Torna al Blog

DORA e trasmissione del Registro delle Informazioni: cosa devono fare gli enti vigilati

DORA Register of Information Submission Requirement

La Banca d'Italia ha pubblicato una comunicazione per indicare i tempi per la trasmissione annuale a regime dei registri delle informazioni ai sensi del Regolamento (UE) 2022/2554 (DORA) entrato in vigore il 16 gennaio 2023 ed è applicabile dal 17 gennaio 2025.

Tale regolamento, ricordiamolo, introduce un quadro uniforme europeo sulla resilienza operativa digitale per il settore finanziario, imponendo obblighi organizzativi, contrattuali e di reporting.

Obblighi di trasmissione previsti da DORA

Tra gli adempimenti centrali vi è la tenuta e trasmissione del Registro delle Informazioni relativo agli accordi contrattuali sui servizi ICT forniti da terzi.

Ai sensi dell'art. 28 DORA, le entità finanziarie devono:

  • mantenere un registro aggiornato di tutti i contratti ICT;
  • includere informazioni su fornitori e subfornitori;
  • classificare i servizi in base alla criticità;
  • mettere il registro a disposizione dell'autorità competente.

A regime, la trasmissione è annuale, con data di riferimento al 31 dicembre e invio entro il 15 marzo dell'anno successivo. In Italia, secondo le indicazioni della Banca d'Italia, la trasmissione decorre stabilmente dal 2026.

Cosa deve essere trasmesso e a chi

Deve essere trasmesso il Registro delle Informazioni completo, strutturato secondo gli Implementing Technical Standards (ITS) emanati dalle Autorità Europee di Vigilanza.

Il registro contiene, tra l'altro:

  • elenco completo dei fornitori ICT;
  • dettaglio dei servizi erogati;
  • identificazione dei contratti;
  • indicazione di eventuale sub-outsourcing;
  • valutazione di criticità dei servizi;
  • localizzazione dei dati e funzioni aziendali supportate.

In Italia l'invio avviene verso la Banca d'Italia, quale autorità competente per i soggetti vigilati di propria competenza.

Trasmissione tramite INFOSTAT

L'invio deve avvenire tramite INFOSTAT, la piattaforma di segnalazione regolamentare della Banca d'Italia.

INFOSTAT:

  • consente l'upload dei file strutturati;
  • applica controlli automatici di coerenza e validazione;
  • può richiedere reinvii in caso di errori formali o sostanziali.

Non è ammesso l'invio in formato libero o descrittivo: il file deve rispettare il tracciato tecnico previsto dagli ITS.

Chi ha accesso a INFOSTAT

L'accesso è riservato a:

  • soggetti vigilati dalla Banca d'Italia;
  • soggetti terzi formalmente delegati dall'intermediario (es. outsourcer o consulenti).

L'intermediario deve nominare referenti e gestire le abilitazioni. La responsabilità del contenuto trasmesso resta sempre in capo all'ente vigilato.

I fornitori ICT devono trasmettere il registro?

No. L'obbligo di trasmissione grava esclusivamente sulle entità finanziarie vigilate, non sui fornitori ICT.

Tuttavia, i fornitori devono:

  • mettere a disposizione informazioni complete e aggiornate;
  • accettare clausole contrattuali DORA-compliant;
  • consentire audit e verifiche.

Nel caso di designazione come fornitori critici (CTPP), possono essere soggetti a un regime europeo di supervisione diretta.

Specifiche tecniche dei file e dove trovarle

Il file deve rispettare:

  • template ufficiale previsto dagli ITS;
  • data model armonizzato UE;
  • data dictionary e validation rules.

Le specifiche tecniche sono disponibili sui siti di:

  • European Banking Authority
  • European Securities and Markets Authority
  • European Insurance and Occupational Pensions Authority

Occorre fare riferimento alla versione definitiva degli ITS pubblicata in Gazzetta Ufficiale dell'Unione Europea e alle istruzioni operative nazionali.

Come possono assistere i consulenti

La complessità del registro non è solo tecnica ma organizzativa. Occorre:

  • mappare in modo completo i contratti ICT;
  • integrare funzioni ICT, risk e compliance;
  • costruire un data set coerente con il modello europeo;
  • progettare un processo continuo di aggiornamento.

Un approccio integrato tra competenze legali e architettura dei sistemi informativi riduce il rischio di errori strutturali e di lavorazioni a ridosso della scadenza.

In questo contesto, realtà come Tomato Blue Consulting operano con un modello compliance-by-design (vedi il nostro core service DORA), combinando revisione contrattuale, governance del rischio ICT e implementazione tecnica del registro secondo gli standard DORA, con logica "audit-ready" permanente.

DORA non è un adempimento episodico: è un sistema di governo dei fornitori ICT basato su dati strutturati, verificabili e trasmissibili. Prepararlo correttamente significa trasformare un obbligo regolamentare in un elemento di controllo strategico.

Hai bisogno di supporto sulla conformità DORA?

Il nostro team può aiutarti con la compilazione e trasmissione del Registro delle Informazioni.

Contattaci