Gazzetta n. 58 del 11 marzo 2025 (vai al sommario) DECRETO LEGISLATIVO 10 marzo 2025, n. 23 Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/2554, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011, e per il recepimento della direttiva (UE) 2022/2556, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario. IL PRESIDENTE DELLA REPUBBLICA Visti gli articoli 76 e 87 della Costituzione; Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri» e, in particolare, l'articolo 14; Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea» e, in particolare, gli articoli 31 e 32; Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023» e, in particolare, l'articolo 16; Visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011; Vista la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2); Vista la direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario; Vista la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio; Vista la comunicazione della Commissione del 13 settembre 2023, recante «Orientamenti della Commissione sull'applicazione dell'articolo 4, paragrafi 1 e 2, della direttiva (UE) 2022/2555 (direttiva NIS 2)»; Visto il decreto legislativo 1° settembre 1993, n. 385, recante «Testo unico delle leggi in materia bancaria e creditizia»; Visto il decreto legislativo 24 febbraio 1998, n. 58, recante «Testo unico delle disposizioni in materia di intermediazione finanziaria, ai sensi degli articoli 8 e 21 della legge 6 febbraio 1996, n. 52»; Visto il decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326, recante «Disposizioni urgenti per favorire lo sviluppo e per la correzione dell'andamento dei conti pubblici» e, in particolare, l'articolo 5, comma 6, relativo alla disciplina applicabile alla Cassa depositi e prestiti S.p.A.; Visto il decreto legislativo 7 settembre 2005, n. 209, recante «Codice delle assicurazioni private»; Visto il decreto legislativo 5 dicembre 2005, n. 252, recante «Disciplina delle forme pensionistiche complementari»; Vista la legge 28 dicembre 2005, n. 262, recante «Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari»; Visto il decreto legislativo 16 novembre 2015, n. 180, recante «Attuazione della direttiva 2014/59/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, che istituisce un quadro di risanamento e risoluzione degli enti creditizi e delle imprese di investimento e che modifica la direttiva 82/891/CEE del Consiglio, e le direttive 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE e 2013/36/UE e i regolamenti (UE), n. 1093/2010 e (UE) n. 648/2012, del Parlamento europeo e del Consiglio»; Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica»; Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»; Vista la legge 28 giugno 2024, n. 90, recante «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici» e, in particolare, l'articolo 15 che ha modificato l'articolo 16, comma 2, della legge 21 febbraio 2024, n. 15; Visto il decreto legislativo 5 settembre 2024, n. 129, recante «Adeguamento della normativa nazionale al regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio, del 31 maggio 2023, relativo ai mercati delle cripto-attivita' e che modifica i regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937»; Visto il decreto legislativo 4 settembre 2024, n. 138, recante «Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148»; Acquisito il parere dell'Agenzia per la cybersicurezza nazionale, espresso in data 22 novembre 2024; Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 9 dicembre 2024; Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica; Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 28 febbraio 2025; Sulla proposta del Ministro per gli affari europei, il PNRR e le politiche di coesione e del Ministro dell'economia e delle finanze, di concerto con i Ministri degli affari esteri e della cooperazione internazionale e della giustizia; Emana il seguente decreto legislativo: Art. 1 Definizioni 1. Ai fini del presente decreto, si applicano le definizioni contenute negli articoli 2, paragrafo 2, e 3 del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022. 