§ 12.6.185 - D.Lgs. 10 marzo 2025, n. 23. Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/2554, relativo alla resilienza operativa [...]

§ 12.6.185 - D.Lgs. 10 marzo 2025, n. 23.

Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/2554, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011, e per il recepimento della direttiva (UE) 2022/2556, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario.

(G.U. 11 marzo 2025, n. 58)

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;

Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri» e, in particolare, l'articolo 14;

Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea» e, in particolare, gli articoli 31 e 32;

Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023» e, in particolare, l'articolo 16;

Visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011;

Vista la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2);

Vista la direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario;

Vista la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio;

Vista la comunicazione della Commissione del 13 settembre 2023, recante «Orientamenti della Commissione sull'applicazione dell'articolo 4, paragrafi 1 e 2, della direttiva (UE) 2022/2555 (direttiva NIS 2)»;

Visto il decreto legislativo 1° settembre 1993, n. 385, recante «Testo unico delle leggi in materia bancaria e creditizia»;

Visto il decreto legislativo 24 febbraio 1998, n. 58, recante «Testo unico delle disposizioni in materia di intermediazione finanziaria, ai sensi degli articoli 8 e 21 della legge 6 febbraio 1996, n. 52»;

Visto il decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326, recante «Disposizioni urgenti per favorire lo sviluppo e per la correzione dell'andamento dei conti pubblici» e, in particolare, l'articolo 5, comma 6, relativo alla disciplina applicabile alla Cassa depositi e prestiti S.p.A.;

Visto il decreto legislativo 7 settembre 2005, n. 209, recante «Codice delle assicurazioni private»;

Visto il decreto legislativo 5 dicembre 2005, n. 252, recante «Disciplina delle forme pensionistiche complementari»;

Vista la legge 28 dicembre 2005, n. 262, recante «Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari»;

Visto il decreto legislativo 16 novembre 2015, n. 180, recante «Attuazione della direttiva 2014/59/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, che istituisce un quadro di risanamento e risoluzione degli enti creditizi e delle imprese di investimento e che modifica la direttiva 82/891/CEE del Consiglio, e le direttive 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE e 2013/36/UE e i regolamenti (UE), n. 1093/2010 e (UE) n. 648/2012, del Parlamento europeo e del Consiglio»;

Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica»;

Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;

Vista la legge 28 giugno 2024, n. 90, recante «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici» e, in particolare, l'articolo 15 che ha modificato l'articolo 16, comma 2, della legge 21 febbraio 2024, n. 15;

Visto il decreto legislativo 5 settembre 2024, n. 129, recante «Adeguamento della normativa nazionale al regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio, del 31 maggio 2023, relativo ai mercati delle cripto-attività e che modifica i regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937»;

Visto il decreto legislativo 4 settembre 2024, n. 138, recante «Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148»;

Acquisito il parere dell'Agenzia per la cybersicurezza nazionale, espresso in data 22 novembre 2024;

Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 9 dicembre 2024;

Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;

Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 28 febbraio 2025;

Sulla proposta del Ministro per gli affari europei, il PNRR e le politiche di coesione e del Ministro dell'economia e delle finanze, di concerto con i Ministri degli affari esteri e della cooperazione internazionale e della giustizia;

Emana

il seguente decreto legislativo:

Capo I

Disposizioni generali

Art. 1. Definizioni

1. Ai fini del presente decreto, si applicano le definizioni contenute negli articoli 2, paragrafo 2, e 3 del Regolamento 14 dicembre 2022, n. 2554.

2. Nel presente decreto si intendono per:

a) «Autorità competenti DORA»: le Autorità competenti di cui all'articolo 3, commi 1, 2 e 3, del presente decreto;

b) «Autorità nazionale competente NIS»: l'Agenzia per la cybersicurezza nazionale, quale autorità nazionale unica competente in materia di sicurezza delle reti e dei sistemi informativi, di cui all'articolo 10, comma 1, del decreto legislativo 4 settembre 2024, n. 138;

c) «CSIRT Italia»: il Gruppo nazionale di risposta agli incidenti di sicurezza informatica operante presso l'Agenzia di cybersicurezza nazionale di cui all'articolo 15 del decreto legislativo 4 settembre 2024, n. 138;

d) «regolamento DORA»: il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022;

e) «direttiva DORA»: la Direttiva 14 dicembre 2022, n. 2556 del Parlamento europeo e del Consiglio;

f) «TUB»: il testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1 settembre 1993, n. 385;

g) «TUF»: il testo unico delle disposizioni in materia di intermediazione finanziaria, di cui al decreto legislativo 24 febbraio 1998, n. 58;

h) «CAP»: il codice delle assicurazioni private, di cui al decreto legislativo 7 settembre 2005, n. 209;

i) «Bancoposta»: Poste Italiane S.p.A., per le attività di bancoposta di cui al decreto del Presidente della Repubblica 14 marzo 2001, n. 144.

3. Per quanto non diversamente previsto dal presente articolo si applicano le definizioni previste dalle disposizioni del TUB, del TUF, del CAP e del decreto legislativo 5 dicembre 2005, n. 252.

