In un mondo sempre più digitalizzato, le minacce informatiche non sono più rischi remoti, ma preoccupazioni immediate. Per le compagnie di assicurazione e riassicurazione, la posta in gioco si alza. L’IVASS, l’Autorità di Vigilanza sulle Assicurazioni, ha pubblicato nuove istruzioni operative che stabiliscono come gli operatori vigilati debbano conformarsi al Regolamento DORA (Digital Operational Resilience Act), che sarà pienamente applicabile a partire dal 17 gennaio 2025.
Incidenti informatici: il quadro obbligatorio di segnalazione
Con la Lettera al Mercato del 14 febbraio 2025, IVASS ha precisato come compagnie di assicurazione, riassicurazione e intermediari debbano segnalare gravi incidenti ICT e, su base volontaria, eventuali minacce informatiche rilevanti. Questi obblighi derivano dall’articolo 19(2) di DORA e si applicano a eventi che colpiscono servizi critici e soddisfano determinati criteri—ad esempio, accessi non autorizzati con perdita di dati, o il superamento di due o più soglie previste dal Regolamento Delegato (UE) 2024/1772.
Le tempistiche di segnalazione sono rigorose:
- Prima comunicazione: entro 24 ore dall’identificazione dell’incidente
- Rapporto intermedio: entro 72 ore
- Rapporto finale: entro un mese dall’ultimo aggiornamento
IVASS ha predisposto modelli standard per la segnalazione, da inviare tramite PEC:
- Compagnie assicurative: vigilanza.prudenziale@pec.ivass.it
- Intermediari: vigilanzacondottamercato@pec.ivass.it
Il Registro delle Informazioni: nuovo obbligo entro l’11 aprile 2025
Un ulteriore adempimento rilevante deriva dall’articolo 28(3) di DORA. Le compagnie devono mantenere un Registro delle Informazioni aggiornato relativo a tutti i contratti ICT con fornitori esterni. Questo strumento consente alle autorità di vigilanza nazionali ed europee di valutare i rischi legati all’outsourcing tecnologico.
Con la Lettera al Mercato del 7 marzo 2025, IVASS ha stabilito che il Registro dovrà essere trasmesso tramite la piattaforma Infostat, entro l’11 aprile 2025, con riferimento ai dati del 31 marzo 2025. Il file deve rispettare uno specifico formato compresso, contenente cartelle e file con indicatori, parametri e metadati.
Per accedere a Infostat è necessario essere autorizzati. I soggetti non ancora accreditati devono trasmettere le credenziali via PEC a: ivass@pec.ivass.it.
Cosa devono fare ora le compagnie assicurative
DORA impone alle compagnie di andare oltre la conformità formale. È necessario adottare un solido sistema di governance interna del rischio ICT, monitorare costantemente i sistemi, implementare meccanismi di rilevamento e risposta agli incidenti, e mantenere strumenti e protocolli aggiornati e proporzionati all’attività.
Le indicazioni operative di IVASS segnano un passaggio deciso verso una resilienza digitale attiva. Per le compagnie, è ora il momento di rafforzare le procedure di sicurezza informatica, preparare i flussi di segnalazione e assicurarsi di essere pienamente pronti all’entrata in vigore di DORA.