2. Nel presente decreto si intendono per: a) «Autorita' competenti DORA»: le Autorita' competenti di cui all'articolo 3, commi 1, 2 e 3, del presente decreto; b) «Autorita' nazionale competente NIS»: l'Agenzia per la cybersicurezza nazionale, quale autorita' nazionale unica competente in materia di sicurezza delle reti e dei sistemi informativi, di cui all'articolo 10, comma 1, del decreto legislativo 4 settembre 2024, n. 138; c) «CSIRT Italia»: il Gruppo nazionale di risposta agli incidenti di sicurezza informatica operante presso l'Agenzia di cybersicurezza nazionale di cui all'articolo 15 del decreto legislativo 4 settembre 2024, n. 138; d) «regolamento DORA»: il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022; e) «direttiva DORA»: la direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio del 14 dicembre 2022; f) «TUB»: il testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385; g) «TUF»: il testo unico delle disposizioni in materia di intermediazione finanziaria, di cui al decreto legislativo 24 febbraio 1998, n. 58; h) «CAP»: il codice delle assicurazioni private, di cui al decreto legislativo 7 settembre 2005, n. 209; i) «Bancoposta»: Poste Italiane S.p.A., per le attivita' di bancoposta di cui al decreto del Presidente della Repubblica 14 marzo 2001, n. 144. 3. Per quanto non diversamente previsto dal presente articolo si applicano le definizioni previste dalle disposizioni del TUB, del TUF, del CAP e del decreto legislativo 5 dicembre 2005, n. 252. N O T E Avvertenza: Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, commi 2 e 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge, modificate o alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. Per gli atti dell'Unione europea vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale dell'Unione Europea (GUUE). Note alle premesse: - L'art. 76 della Costituzione stabilisce che l'esercizio della funzione legislativa non puo' essere delegato al Governo se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti. - L'art. 87, quinto comma, della Costituzione conferisce al Presidente della Repubblica il potere di promulgare le leggi ed emanare i decreti aventi valore di legge e i regolamenti. - Si riporta l'articolo 14 della legge 23 agosto 1988, n. 400, recante: «Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri», pubblicata nella Gazzetta Ufficiale n. 214 del 12 settembre 1988, S.O. n. 86: «Art. 14 (Decreti legislativi). - 1. I decreti legislativi adottati dal Governo ai sensi dell'articolo 76 della Costituzione sono emanati dal Presidente della Repubblica con la denominazione di "decreto legislativo" e con l'indicazione, nel preambolo, della legge di delegazione, della deliberazione del Consiglio dei ministri e degli altri adempimenti del procedimento prescritti dalla legge di delegazione. 2. L'emanazione del decreto legislativo deve avvenire entro il termine fissato dalla legge di delegazione; il testo del decreto legislativo adottato dal Governo e' trasmesso al Presidente della Repubblica, per la emanazione, almeno venti giorni prima della scadenza. 3. Se la delega legislativa si riferisce ad una pluralita' di oggetti distinti suscettibili di separata disciplina, il Governo puo' esercitarla mediante piu' atti successivi per uno o piu' degli oggetti predetti. In relazione al termine finale stabilito dalla legge di delegazione, il Governo informa periodicamente le Camere sui criteri che segue nell'organizzazione dell'esercizio della delega. 