Art. 2. Oggetto e ambito di applicazione

1. Il presente decreto detta le disposizioni necessarie all'adeguamento del quadro normativo nazionale al regolamento DORA e al recepimento della direttiva DORA, nonchè a garantire il coordinamento con le vigenti disposizioni di settore.

2. Il presente decreto individua, altresì, le disposizioni applicabili agli intermediari finanziari e a Bancoposta in materia di resilienza operativa digitale.

3. Resta fermo quanto stabilito dal decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, in materia di perimetro di sicurezza nazionale cibernetica, nei confronti dei soggetti di cui all'articolo 1, comma 2-bis, del medesimo decreto-legge n. 105 del 2019.

Capo II

Autorità competenti e cooperazione

Art. 3. Autorità competenti DORA e partecipazione al forum di sorveglianza

1. Ai sensi dell'articolo 46 del regolamento DORA, la Banca d'Italia, la Commissione nazionale per la società e la borsa (Consob), l'Istituto per la vigilanza sulle assicurazioni (IVASS) e la Commissione di vigilanza sui fondi pensione (COVIP) sono le autorità competenti per il rispetto degli obblighi posti dal medesimo regolamento a carico dei soggetti vigilati dalle medesime autorità, secondo le rispettive attribuzioni di vigilanza.

2. La Banca d'Italia è l'autorità competente per il rispetto degli obblighi posti dal regolamento DORA a carico di Cassa depositi e prestiti S.p.A.

3. La Banca d'Italia è l'autorità competente per il rispetto degli obblighi posti dal presente decreto legislativo a carico degli intermediari finanziari e di Bancoposta.

4. Ai fini della partecipazione al forum di sorveglianza di cui all'articolo 32 del regolamento DORA:

a) la Banca d'Italia è l'autorità competente interessata di cui al paragrafo 4, lettera b), del citato articolo 32;

b) la Consob partecipa in qualità di osservatore con un proprio rappresentante ai sensi del paragrafo 4, lettera d), del medesimo articolo 32;

c) a seconda della tematica trattata, possono partecipare in qualità di osservatori con un proprio rappresentante ai sensi del paragrafo 4, lettera d), del medesimo articolo 32 anche l'IVASS e la COVIP.

5. I protocolli di cui all'articolo 5, comma 1, del presente decreto possono disciplinare le modalità di partecipazione e lo scambio di informazioni relative al forum di sorveglianza.

Art. 4. Segnalazione dei gravi incidenti nelle tecnologie dell'informazione e della comunicazione (TIC) e notifica volontaria delle minacce informatiche significative

1. Sono competenti a ricevere le segnalazioni dei gravi incidenti nelle tecnologie dell'informazione e della comunicazione (TIC) e le notifiche volontarie relative alle minacce informatiche significative, di cui all'articolo 19 del regolamento DORA:

a) la Banca d'Italia, dalle entità finanziarie di cui all'articolo 2, paragrafo 1, lettere a), b), c), d), e), f), h), k), l) e s), del regolamento DORA, dalle sedi di negoziazione all'ingrosso di titoli di Stato, nonchè da Cassa depositi e prestiti S.p.A., da intermediari finanziari e da Bancoposta;

b) la Consob, dalle entità finanziarie di cui all'articolo 2, paragrafo 1, lettere g) e i), del regolamento DORA, a esclusione delle sedi di negoziazione all'ingrosso di titoli di Stato;

c) l'IVASS, dalle entità finanziarie di cui all'articolo 2, paragrafo 1, lettere n) e o), del regolamento DORA;

d) la COVIP, dalle entità finanziarie di cui all'articolo 2, paragrafo 1, lettera p), del regolamento DORA.

2. Nel caso di entità finanziarie vigilate da più Autorità competenti DORA, l'Autorità ricevente, come individuata al comma 1, trasmette tempestivamente alle altre Autorità competenti la notifica iniziale e ciascuna relazione di cui all'articolo 19, paragrafo 4, del regolamento DORA, relative ai gravi incidenti TIC, nonchè le notifiche volontarie relative alle minacce informatiche significative, con le modalità definite nei protocolli di intesa di cui all'articolo 5, comma 1, del presente decreto.

3. Fermo restando quanto previsto ai commi 1, 2 e 4, le entità finanziarie del settore bancario e delle infrastrutture dei mercati finanziari di cui all'allegato I alla direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, nonchè i soggetti appartenenti al settore bancario e delle infrastrutture dei mercati finanziari identificati come critici ai sensi della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, forniscono, ai sensi dell'articolo 19, paragrafo 1, comma 6, del regolamento DORA, anche a CSIRT Italia la notifica iniziale dei gravi incidenti TIC e ciascuna relazione di cui al medesimo articolo 19, paragrafo 4, del regolamento DORA, utilizzando i modelli e nel rispetto dei termini definiti ai sensi dell'articolo 20 del medesimo regolamento. Le informazioni trasmesse a CSIRT Italia ai sensi del presente comma sono coperte dal segreto d'ufficio.

