 1, 26, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 27, 28, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, 31, paragrafo 12, 45, 51, 54, 55 e 56 del regolamento DORA e dalle relative norme tecniche di regolamentazione e attuazione, in quanto compatibili.

Ai fini dello svolgimento dei compiti previsti dal regolamento DORA, dagli atti delegati e dalle norme tecniche di regolamentazione e di attuazione del medesimo regolamento, nonche' dal presente decreto e dalle relative disposizioni attuative, le Autorita' competenti DORA, secondo le rispettive competenze, dispongono nei confronti delle entita' finanziarie, di Cassa depositi e prestiti S.p.A., degli intermediari finanziari, di Bancoposta e dei fornitori terzi di servizi TIC a supporto di funzioni essenziali o importanti, dei poteri di vigilanza previsti dagli articoli 42, paragrafo 6, e 50, paragrafo 2, del regolamento DORA e di quelli attribuiti dalla normativa di settore, nonche' di quelli previsti dal presente articolo.

Per le finalita' di cui al comma 1, le Autorita' competenti DORA possono effettuare accessi e ispezioni presso i fornitori terzi di servizi TIC a supporto di funzioni essenziali o importanti delle entita' finanziarie, di Cassa depositi e prestiti S.p.A., degli intermediari finanziari e di Bancoposta, nonche' convocare gli amministratori, i sindaci e il personale dei medesimi fornitori e richiedere loro di fornire informazioni e di esibire documenti.
Restano fermi i poteri previsti dagli articoli 51, 53-bis, 54 e 108 del TUB, dall'articolo 4, comma 4, del decreto legislativo 5 settembre 2024, n. 129, dagli articoli 6, comma 1, lettera c), 30-septies, 188, 189, 190, 205-bis del CAP e dagli articoli 5-septies e 19 del decreto legislativo 5 dicembre 2005, n. 252, nei confronti dei soggetti ai quali siano state esternalizzate funzioni aziendali e del relativo personale, nonche' i poteri previsti dagli articoli 114-quinquies.2 e 114-quaterdecies del TUB, dagli articoli 6-bis, 6-ter, 7 e 62-novies del TUF e dall'articolo 22 della legge 28 dicembre 2005, n. 262.

Le Autorita' competenti DORA possono, nell'ambito delle rispettive competenze, emanare disposizioni attuative del presente decreto e del regolamento DORA, anche per tener conto degli orientamenti delle Autorita' europee di vigilanza, nonche' delle disposizioni riguardanti le modalita' di esercizio dei poteri di vigilanza.