4. In ogni caso, qualora il termine previsto per l'esercizio della delega ecceda in due anni, il Governo e' tenuto a richiedere il parere delle Camere sugli schemi dei decreti delegati. Il parere e' espresso dalle Commissioni permanenti delle due Camere competenti per materia entro sessanta giorni, indicando specificamente le eventuali disposizioni non ritenute corrispondenti alle direttive della legge di delegazione. Il Governo, nei trenta giorni successivi, esaminato il parere, ritrasmette, con le sue osservazioni e con eventuali modificazioni, i testi alle Commissioni per il parere definitivo che deve essere espresso entro trenta giorni.». - Si riportano gli articoli 31 e 32 della legge 24 dicembre 2012, n. 234, recante: «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea» pubblicata nella Gazzetta Ufficiale n. 3 del 4 gennaio 2013: «Art. 31 (Procedure per l'esercizio delle deleghe legislative conferite al Governo con la legge di delegazione europea). - 1. In relazione alle deleghe legislative conferite con la legge di delegazione europea per il recepimento delle direttive, il Governo adotta i decreti legislativi entro il termine di quattro mesi antecedenti a quello di recepimento indicato in ciascuna delle direttive; per le direttive il cui termine cosi' determinato sia gia' scaduto alla data di entrata in vigore della legge di delegazione europea, ovvero scada nei tre mesi successivi, il Governo adotta i decreti legislativi di recepimento entro tre mesi dalla data di entrata in vigore della medesima legge; per le direttive che non prevedono un termine di recepimento, il Governo adotta i relativi decreti legislativi entro dodici mesi dalla data di entrata in vigore della legge di delegazione europea. 2. I decreti legislativi sono adottati, nel rispetto dell'articolo 14 della legge 23 agosto 1988, n. 400, su proposta del Presidente del Consiglio dei ministri o del Ministro per gli affari europei e del Ministro con competenza prevalente nella materia, di concerto con i Ministri degli affari esteri, della giustizia, dell'economia e delle finanze e con gli altri Ministri interessati in relazione all'oggetto della direttiva. I decreti legislativi sono accompagnati da una tabella di concordanza tra le disposizioni in essi previste e quelle della direttiva da recepire, predisposta dall'amministrazione con competenza istituzionale prevalente nella materia. 3. La legge di delegazione europea indica le direttive in relazione alle quali sugli schemi dei decreti legislativi di recepimento e' acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica. In tal caso gli schemi dei decreti legislativi sono trasmessi, dopo l'acquisizione degli altri pareri previsti dalla legge, alla Camera dei deputati e al Senato della Repubblica affinche' su di essi sia espresso il parere delle competenti Commissioni parlamentari. Decorsi quaranta giorni dalla data di trasmissione, i decreti sono emanati anche in mancanza del parere. Qualora il termine per l'espressione del parere parlamentare di cui al presente comma ovvero i diversi termini previsti dai commi 4 e 9 scadano nei trenta giorni che precedono la scadenza dei termini di delega previsti ai commi 1 o 5 o successivamente, questi ultimi sono prorogati di tre mesi. 4. Gli schemi dei decreti legislativi recanti recepimento delle direttive che comportino conseguenze finanziarie sono corredati della relazione tecnica di cui all'articolo 17, comma 3, della legge 31 dicembre 2009, n. 196. Su di essi e' richiesto anche il parere delle Commissioni parlamentari competenti per i profili finanziari. Il Governo, ove non intenda conformarsi alle condizioni formulate con riferimento all'esigenza di garantire il rispetto dell'articolo 81, quarto comma, della Costituzione, ritrasmette alle Camere i testi, corredati dei necessari elementi integrativi d'informazione, per i pareri definitivi delle Commissioni parlamentari competenti per i profili finanziari, che devono essere espressi entro venti giorni. 5. Entro ventiquattro mesi dalla data di entrata in vigore di ciascuno dei decreti legislativi di cui al comma 1, nel rispetto dei principi e criteri direttivi fissati dalla legge di delegazione europea, il Governo puo' adottare, con la procedura indicata nei commi 2, 3 e 4, disposizioni integrative e correttive dei decreti legislativi emanati ai sensi del citato comma 1, fatto salvo il diverso termine previsto dal comma 6. 