4. Le entità finanziarie che procedono alla notifica su base volontaria delle minacce informatiche significative, a norma dell'articolo 19, paragrafo 2, del regolamento DORA, possono trasmettere la notifica anche a CSIRT Italia. Le informazioni trasmesse a CSIRT Italia, ai sensi del presente comma, sono coperte dal segreto d'ufficio.

5. Con riferimento alle sedi di negoziazione all'ingrosso di titoli di Stato, la notifica iniziale, le relazioni di cui all'articolo 19, paragrafo 4, del regolamento DORA relative ai gravi incidenti TIC, nonchè le notifiche volontarie relative alle minacce informatiche significative, sono trasmesse dalla Banca d'Italia anche al Ministero dell'economia e delle finanze contestualmente alla trasmissione alla Consob ai sensi del comma 2.

Art. 5. Protocolli d'intesa e scambio di informazioni

1. Le Autorità competenti DORA individuano forme di coordinamento operativo e informativo tramite uno o più protocolli d'intesa, che garantiscono la tempestiva e completa condivisione dei dati e delle informazioni utili all'esercizio delle proprie funzioni di vigilanza, ivi incluse le informazioni sui gravi incidenti TIC, anche in relazione alle entità finanziarie soggette, ai sensi della normativa di settore, alla vigilanza di più Autorità. I protocolli d'intesa sono resi pubblici con le modalità stabilite dalle medesime Autorità.

2. Per le finalità di cui al regolamento DORA, le Autorità competenti DORA stipulano protocolli di intesa con l'Agenzia per la cybersicurezza nazionale per regolare lo scambio di informazioni pertinenti, istituire forme di consulenza e assistenza tecnica reciproca e meccanismi di coordinamento efficaci e di risposta rapida nel caso di incidenti, nonchè specificare, se del caso, le modalità di coordinamento delle attività relative a soggetti essenziali o importanti, ai sensi della direttiva (UE) 2022/2555, che siano stati designati come fornitori terzi critici di servizi TIC, a norma dell'articolo 31 del regolamento DORA. Le Autorità competenti DORA stipulano un apposito protocollo d'intesa con il Corpo della Guardia di finanza, ai sensi dell'articolo 19, paragrafo 6, lettera e), del regolamento DORA, per disciplinare lo scambio di informazioni relative alle segnalazioni e alle notifiche di cui all'articolo 4, per finalità di prevenzione, accertamento e repressione degli illeciti di natura economico finanziaria.

3. Le informazioni acquisite dall'Agenzia per la cybersicurezza nazionale, anche sulla base dei protocolli di intesa di cui al comma 2, sono trasmesse agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, per le loro finalità istituzionali, sulla base di intesa tra l'Agenzia per la cybersicurezza nazionale e gli stessi organismi di informazione per la sicurezza e, ove rilevanti per la difesa dello Stato, al Ministero della difesa, in qualità di Autorità nazionale di gestione delle crisi informatiche ai sensi dell'articolo 13 del decreto legislativo 4 settembre 2024, n. 138.

4. Qualora l'Autorità nazionale competente NIS, in sede di vigilanza o di esecuzione, venga a conoscenza di una violazione degli obblighi di segnalazione di cui all'articolo 4 del presente decreto da parte di un'entità finanziaria, ne informa, senza indebito ritardo, le Autorità competenti DORA.

Capo III

Disposizioni applicabili agli intermediari finanziari e a Bancoposta

Art. 6. Disposizioni applicabili agli intermediari finanziari

1. Agli intermediari finanziari si applicano le disposizioni di cui agli articoli 4, 16, paragrafi 1 e 2, 17, 18, paragrafi 1 e 2, 19, paragrafi 1, 2, 3, 4 e 5, 22, paragrafo 1, 24, 25, paragrafo 1, 28, paragrafi 1, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, 31, paragrafo 12, 45, 51, 54, 55 e 56 del regolamento DORA e alle relative norme tecniche di regolamentazione e attuazione, in quanto compatibili.

2. Agli intermediari finanziari che si qualificano come microimprese ai sensi dell'articolo 3, paragrafo 1, punto 60), del regolamento DORA non si applica l'articolo 24 del medesimo regolamento. Gli intermediari finanziari di cui al primo periodo eseguono i test di cui all'articolo 25, paragrafo 1, del regolamento DORA con le modalità previste dall'articolo 25, paragrafo 3, del medesimo regolamento.

3. La Banca d'Italia può individuare, nelle disposizioni attuative adottate ai sensi dell'articolo 9, una categoria di intermediari finanziari a cui, sulla base delle dimensioni e dell'attività svolta, si applica, in luogo dell'articolo 16, paragrafi 1 e 2, del regolamento DORA, quanto previsto dagli articoli 5, 6, 7, 8, 9, 10, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8 e 10, 12, paragrafi 1, 2, 3, 4, 6 e 7, 13 e 14 del medesimo regolamento e dalle relative norme tecniche di regolamentazione e attuazione, in quanto compatibili.