Al testo unico delle disposizioni in materia di intermediazione finanziaria, di cui al decreto legislativo 24 febbraio 1998, n. 58, dopo l'articolo 190-bis.2 e' inserito il seguente:
«Art. 190-bis.3 (Sanzioni amministrative relative alle violazioni delle disposizioni previste dal regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e dalle relative norme tecniche di regolamentazione e attuazione). - 1. In caso di inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica:
a) nei confronti delle societa' di intermediazione mobiliare (SIM), delle societa' di gestione del risparmio (SGR), delle societa' di investimento a capitale variabile (SICAV), delle societa' di investimento a capitale fisso (SICAF), delle controparti centrali, dei gestori di mercati regolamentati e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni, ovvero fino al 10 per cento del fatturato, quando tale importo e' superiore a euro 5 milioni e il fatturato e' determinabile;
b) nei confronti dei depositari centrali di titoli e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 20 milioni, ovvero fino al 10 per cento del fatturato, quando tale importo e' superiore a euro 20 milioni;
c) nei confronti dei fornitori di servizi di crowdfunding e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 500 fino a euro 500.000, ovvero fino al 5 per cento del fatturato, quando tale importo e' superiore a euro 500.000 e il fatturato e' determinabile;
d) nei confronti degli amministratori di indici di riferimento critici e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 10.000 fino a euro 1 milione, ovvero fino al 10 per cento del fatturato totale annuo, quando tale importo e' superiore a euro 1 milione e il fatturato e' determinabile.
2. Salvo che il fatto costituisca reato, se le violazioni indicate dal comma 1 sono commesse da una persona fisica di cui al comma 5, si applica nei confronti di quest'ultima una sanzione amministrativa pecuniaria:
a) da euro 5.000 fino a euro 5 milioni, nei casi di cui alle lettere a) e b), del comma 1;
b) da euro 500 fino a euro 500.000, nei casi di cui alla lettera c) del comma 1;
c) da euro 5.000 fino a euro 500.000, nei casi di cui alla lettera d) del comma 1.
3. In caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica:
a) nei confronti delle SIM, delle SGR, delle SICAV, delle SICAF, delle controparti centrali, dei gestori di mercati regolamentati e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni, ovvero fino al 7 per cento del fatturato, quando tale importo e' superiore a euro 3,5 milioni e il fatturato e' determinabile;
b) nei confronti dei depositari centrali di titoli e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 14 milioni, ovvero fino al 7 per cento del fatturato, quando tale importo e' superiore a euro 14 milioni;
c) nei confronti dei fornitori di servizi di crowdfunding e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 500 fino a euro 350.000, ovvero fino al 3,5 per cento del fatturato, quando tale importo e' superiore a euro 350.000 e il fatturato e' determinabile;
d) nei confronti degli amministratori di indici di riferimento critici e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 10.000 fino a euro 700.000, ovvero fino al 7 per cento del fatturato totale annuo, quando tale importo e' superiore a euro 700.000 e il fatturato e' determinabile.
4. Salvo che il fatto costituisca reato, se le violazioni indicate dal comma 3 sono commesse da una persona fisica di cui al comma 5, si applica nei confronti di quest'ultima una sanzione amministrativa pecuniaria:
a) da euro 5.000 fino a euro 3,5 milioni, nei casi di cui alle lettere a) e b), del comma 3;
b) da euro 500 fino a euro 350.000, nei casi di cui alla lettera c) del comma 3;
c) da euro 5.000 fino a euro 350.000, nei casi di cui alla lettera d) del comma 3.
5. Fermo restando quanto previsto per le societa' e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui ai commi 2 e 4 si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle societa' e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza e' conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della societa' o dell'ente a provvedimenti specifici adottati dalla Banca d'Italia e dalla Consob, secondo le rispettive competenze, ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 da parte della societa' o dell'ente.
6. Se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa e' superiore ai limiti massimi indicati nei commi 1, 2, 3 e 4, la sanzione amministrativa pecuniaria e' elevata fino al doppio dell'ammontare del vantaggio ottenuto, purche' tale ammontare sia determinabile.
7. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui ai commi 2 e 4 in ragione della gravita' della violazione accertata, puo' essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto, del decreto legislativo 1° settembre 1993, n. 385, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129, o presso fondi pensione.
8. Le sanzioni amministrative previste dal presente articolo sono applicate dalla Banca d'Italia e dalla Consob, secondo le rispettive competenze e secondo la procedura sanzionatoria di cui all'articolo 195, nei casi di cui al comma 1, lettere a), b), c) e d), e al comma 2, lettere a), b), c), e nei casi di cui al comma 3, lettere a), b), c), e d), e al comma 4 lettere a), b) e c). Alle violazioni di competenza della Consob si applica l'articolo 196-ter.».

All'articolo 19-quater del decreto legislativo 5 dicembre 2005, n. 252, dopo il comma 2, sono inseriti i seguenti:
«2-bis. I soggetti di cui al comma 2 che, in relazione alle rispettive competenze:
a) non osservano le disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 7, 8, 9, 10, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 12, 13, 14, 16, paragrafi 1 e 2, 17, 18, paragrafi 1 e 2, 19, paragrafi 1, 3 e 4, 24, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, sono puniti con la sanzione amministrativa pecuniaria di cui al comma 2, lettera b);
b) omettono di collaborare o di dare seguito nell'ambito di un'indagine, di un'ispezione o di una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, sono puniti con la sanzione amministrativa di cui al comma 2, lettera a).
2-ter. Alle sanzioni di cui al comma 2-bis si applicano i commi 3, 4, a eccezione del secondo periodo, e 4-bis dell'articolo 19-quater del decreto legislativo 5 dicembre 2005, n. 252.».