6. Con la procedura di cui ai commi 2, 3 e 4 il Governo puo' adottare disposizioni integrative e correttive di decreti legislativi emanati ai sensi del comma 1, al fine di recepire atti delegati dell'Unione europea di cui all'articolo 290 del Trattato sul funzionamento dell'Unione europea, che modificano o integrano direttive recepite con tali decreti legislativi. Le disposizioni integrative e correttive di cui al primo periodo sono adottate nel termine di cui al comma 5 o nel diverso termine fissato dalla legge di delegazione europea. Resta ferma la disciplina di cui all'articolo 36 per il recepimento degli atti delegati dell'Unione europea che recano meri adeguamenti tecnici. 7. I decreti legislativi di recepimento delle direttive previste dalla legge di delegazione europea, adottati, ai sensi dell'articolo 117, quinto comma, della Costituzione, nelle materie di competenza legislativa delle regioni e delle province autonome, si applicano alle condizioni e secondo le procedure di cui all'articolo 41, comma 1. 8. I decreti legislativi adottati ai sensi dell'articolo 33 e attinenti a materie di competenza legislativa delle regioni e delle province autonome sono emanati alle condizioni e secondo le procedure di cui all'articolo 41, comma 1. 9. Il Governo, quando non intende conformarsi ai pareri parlamentari di cui al comma 3, relativi a sanzioni penali contenute negli schemi di decreti legislativi recanti attuazione delle direttive, ritrasmette i testi, con le sue osservazioni e con eventuali modificazioni, alla Camera dei deputati e al Senato della Repubblica. Decorsi venti giorni dalla data di ritrasmissione, i decreti sono emanati anche in mancanza di nuovo parere. Art. 32 (Principi e criteri direttivi generali di delega per l'attuazione del diritto dell'Unione europea). - 1. Salvi gli specifici principi e criteri direttivi stabiliti dalla legge di delegazione europea e in aggiunta a quelli contenuti nelle direttive da attuare, i decreti legislativi di cui all'articolo 31 sono informati ai seguenti principi e criteri direttivi generali: a) le amministrazioni direttamente interessate provvedono all'attuazione dei decreti legislativi con le ordinarie strutture amministrative, secondo il principio della massima semplificazione dei procedimenti e delle modalita' di organizzazione e di esercizio delle funzioni e dei servizi; b) ai fini di un migliore coordinamento con le discipline vigenti per i singoli settori interessati dalla normativa da attuare, sono introdotte le occorrenti modificazioni alle discipline stesse, anche attraverso il riassetto e la semplificazione normativi con l'indicazione esplicita delle norme abrogate, fatti salvi i procedimenti oggetto di semplificazione amministrativa ovvero le materie oggetto di delegificazione; c) gli atti di recepimento di direttive dell'Unione europea non possono prevedere l'introduzione o il mantenimento di livelli di regolazione superiori a quelli minimi richiesti dalle direttive stesse, ai sensi dell'articolo 14, commi 24-bis, 24-ter e 24-quater, della legge 28 novembre 2005, n. 246; d) al di fuori dei casi previsti dalle norme penali vigenti, ove necessario per assicurare l'osservanza delle disposizioni contenute nei decreti legislativi, sono previste sanzioni amministrative e penali per le infrazioni alle disposizioni dei decreti stessi. Le sanzioni penali, nei limiti, rispettivamente, dell'ammenda fino a 150.000 euro e dell'arresto fino a tre anni, sono previste, in via alternativa o congiunta, solo nei casi in cui le infrazioni ledano o espongano a pericolo interessi costituzionalmente protetti. In tali casi sono previste: la pena dell'ammenda alternativa all'arresto per le infrazioni che espongano a pericolo o danneggino l'interesse protetto; la pena dell'arresto congiunta a quella dell'ammenda per le infrazioni che rechino un danno di particolare gravita'. Nelle predette ipotesi, in luogo dell'arresto e dell'ammenda, possono essere previste anche le sanzioni alternative di cui agli articoli 53 e seguenti del decreto legislativo 28 agosto 2000, n. 274, e la relativa competenza del giudice di pace. La sanzione amministrativa del pagamento di una somma non inferiore a 150 euro e non superiore a 150.000 euro e' prevista per le infrazioni che ledono o espongono a pericolo interessi diversi da quelli indicati dalla presente