Art. 7. Disposizioni applicabili a Bancoposta

1. A Bancoposta si applica quanto previsto dagli articoli 4, 5, 6, 7, 8, 9, 10, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8 e 10, 12, paragrafi 1, 2, 3, 4, 6 e 7, 13, 14, 17, 18, paragrafi 1 e 2, 19, paragrafi 1, 2, 3, 4 e 5, 22, paragrafo 1, 23, 24, 25, paragrafo 1, 26, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 27, 28, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, 31, paragrafo 12, 45, 51, 54, 55 e 56 del regolamento DORA e dalle relative norme tecniche di regolamentazione e attuazione, in quanto compatibili.

Capo IV

Poteri di vigilanza, poteri regolamentari e sanzioni

Art. 8. Poteri di vigilanza

1. Ai fini dello svolgimento dei compiti previsti dal regolamento DORA, dagli atti delegati e dalle norme tecniche di regolamentazione e di attuazione del medesimo regolamento, nonchè dal presente decreto e dalle relative disposizioni attuative, le Autorità competenti DORA, secondo le rispettive competenze, dispongono nei confronti delle entità finanziarie, di Cassa depositi e prestiti S.p.A., degli intermediari finanziari, di Bancoposta e dei fornitori terzi di servizi TIC a supporto di funzioni essenziali o importanti, dei poteri di vigilanza previsti dagli articoli 42, paragrafo 6, e 50, paragrafo 2, del regolamento DORA e di quelli attribuiti dalla normativa di settore, nonchè di quelli previsti dal presente articolo.

2. Per le finalità di cui al comma 1, le Autorità competenti DORA possono effettuare accessi e ispezioni presso i fornitori terzi di servizi TIC a supporto di funzioni essenziali o importanti delle entità finanziarie, di Cassa depositi e prestiti S.p.A., degli intermediari finanziari e di Bancoposta, nonchè convocare gli amministratori, i sindaci e il personale dei medesimi fornitori e richiedere loro di fornire informazioni e di esibire documenti. Restano fermi i poteri previsti dagli articoli 51, 53-bis, 54 e 108 del TUB, dall'articolo 4, comma 4, del decreto legislativo 5 settembre 2024, n. 129, dagli articoli 6, comma 1, lettera c), 30-septies, 188, 189, 190, 205-bis del CAP e dagli articoli 5-septies e 19 del decreto legislativo 5 dicembre 2005, n. 252, nei confronti dei soggetti ai quali siano state esternalizzate funzioni aziendali e del relativo personale, nonchè i poteri previsti dagli articoli 114-quinquies.2 e 114-quaterdecies del TUB, dagli articoli 6-bis, 6-ter, 7 e 62-novies del TUF e dall'articolo 22 della legge 28 dicembre 2005, n. 262.

Art. 9. Poteri regolamentari

1. Le Autorità competenti DORA possono, nell'ambito delle rispettive competenze, emanare disposizioni attuative del presente decreto e del regolamento DORA, anche per tener conto degli orientamenti delle Autorità europee di vigilanza, nonchè delle disposizioni riguardanti le modalità di esercizio dei poteri di vigilanza.

Art. 10. Sanzioni amministrative e altre misure

1. Al testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1 settembre 1993, n. 385, sono apportate le seguenti modificazioni:

a) all'articolo 144, dopo il comma 8, sono inseriti i seguenti:

«8-bis. In caso di inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica:

a) nei confronti delle banche, degli intermediari finanziari e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino al 10 per cento del fatturato;

b) nei confronti degli istituti di pagamento, degli istituti di moneta elettronica e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni ovvero fino al 10 per cento del fatturato, quando tale importo è superiore a euro 5 milioni e il fatturato è disponibile e determinabile.

8-ter. In caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica:

b) nei confronti degli istituti di pagamento, degli istituti di moneta elettronica e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni ovvero fino al 7 per cento del fatturato, quando tale importo è superiore a euro 3,5 milioni e il fatturato è disponibile e determinabile.»;

b) all'articolo 144-ter:

1) dopo il comma 2, sono inseriti i seguenti:

«2-bis. Salvo che il fatto costituisca reato, se le violazioni indicate dall'articolo 144, commi 8-bis e 8-ter, sono commesse da una persona fisica di cui al comma 2-ter, si applica nei confronti di quest'ultima una sanzione amministrativa pecuniaria:

a) da euro 5.000 fino a euro 5 milioni, nei casi di cui alle lettere a) e b) del comma 8-bis dell'articolo 144;

b) da euro 5.000 fino a euro 3,5 milioni, nei casi di cui alle lettere a) e b) del comma 8-ter dell'articolo 144.

2-ter. Fermo restando quanto previsto per le società e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui al comma 2-bis si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle società e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza è conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della società o dell'ente a provvedimenti specifici adottati dalla Banca d'Italia ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, da parte della società o dell'ente.