Al decreto legislativo 5 settembre 2024, n. 129, dopo l'articolo 37, e' inserito il seguente:
«Art. 37-bis (Sanzioni amministrative relative alle violazioni delle disposizioni previste dal regolamento (UE) 2022/2554 e dalle relative norme tecniche di regolamentazione e attuazione). - 1. In caso di inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica:
a) nei confronti degli emittenti di token collegati ad attivita' e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni, ovvero, se superiore, fino al 12,5 per cento del fatturato totale annuo;
b) nei confronti dei prestatori di servizi in cripto-attivita' e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni, ovvero, se superiore, fino al 5 per cento del fatturato totale annuo.
2. In caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica:
a) nei confronti degli emittenti di token collegati ad attivita' e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni, ovvero, se superiore, fino al 9 per cento del fatturato totale annuo;
b) nei confronti dei prestatori di servizi in cripto-attivita' e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni, ovvero, se superiore, fino al 3,50 per cento del fatturato totale annuo.
3. Salvo che il fatto costituisca reato, se le violazioni indicate dai commi 1 e 2 sono commesse da una persona fisica di cui al comma 4, si applica nei confronti di quest'ultima la sanzione amministrativa pecuniaria:
a) da euro 5.000 fino a euro 700.000, nei casi di cui al comma 1;
b) da euro 5.000 fino a euro 500.000, nei casi di cui al comma 2.
4. Fermo restando quanto previsto per le societa' e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui al comma 3 si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle societa' e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza e' conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della societa' o dell'ente a provvedimenti specifici adottati dalla Banca d'Italia e dalla Consob, secondo le rispettive competenze, ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 da parte della societa' o dell'ente.
5. Se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa e' superiore ai limiti massimi indicati nei commi 1, 2 e 3, la sanzione amministrativa pecuniaria e' elevata fino al doppio dell'ammontare del vantaggio ottenuto, purche' tale ammontare sia determinabile.
6. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui al comma 3, in ragione della gravita' della violazione accertata, puo' essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto, del decreto legislativo 1° settembre 1993, n. 385, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129, o presso fondi pensione.
7. Le sanzioni amministrative previste dal presente articolo sono applicate dalla Banca d'Italia e dalla Consob, secondo le rispettive competenze e secondo la procedura sanzionatoria di cui all'articolo 195 del decreto legislativo 24 febbraio 1998, n. 58. Alle violazioni di competenza della Consob si applica l'articolo 196-ter del decreto legislativo n. 58 del 1998.».

Quando le violazioni di cui al presente articolo sono connotate da scarsa offensivita' o pericolosita', le Autorita' competenti DORA possono, in alternativa all'irrogazione delle sanzioni amministrative pecuniarie, disporre l'applicazione delle misure di cui all'articolo 50, paragrafo 4, lettere a) ed e), del regolamento DORA.

Le Autorita' competenti DORA, ai sensi dell'articolo 50, paragrafo 4, lettera b), del regolamento DORA, possono richiedere la cessazione temporanea o permanente di qualsiasi pratica o comportamento che considerino contrari alle disposizioni del regolamento stesso e prevenirne la reiterazione.

Il provvedimento di applicazione delle sanzioni previste dal presente articolo, dopo la comunicazione al destinatario, e' pubblicato senza ritardo e per estratto nel sito internet dell'Autorita' competente DORA che lo ha adottato, in conformita' all'articolo 54 del regolamento DORA, salvo quanto previsto nel paragrafo 3 del medesimo articolo.

All'articolo 30 del codice delle assicurazioni private, di cui al decreto legislativo 7 settembre 2005, n. 209, il comma 4 e' sostituito dal seguente:
«4. L'impresa adotta misure ragionevoli idonee a garantire la continuita' e la regolarita' dell'attivita' esercitata, inclusa l'elaborazione di piani di emergenza. A tal fine, l'impresa utilizza sistemi, risorse e procedure interne adeguati e proporzionati e, in particolare, istituisce e gestisce sistemi informatici e di rete conformemente al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022.».

All'articolo 4-bis del decreto legislativo 5 dicembre 2005, n. 252, il comma 6 e' sostituito dal seguente:
«6. I fondi pensione di cui al comma 1 adottano misure ragionevoli atte a garantire la continuita' e la regolarita' dello svolgimento delle loro attivita', tra cui l'elaborazione di piani di emergenza. A tal fine i fondi pensione utilizzano sistemi, risorse e procedure adeguati e proporzionati e in particolare, istituiscono e gestiscono sistemi informatici e di rete conformemente al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, ove applicabile.».

A Bancoposta, se identificato come soggetto essenziale o importante dei settori 3 o 4 dell'allegato I al decreto legislativo 4 settembre 2024, n. 138, non si applicano le disposizioni di cui all'articolo 17 e ai capi IV e V del medesimo decreto, in quanto soggetto sottoposto ai sensi del presente decreto a obblighi derivanti dal diritto dell'Unione europea equivalenti a quelli previsti dal citato decreto legislativo.

Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica.

Le amministrazioni competenti provvedono all'attuazione del presente decreto nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Salvo quanto previsto al primo periodo del presente articolo, l'articolo 6, commi 1 e 2, si applica a decorrere dalla data del 1° gennaio 2027.