lettera. Nell'ambito dei limiti minimi e massimi previsti, le sanzioni indicate dalla presente lettera sono determinate nella loro entita', tenendo conto della diversa potenzialita' lesiva dell'interesse protetto che ciascuna infrazione presenta in astratto, di specifiche qualita' personali del colpevole, comprese quelle che impongono particolari doveri di prevenzione, controllo o vigilanza, nonche' del vantaggio patrimoniale che l'infrazione puo' recare al colpevole ovvero alla persona o all'ente nel cui interesse egli agisce. Ove necessario per assicurare l'osservanza delle disposizioni contenute nei decreti legislativi, sono previste inoltre le sanzioni amministrative accessorie della sospensione fino a sei mesi e, nei casi piu' gravi, della privazione definitiva di facolta' e diritti derivanti da provvedimenti dell'amministrazione, nonche' sanzioni penali accessorie nei limiti stabiliti dal codice penale. Al medesimo fine e' prevista la confisca obbligatoria delle cose che servirono o furono destinate a commettere l'illecito amministrativo o il reato previsti dai medesimi decreti legislativi, nel rispetto dei limiti stabiliti dall'articolo 240, terzo e quarto comma, del codice penale e dall'articolo 20 della legge 24 novembre 1981, n. 689, e successive modificazioni. Entro i limiti di pena indicati nella presente lettera sono previste sanzioni anche accessorie identiche a quelle eventualmente gia' comminate dalle leggi vigenti per violazioni omogenee e di pari offensivita' rispetto alle infrazioni alle disposizioni dei decreti legislativi. Nelle materie di cui all'articolo 117, quarto comma, della Costituzione, le sanzioni amministrative sono determinate dalle regioni; e) al recepimento di direttive o all'attuazione di altri atti dell'Unione europea che modificano precedenti direttive o atti gia' attuati con legge o con decreto legislativo si procede, se la modificazione non comporta ampliamento della materia regolata, apportando le corrispondenti modificazioni alla legge o al decreto legislativo di attuazione della direttiva o di altro atto modificato; f) nella redazione dei decreti legislativi di cui all'articolo 31 si tiene conto delle eventuali modificazioni delle direttive dell'Unione europea comunque intervenute fino al momento dell'esercizio della delega; g) quando si verifichino sovrapposizioni di competenze tra amministrazioni diverse o comunque siano coinvolte le competenze di piu' amministrazioni statali, i decreti legislativi individuano, attraverso le piu' opportune forme di coordinamento, rispettando i principi di sussidiarieta', differenziazione, adeguatezza e leale collaborazione e le competenze delle regioni e degli altri enti territoriali, le procedure per salvaguardare l'unitarieta' dei processi decisionali, la trasparenza, la celerita', l'efficacia e l'economicita' nell'azione amministrativa e la chiara individuazione dei soggetti responsabili; h) qualora non siano di ostacolo i diversi termini di recepimento, vengono attuate con un unico decreto legislativo le direttive che riguardano le stesse materie o che comunque comportano modifiche degli stessi atti normativi; i) e' assicurata la parita' di trattamento dei cittadini italiani rispetto ai cittadini degli altri Stati membri dell'Unione europea e non puo' essere previsto in ogni caso un trattamento sfavorevole dei cittadini italiani.». - Si riporta l'articolo 16 della legge 21 febbraio 2024, n. 15, recante: «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023», pubblicata nella Gazzetta Ufficiale n. 46 del 24 febbraio 2024: «Art. 16 (Delega al Governo per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/2554, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011, e per il recepimento della direttiva (UE) 2022/2556, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario). - 1. Il Governo e' delegato ad adottare, entro diciotto mesi dalla data di entrata in vigore della presente legge, con le procedure di cui all'articolo 31 della legge 24 dicembre 2012, n. 234, acquisito il parere dell'Agenzia per la cybersicurezza nazionale, uno o piu' decreti legislativi per l'adeguamento della normativa nazionale al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, nonche' per il recepimento della direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022. 