2-quater. Se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa è superiore ai limiti massimi indicati nel comma 2-bis, la sanzione amministrativa pecuniaria è elevata fino al doppio dell'ammontare del vantaggio ottenuto, purchè tale ammontare sia determinabile.»;

2) al comma 3 dopo le parole: «di applicazione della sanzione» sono inserite le seguenti: «di cui ai commi 1 e 2»;

3) dopo il comma 3, è inserito il seguente:

«3-bis. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui al comma 2-bis del presente articolo in ragione della gravità della violazione accertata, può essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto legislativo, del decreto legislativo 24 febbraio 1998, n. 58, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129 o presso fondi pensione.».

2. Al testo unico delle disposizioni in materia di intermediazione finanziaria, di cui al decreto legislativo 24 febbraio 1998, n. 58, dopo l'articolo 190-bis.2 è inserito il seguente:

«Art. 190 bis.3 (Sanzioni amministrative relative alle violazioni delle disposizioni previste dal regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e dalle relative norme tecniche di regolamentazione e attuazione). - 1. In caso di inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica:

a) nei confronti delle società di intermediazione mobiliare (SIM), delle società di gestione del risparmio (SGR), delle società di investimento a capitale variabile (SICAV), delle società di investimento a capitale fisso (SICAF), delle controparti centrali, dei gestori di mercati regolamentati e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni, ovvero fino al 10 per cento del fatturato, quando tale importo è superiore a euro 5 milioni e il fatturato è determinabile;

b) nei confronti dei depositari centrali di titoli e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 20 milioni, ovvero fino al 10 per cento del fatturato, quando tale importo è superiore a euro 20 milioni;

c) nei confronti dei fornitori di servizi di crowdfunding e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 500 fino a euro 500.000, ovvero fino al 5 per cento del fatturato, quando tale importo è superiore a euro 500.000 e il fatturato è determinabile;

d) nei confronti degli amministratori di indici di riferimento critici e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 10.000 fino a euro 1 milione, ovvero fino al 10 per cento del fatturato totale annuo, quando tale importo è superiore a euro 1 milione e il fatturato è determinabile.

2. Salvo che il fatto costituisca reato, se le violazioni indicate dal comma 1 sono commesse da una persona fisica di cui al comma 5, si applica nei confronti di quest'ultima una sanzione amministrativa pecuniaria:

a) da euro 5.000 fino a euro 5 milioni, nei casi di cui alle lettere a) e b), del comma 1;

b) da euro 500 fino a euro 500.000, nei casi di cui alla lettera c) del comma 1;

c) da euro 5.000 fino a euro 500.000, nei casi di cui alla lettera d) del comma 1.

3. In caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica:

a) nei confronti delle SIM, delle SGR, delle SICAV, delle SICAF, delle controparti centrali, dei gestori di mercati regolamentati e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni, ovvero fino al 7 per cento del fatturato, quando tale importo è superiore a euro 3,5 milioni e il fatturato è determinabile;

b) nei confronti dei depositari centrali di titoli e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 14 milioni, ovvero fino al 7 per cento del fatturato, quando tale importo è superiore a euro 14 milioni;

c) nei confronti dei fornitori di servizi di crowdfunding e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 500 fino a euro 350.000, ovvero fino al 3,5 per cento del fatturato, quando tale importo è superiore a euro 350.000 e il fatturato è determinabile;

d) nei confronti degli amministratori di indici di riferimento critici e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 10.000 fino a euro 700.000, ovvero fino al 7 per cento del fatturato totale annuo, quando tale importo è superiore a euro 700.000 e il fatturato è determinabile.

4. Salvo che il fatto costituisca reato, se le violazioni indicate dal comma 3 sono commesse da una persona fisica di cui al comma 5, si applica nei confronti di quest'ultima una sanzione amministrativa pecuniaria:

a) da euro 5.000 fino a euro 3,5 milioni, nei casi di cui alle lettere a) e b), del comma 3;

b) da euro 500 fino a euro 350.000, nei casi di cui alla lettera c) del comma 3;

c) da euro 5.000 fino a euro 350.000, nei casi di cui alla lettera d) del comma 3.

5. Fermo restando quanto previsto per le società e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui ai commi 2 e 4 si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle società e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza è conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della società o dell'ente a provvedimenti specifici adottati dalla Banca d'Italia e dalla Consob, secondo le rispettive competenze, ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 da parte della società o dell'ente.

6. Se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa è superiore ai limiti massimi indicati nei commi 1, 2, 3 e 4, la sanzione amministrativa pecuniaria è elevata fino al doppio dell'ammontare del vantaggio ottenuto, purchè tale ammontare sia determinabile.

7. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui ai commi 2 e 4 in ragione della gravità della violazione accertata, può essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto, del decreto legislativo 1° settembre 1993, n. 385, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129, o presso fondi pensione.

8. Le sanzioni amministrative previste dal presente articolo sono applicate dalla Banca d'Italia e dalla Consob, secondo le rispettive competenze e secondo la procedura sanzionatoria di cui all'articolo 195, nei casi di cui al comma 1, lettere a), b), c) e d), e al comma 2, lettere a), b), c), e nei casi di cui al comma 3, lettere a), b), c), e d), e al comma 4 lettere a), b) e c). Alle violazioni di competenza della Consob si applica l'articolo 196-ter.».

