Banca d’Italia ha pubblicato il ventunesimo numero della International Technical Cooperation Newsletter
Si tratta di una pubblicazione a cadenza semestrale, redatta in lingua inglese, che illustra le attività di cooperazione tecnica svolte dalla Banca d’Italia.
Le modifiche sono volte ad adeguare la disciplina vigente in materia di svalutazione di titoli non durevoli alle disposizioni contenute nell’art. 45, commi 3-octies e ss., del D.l. n. 73/2022, come modificato dal D.l. n. 131/2023, e in particolare riguardano:
  • l’art. 1, nel quale si intendono modificare i commi di riferimento dell’art. 45 del decreto legge n. 73/2022, come modificato dal decreto legge n. 131/2023;
  • l’art. 5, che disciplina le modalità di funzionamento della riserva indisponibile, e in particolare:
    1. i commi 1 e 6, prevedendo, in conformità alla modifica introdotta dal decreto legge n. 131/2023, che, nel calcolo della riserva indisponibile riferita al bilancio di esercizio e alla relazione semestrale, l’impresa tenga conto anche dell’effetto sugli impegni esistenti verso gli assicurati riferiti all’esercizio di bilancio e fino a cinque esercizi successivi, se previsto dal decreto del Ministro dell’economia e delle finanze di cui all’art. 45, comma 3- duodecies, del decreto legge n. 73/2022.
    2. il comma 3, prevedendo che l’impresa inserisca in nota integrativa la tabella esplicativa allegata (allegato A) per la quale sono fornite specifiche istruzioni di compilazione (allegato B) e un’esemplificazione (allegato C).
La consultazione terminerà il 9 marzo 2024.
BCE ha comunicato di aver adottato una nuova policy per una maggiore competenza dei consigli di amministrazione delle banche in materia di ICT e rischi per la sicurezza (ICT risk)
Le priorità di vigilanza dell’MVU per il periodo 2024-26 stabiliscono che le banche dovrebbero affrontare le tecnologie dell’informazione e della comunicazione (TIC) e i rischi per la sicurezza derivanti dalla digitalizzazione dei servizi bancari. Ciò richiede, tra l’altro, che l’organo amministrativo della banca abbia un’adeguata comprensione dell’evoluzione e della rilevanza di tali rischi al fine di assumere decisioni adeguate e tempestive per gestirli.
Negli ultimi anni la vigilanza ha evidenziato carenze nelle conoscenze e competenze collettive degli organi di amministrazione delle banche vigilate in materia di rischi ICT e sicurezza. In questo contesto, BCE e le autorità di vigilanza nazionali hanno collaborato per sviluppare una politica dedicata per valutare la conoscenza collettiva dell’organo di gestione nel contesto delle valutazioni di professionalità e onorabilità.
Secondo la policy, una valutazione di professionalità e onorabilità deve garantire che le seguenti aspettative chiave siano soddisfatte nel settore ICT e dei rischi per la sicurezza:
  • In primo luogo, i membri dell’organo di gestione e delle funzioni di controllo interno, compresi i responsabili della gestione del rischio, della conformità e dell’internal audit, devono avere una comprensione sufficiente dei rischi ICT e di sicurezza, nonché dei relativi dati e dei requisiti di reporting.
  • In secondo luogo, nel valutare l’idoneità collettiva dei membri dell’organo di gestione, dovrebbero essere prese in considerazione le loro conoscenze, competenze ed esperienze in materia di ICT e rischi per la sicurezza. A tal fine, l’organo di gestione dovrebbe avere almeno un membro non esecutivo con conoscenze e competenze pertinenti e recenti in materia di rischi ICT (l’esperienza ha dimostrato che cinque anni di esperienza pratica pertinente rappresentano una soglia adeguata per garantire una buona gestione e processo decisionale a livello di consiglio). Nel valutare il rispetto di tale aspettativa da parte di una banca, la BCE adotterà un approccio basato sul rischio.
  • Infine, come best practice tutti i membri dell’organo di gestione dovrebbero seguire una formazione regolare (almeno una volta all’anno) per garantire che i singoli membri possiedano conoscenze e competenze sufficientemente aggiornate da consentire loro di comprendere e valutare l’attività di una banca e i suoi principali rischi ICT e di sicurezza. Poiché DORA conterrà anche un requisito simile per l’organizzazione di una formazione periodica, le banche sottoposte a vigilanza sono incoraggiate a prendere in considerazione l’organizzazione di tale formazione per i propri membri del consiglio di amministrazione già nel 2024.
La nuova policy per la valutazione delle conoscenze e dell’esperienza dei membri del consiglio in materia di rischi ICT e alla sicurezza si applicherà dal 1° marzo 2024 e sottolinea l’importanza di solidi dispositivi di governance interna per le banche vigilate.