2. Nell'esercizio della delega di cui al comma 1, il Governo e' tenuto a seguire, oltre ai principi e criteri direttivi generali di cui all'articolo 32 della legge 24 dicembre 2012, n. 234, anche i seguenti principi e criteri direttivi specifici: a) apportare alla normativa vigente, compreso il sistema sanzionatorio, le modifiche e integrazioni necessarie all'adeguamento dell'ordinamento giuridico nazionale al regolamento (UE) 2022/2554 e al recepimento della direttiva (UE) 2022/2556, con l'eventuale esercizio, anche mediante la normativa secondaria di cui alla lettera d) del presente comma, delle opzioni previste dal regolamento (UE) 2022/2554. Nell'adozione di tali modifiche e integrazioni il Governo tiene conto degli orientamenti delle autorita' di vigilanza europee, degli atti delegati adottati dalla Commissione europea e delle disposizioni legislative nazionali di recepimento delle seguenti direttive strettamente correlate al regolamento (UE) 2022/2554: 1) direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, di cui all'articolo 3 della presente legge; 2) direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, di cui all'articolo 5 della presente legge; b) assicurare che alle autorita' competenti, individuate ai sensi dell'articolo 19, paragrafo 1, secondo comma, e dell'articolo 46 del regolamento (UE) 2022/2554, siano attribuiti tutti i poteri di vigilanza, di indagine e sanzionatori per l'attuazione del regolamento (UE) 2022/2554 e della direttiva (UE) 2022/2556, coerentemente con il riparto di competenze nel settore finanziario nazionale; c) attribuire alle autorita' di cui alla lettera b) del presente comma il potere di imporre le sanzioni e le altre misure amministrative previste dagli articoli 42, paragrafo 6, e 50 del regolamento (UE) 2022/2554, nel rispetto dei limiti edittali e delle procedure previsti dalle disposizioni nazionali che disciplinano l'irrogazione delle sanzioni e l'applicazione delle altre misure amministrative da parte delle autorita' anzidette, avuto riguardo al riparto di competenze nel settore finanziario nazionale; c-bis) apportare alla disciplina applicabile agli intermediari finanziari iscritti nell'albo previsto dall'articolo 106 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, nonche' alla societa' Poste italiane Spa per l'attivita' del Patrimonio Bancoposta, di cui al regolamento di cui al decreto del Presidente della Repubblica 14 marzo 2001, n. 144, le occorrenti modifiche e integrazioni, anche mediante la normativa secondaria di cui alla lettera d) del presente comma, per conseguire un livello elevato di resilienza operativa digitale e assicurare la stabilita' del settore finanziario nel suo complesso, in particolare: 1) definendo presidi in materia di resilienza operativa digitale equivalenti a quelli stabiliti nel regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022; 2) tenendo conto, nella definizione dei presidi di cui al numero 1), del principio di proporzionalita' e delle attivita' svolte dagli intermediari finanziari e dal Patrimonio Bancoposta; 3) attribuendo alla Banca d'Italia l'esercizio dei poteri di vigilanza, di indagine e sanzionatori di cui alla lettera b) nei confronti dei soggetti di cui alla presente lettera. d) prevedere, ove opportuno, il ricorso alla disciplina secondaria adottata dalle autorita' indicate alla lettera b) secondo le rispettive competenze. 