3. Al codice delle assicurazioni private, di cui al decreto legislativo 7 settembre 2005, n. 209, sono apportate le seguenti modificazioni:

a) all'articolo 310:

1) al comma 1, dopo la lettera c), è aggiunta la seguente:

«c-bis) inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, da parte delle imprese di assicurazione, delle imprese di riassicurazione e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554.»;

2) dopo il comma 1, è inserito il seguente:

«1-bis. Si applica la sanzione amministrativa pecuniaria da euro 30.000 al 7 per cento del fatturato in caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, da parte delle imprese di assicurazione, delle imprese di riassicurazione e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554.»;

3) al comma 2, le parole: «comma 1, lettere a) e b)» sono sostituite dalle seguenti: «comma 1, lettere a), b) e c-bis)»;

b) all'articolo 311-sexies:

1) dopo il comma 2 sono inseriti i seguenti:

«2-bis. Salvo che il fatto costituisca reato, se le violazioni indicate dall'articolo 310, commi 1, lettera c-bis), e 1-bis, sono commesse da una persona fisica di cui al comma 2-ter, si applica nei confronti di quest'ultima una sanzione amministrativa pecuniaria:

a) da euro 5.000 fino a euro 5 milioni, nei casi di cui alla lettera c-bis) del comma 1 dell'articolo 310;

b) da euro 5.000 fino a euro 3,5 milioni, nei casi di cui al comma 1-bis dell'articolo 310.

2-ter. Fermo restando quanto previsto per le società e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui al comma 2-bis si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle società e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza è conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della società o dell'ente a provvedimenti specifici adottati dall'IVASS, ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 da parte della società o dell'ente.»;

2) dopo il comma 3 è inserito il seguente:

«3-bis. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui al comma 2-bis in ragione della gravità della violazione accertata, può essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto legislativo, del decreto legislativo 24 febbraio 1998, n. 58, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129 o presso fondi pensione.»;

c) all'articolo 324:

1) dopo il comma 7-bis, sono aggiunti i seguenti:

«7-ter. In caso di inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, da parte degli intermediari assicurativi, degli intermediari riassicurativi, degli intermediari assicurativi a titolo accessorio e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, si applica, per le società, la sanzione amministrativa pecuniaria di cui al comma 1, lettera c), numero 1).

7-quater. In caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, da parte degli intermediari assicurativi, degli intermediari riassicurativi, degli intermediari assicurativi a titolo accessorio e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, si applica, per le società, la sanzione amministrativa pecuniaria da 5.000 euro a 3,5 milioni di euro oppure, se superiore, pari al 3,50 per cento del fatturato complessivo annuo risultante dall'ultimo bilancio disponibile approvato dall'organo di amministrazione.

7-quinquies. Salvo che il fatto costituisca reato, se le violazioni indicate dai commi 7-ter e 7-quater sono commesse da una persona fisica di cui al comma 7-sexies, si applica nei confronti di quest'ultima la sanzione amministrativa pecuniaria:

a) di cui al comma 1, lettera c), numero 2), nei casi di cui al comma 7-ter;

b) da euro 1.000 fino a euro 500.000, nei casi di cui al comma 7-quater.

7-sexies. Fermo restando quanto previsto per le società e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui al comma 7-quinquies si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle società e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza è conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della società o dell'ente a provvedimenti specifici adottati dall'IVASS, ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 da parte della società o dell'ente.

7-septies. Se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa è superiore ai limiti massimi indicati nei commi 7-ter, 7-quater e 7-quinquies, la sanzione amministrativa pecuniaria è elevata fino al doppio dell'ammontare del vantaggio ottenuto, purchè tale ammontare sia determinabile.

7-octies. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui al comma 7-quinquies, in ragione della gravità della violazione accertata, può essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto, del decreto legislativo 1° settembre 1993, n. 385, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129, o presso fondi pensione.»;

2) alla rubrica, dopo le parole: «inclusi i prodotti di investimento assicurativo,» sono inserite le seguenti: «nonchè alle violazioni delle disposizioni previste dal regolamento (UE) 2022/2554 e dalle relative norme tecniche di regolamentazione e attuazione,».

4. All'articolo 19-quater del decreto legislativo 5 dicembre 2005, n. 252, dopo il comma 2, sono inseriti i seguenti:

«2-bis. I soggetti di cui al comma 2 che, in relazione alle rispettive competenze:

a) non osservano le disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 7, 8, 9, 10, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 12, 13, 14, 16, paragrafi 1 e 2, 17, 18, paragrafi 1 e 2, 19, paragrafi 1, 3 e 4, 24, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, sono puniti con la sanzione amministrativa pecuniaria di cui al comma 2, lettera b);

b) omettono di collaborare o di dare seguito nell'ambito di un'indagine, di un'ispezione o di una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, sono puniti con la sanzione amministrativa di cui al comma 2, lettera a).