3. Dall'attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni competenti provvedono all'adempimento dei compiti derivanti dall'esercizio della delega di cui al presente articolo con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.» - Il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 e' pubblicato nella G.U.U.E. 27 dicembre 2022, n. L 333. - La direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) e' pubblicata nella G.U.U.E. 27 dicembre 2022, n. L 333. - La direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario e' pubblicata nella G.U.U.E. 27 dicembre 2022, n. L 333. - La direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio e' pubblicata nella G.U.U.E. 27 dicembre 2022, n. L 333. - Il decreto legislativo 1° settembre 1993, n. 385, recante: «Testo unico delle leggi in materia bancaria e creditizia» e' pubblicato nella Gazzetta Ufficiale n. 230 del 30 settembre 1993, n. 230. - Il decreto legislativo 24 febbraio 1998, n. 58, recante «Testo unico delle disposizioni in materia di intermediazione finanziaria, ai sensi degli articoli 8 e 21 della legge 6 febbraio 1996, n. 52» e' pubblicato nella Gazzetta Ufficiale 26 marzo 1998, n. 71. - Si riporta l'articolo 5, commi da 6 a 8, del decreto-legge 30 settembre 2003, n. 269 recante: «Disposizioni urgenti per favorire lo sviluppo e per la correzione dell'andamento dei conti pubblici», pubblicato nella Gazzetta Ufficiale n. 229 del 02-10-203, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326: «Art. 5 (Trasformazione della Cassa depositi e prestiti in societa' per azioni). - (Omissis) 6. Alla CDP S.p.A. si applicano le disposizioni del Titolo V del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, previste per gli intermediari iscritti nell'elenco speciale di cui all'articolo 107 del medesimo decreto legislativo, tenendo presenti le caratteristiche del soggetto vigilato e la speciale disciplina della gestione separata di cui al comma 8. 7. La CDP S.p.A. finanzia, sotto qualsiasi forma: a) lo Stato, le regioni, gli enti locali, gli enti pubblici e gli organismi di diritto pubblico, utilizzando fondi rimborsabili sotto forma di libretti di risparmio postale e di buoni fruttiferi postali, assistiti dalla garanzia dello Stato e distribuiti attraverso Poste italiane S.p.A. o societa' da essa controllate, e fondi provenienti dall'emissione di titoli, dall'assunzione di finanziamenti e da altre operazioni finanziarie, che possono essere assistiti dalla garanzia dello Stato. L'utilizzo dei fondi di cui alla presente lettera e' consentito anche per il compimento di ogni altra operazione di interesse pubblico prevista dallo statuto sociale della CDP S.p.A. effettuata nei confronti dei medesimi soggetti di cui al primo periodo, o dai medesimi promossa, nonche' nei confronti di soggetti privati per il compimento di operazioni nei settori di interesse generale individuati ai sensi del successivo comma 11, lettera e), ((o al fine di contribuire al raggiungimento degli obiettivi stabiliti nell'ambito degli accordi internazionali sul clima e sulla tutela ambientale nonche' su altri beni pubblici globali ai quali l'Italia ha aderito,)) tenuto conto della sostenibilita' economico-finanziaria di ciascuna operazione. Le operazioni adottate nell'ambito delle attivita' di cooperazione internazionale allo sviluppo, di cui all'articolo 22 della legge 11 agosto 2014, n. 125, possono essere effettuate anche in cofinanziamento con istituzioni finanziarie europee, multilaterali o sovranazionali, nel limite annuo stabilito con apposita convenzione stipulata tra la medesima CDP S.p.A. e il Ministero dell'economia e delle finanze. Le operazioni di cui alla presente lettera possono essere effettuate anche in deroga a quanto previsto dal comma 11, lettera b); b) le opere, gli impianti, le reti e le dotazioni destinati a iniziative di pubblica utilita', gli investimenti finalizzati a ricerca, sviluppo, innovazione, tutela e valorizzazione del patrimonio culturale, anche in funzione di promozione del turismo, ambiente, efficientamento energetico e promozione dello sviluppo sostenibile, anche con riferimento a quelle interessanti i territori montani e rurali per investimenti nel campo della green economy, nonche' le iniziative per la crescita, anche per aggregazione, delle imprese, in Italia e all'estero, in via preferenziale in cofinanziamento con enti creditizi e comunque, utilizzando fondi provenienti dall'emissione di titoli, dall'assunzione di finanziamenti e da altre operazioni finanziarie, senza garanzia dello Stato e con preclusione della raccolta di fondi a vista. PERIODO SOPPRESSO DALLA L. 27 DICEMBRE 2013, N. 147. 