2-ter. Alle sanzioni di cui al comma 2-bis si applicano i commi 3, 4, a eccezione del secondo periodo, e 4-bis dell'articolo 19-quater del decreto legislativo 5 dicembre 2005, n. 252.».

5. Al decreto legislativo 5 settembre 2024, n. 129, dopo l'articolo 37, è inserito il seguente:

«Art. 37 bis. (Sanzioni amministrative relative alle violazioni delle disposizioni previste dal regolamento (UE) 2022/2554 e dalle relative norme tecniche di regolamentazione e attuazione). - 1. In caso di inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica:

a) nei confronti degli emittenti di token collegati ad attività e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni, ovvero, se superiore, fino al 12,5 per cento del fatturato totale annuo;

b) nei confronti dei prestatori di servizi in cripto-attività e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni, ovvero, se superiore, fino al 5 per cento del fatturato totale annuo.

2. In caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica:

a) nei confronti degli emittenti di token collegati ad attività e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni, ovvero, se superiore, fino al 9 per cento del fatturato totale annuo;

b) nei confronti dei prestatori di servizi in cripto-attività e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni, ovvero, se superiore, fino al 3,50 per cento del fatturato totale annuo.

3. Salvo che il fatto costituisca reato, se le violazioni indicate dai commi 1 e 2 sono commesse da una persona fisica di cui al comma 4, si applica nei confronti di quest'ultima la sanzione amministrativa pecuniaria:

a) da euro 5.000 fino a euro 700.000, nei casi di cui al comma 1;

b) da euro 5.000 fino a euro 500.000, nei casi di cui al comma 2.

4. Fermo restando quanto previsto per le società e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui al comma 3 si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle società e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza è conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della società o dell'ente a provvedimenti specifici adottati dalla Banca d'Italia e dalla Consob, secondo le rispettive competenze, ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 da parte della società o dell'ente.

5. Se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa è superiore ai limiti massimi indicati nei commi 1, 2 e 3, la sanzione amministrativa pecuniaria è elevata fino al doppio dell'ammontare del vantaggio ottenuto, purchè tale ammontare sia determinabile.

6. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui al comma 3, in ragione della gravità della violazione accertata, può essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto, del decreto legislativo 1° settembre 1993, n. 385, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129, o presso fondi pensione.

7. Le sanzioni amministrative previste dal presente articolo sono applicate dalla Banca d'Italia e dalla Consob, secondo le rispettive competenze e secondo la procedura sanzionatoria di cui all'articolo 195 del decreto legislativo 24 febbraio 1998, n. 58. Alle violazioni di competenza della Consob si applica l'articolo 196-ter del decreto legislativo n. 58 del 1998.».

6. Quando le violazioni di cui al presente articolo sono connotate da scarsa offensività o pericolosità, le Autorità competenti DORA possono, in alternativa all'irrogazione delle sanzioni amministrative pecuniarie, disporre l'applicazione delle misure di cui all'articolo 50, paragrafo 4, lettere a) ed e), del regolamento DORA.

7. Le Autorità competenti DORA, ai sensi dell'articolo 50, paragrafo 4, lettera b), del regolamento DORA, possono richiedere la cessazione temporanea o permanente di qualsiasi pratica o comportamento che considerino contrari alle disposizioni del regolamento stesso e prevenirne la reiterazione.

8. Per stabilire l'importo e la tipologia delle sanzioni amministrative o delle misure di riparazione applicate, ai sensi del presente articolo, le Autorità competenti DORA tengono conto, nel rispetto dell'articolo 51, paragrafo 2, del regolamento DORA, della condotta intenzionale o negligente e di tutte le altre circostanze pertinenti, avuto riguardo:

a) alla rilevanza, alla gravità e alla durata della violazione;

b) al grado di responsabilità della persona fisica o giuridica responsabile della violazione;

c) alla solidità finanziaria della persona fisica o giuridica responsabile;

d) all'importanza degli utili realizzati o delle perdite evitate da parte della persona fisica o giuridica responsabile, nella misura in cui possano essere determinati;

e) alle perdite subite da terzi a causa della violazione, nella misura in cui possano essere determinate;

f) al livello di cooperazione che la persona fisica o giuridica responsabile ha dimostrato nei confronti dell'autorità competente, ferma restando la necessità di garantire la restituzione degli utili realizzati o delle perdite evitate da tale persona fisica o giuridica;

g) alle precedenti violazioni commesse dalla persona fisica o giuridica responsabile.

9. Il provvedimento di applicazione delle sanzioni previste dal presente articolo, dopo la comunicazione al destinatario, è pubblicato senza ritardo e per estratto nel sito internet dell'Autorità competente DORA che lo ha adottato, in conformità all'articolo 54 del regolamento DORA, salvo quanto previsto nel paragrafo 3 del medesimo articolo.

Capo V

Ulteriori modificazioni e integrazioni della normativa di settore e disposizioni di coordinamento

Art. 11. Modifiche al testo unico delle disposizioni in materia di intermediazione finanziaria, di cui al decreto legislativo 24 febbraio 1998, n. 58

1. Al testo unico delle disposizioni in materia di intermediazione finanziaria, di cui al decreto legislativo 24 febbraio 1998, n. 58, sono apportate le seguenti modificazioni:

a) all'articolo 65, comma 1,

1) la lettera b) è sostituita dalla seguente:

«b) procedure per gestire i rischi ai quali sono esposti, compresi i rischi informatici ai sensi del capo II del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, dispositivi e sistemi adeguati a identificare i rischi che possono comprometterne il funzionamento e misure efficaci per attenuare tali rischi;»;

2) la lettera c) è abrogata;

b) all'articolo 65-sexies il comma 1 è sostituito dal seguente:

«1. I mercati regolamentati e i gestori di un sistema multilaterale di negoziazione o di un sistema organizzato di negoziazione istituiscono e mantengono la loro resilienza operativa, conformemente agli obblighi stabiliti al capo II del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, per assicurare che i loro sistemi di negoziazione:

a) siano resilienti e abbiano capacità sufficiente per gestire i picchi di volume di ordini e messaggi;

b) siano in grado di garantire negoziazioni ordinate in condizioni di mercato critiche;

c) siano pienamente testati per garantire il rispetto delle condizioni di cui alle lettere a) e b);

d) siano soggetti a efficaci disposizioni in materia di continuità operativa, compresi politica e piani di continuità operativa delle tecnologie dell'informazione e della comunicazione e piani di risposta e di ripristino relativi alle tecnologie dell'informazione e della comunicazione istituiti ai sensi dell'articolo 11 del regolamento (UE) 2022/2554, per assicurare la continuità dei servizi in caso di malfunzionamento dei loro sistemi di negoziazione.».

Art. 12. Modifica al codice delle assicurazioni private, di cui al decreto legislativo 7 settembre 2005, n. 209

1. All'articolo 30 del codice delle assicurazioni private, di cui al decreto legislativo 7 settembre 2005, n. 209, il comma 4 è sostituito dal seguente:

«4. L'impresa adotta misure ragionevoli idonee a garantire la continuità e la regolarità dell'attività esercitata, inclusa l'elaborazione di piani di emergenza. A tal fine, l'impresa utilizza sistemi, risorse e procedure interne adeguati e proporzionati e, in particolare, istituisce e gestisce sistemi informatici e di rete conformemente al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022.».

Art. 13. Modifica al decreto legislativo 5 dicembre 2005, n. 252

1. All'articolo 4-bis del decreto legislativo 5 dicembre 2005, n. 252, il comma 6 è sostituito dal seguente:

«6. I fondi pensione di cui al comma 1 adottano misure ragionevoli atte a garantire la continuità e la regolarità dello svolgimento delle loro attività, tra cui l'elaborazione di piani di emergenza. A tal fine i fondi pensione utilizzano sistemi, risorse e procedure adeguati e proporzionati e in particolare, istituiscono e gestiscono sistemi informatici e di rete conformemente al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, ove applicabile.».

Art. 14. Modifiche al decreto legislativo 16 novembre 2015, n. 180

1. Al decreto legislativo 16 novembre 2015, n. 180, sono apportate le seguenti modificazioni:

a) all'articolo 102, comma 3:

1) alla lettera c), dopo le parole: «garantire la continuità» sono inserite le seguenti: «e la resilienza operativa digitale»;

2) alla lettera r), sono aggiunte, in fine, le seguenti parole: «, compresi i sistemi informatici e di rete di cui al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022»;

b) all'articolo 104, comma 1, alla lettera c), dopo le parole: «dei contratti di servizio,» sono inserite le seguenti: «compresi gli accordi contrattuali per l'utilizzo di servizi TIC, come definiti all'articolo 3, punto 21), del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022,».

Art. 15. Disposizioni di coordinamento con il decreto legislativo 4 settembre 2024, n. 138

1. A Bancoposta, se identificato come soggetto essenziale o importante dei settori 3 o 4 dell'allegato I al decreto legislativo 4 settembre 2024, n. 138, non si applicano le disposizioni di cui all'articolo 17 e ai capi IV e V del medesimo decreto, in quanto soggetto sottoposto ai sensi del presente decreto a obblighi derivanti dal diritto dell'Unione europea equivalenti a quelli previsti dal citato decreto legislativo.

Capo VI

Disposizioni finali

Art. 16. Clausola di invarianza finanziaria

1. Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica.

2. Le amministrazioni competenti provvedono all'attuazione del presente decreto nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

Art. 17. Entrata in vigore

1. Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Salvo quanto previsto al primo periodo del presente articolo, l'articolo 6, commi 1 e 2, si applica a decorrere dalla data del 1° gennaio 2027.

Settore:	Normativa nazionale
Materia:	12. Banche e istituti di credito
Capitolo:	12.6 disciplina generale
Data:	10/03/2025
Numero:	23