7-bis. Fermo restando quanto stabilito al comma 7, la Cassa depositi e prestiti S.p.A., ai sensi del comma 7, lettera a), secondo periodo, puo' altresi' fornire alle banche italiane e alle succursali di banche estere comunitarie ed extracomunitarie, operanti in Italia e autorizzate all'esercizio dell'attivita' bancaria, provvista attraverso finanziamenti, sotto la forma tecnica individuata nella convenzione di cui al periodo seguente, per l'erogazione di mutui garantiti da ipoteca su immobili residenziali da destinare prioritariamente all'acquisto dell'abitazione principale, preferibilmente appartenente ad una delle classi energetiche A, B o C, e ad interventi di ristrutturazione e accrescimento dell'efficienza energetica, con priorita' per le giovani coppie, per i nuclei familiari di cui fa parte almeno un soggetto disabile e per le famiglie numerose. A tal fine le predette banche possono contrarre finanziamenti secondo contratti tipo definiti con apposita convenzione tra la Cassa depositi e prestiti S.p.A. e l'Associazione Bancaria Italiana. Nella suddetta convenzione sono altresi' definite le modalita' con cui i minori differenziali sui tassi di interesse in favore delle banche si trasferiscono sul costo del mutuo a vantaggio dei mutuatari. Ai finanziamenti di cui alla presente lettera concessi dalla Cassa depositi e prestiti S.p.A. alle banche, da destinare in via esclusiva alle predette finalita', si applica il regime fiscale di cui al comma 24. 8. La CDP S.p.A. assume partecipazioni e svolge le attivita', strumentali, connesse e accessorie; per l'attuazione di quanto previsto al comma 7, lettera a), la CDP S.p.A. istituisce un sistema separato ai soli fini contabili ed organizzativi, la cui gestione uniformata a criteri di trasparenza e di salvaguardia dell'equilibrio economico. Sono assegnate alla gestione separata le partecipazioni e le attivita' ad essa strumentali, connesse e accessorie, e le attivita' di assistenza e di consulenza in favore dei soggetti di cui al comma 7, lettera a). Il decreto ministeriale di cui al comma 3 puo' prevedere forme di razionalizzazione e concentrazione delle partecipazioni detenute dalla Cassa depositi e prestiti alla data di trasformazione in societa' per azioni. (Omissis).» - Il decreto legislativo 7 settembre 2005, n. 209, recante: «Codice delle assicurazioni private» e' pubblicato nella Gazzetta Ufficiale n. 239 del 13 ottobre 2005. - Il decreto legislativo 5 dicembre 2005, n. 252, recante: «Disciplina delle forme pensionistiche complementari» e' pubblicato nella Gazzetta Ufficiale n. 289 del 13 dicembre 2005, n. 289. - La legge 28 dicembre 2005, n. 262, recante: «Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari» e' pubblicata nella Gazzetta Ufficiale n. 301 del 28 dicembre 2005. - Il decreto legislativo 16 novembre 2015, n. 180, recante: «Attuazione della direttiva 2014/59/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, che istituisce un quadro di risanamento e risoluzione degli enti creditizi e delle imprese di investimento e che modifica la direttiva 82/891/CEE del Consiglio, e le direttive 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE e 2013/36/UE e i regolamenti (UE), n. 1093/2010 e (UE) n. 648/2012, del Parlamento europeo e del Consiglio» e' pubblicato nella Gazzetta Ufficiale n. 267 del 16 novembre 2015. - Il decreto-legge 21 settembre 2019, n. 105 recante: «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica» pubblicato nella Gazzetta Ufficiale n. 222 del 21 settembre 2019, e' convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133. - Il decreto-legge 14 giugno 2021, n. 82 recante: «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale» e' pubblicato nella Gazzetta Ufficiale n. 140 del 14 giugno 2021 e' convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109. - Si riporta l'articolo 15 della legge 28 giugno 2024, n. 90, recante: «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici», pubblicata nella Gazzetta Ufficiale n. 153 del 2 luglio 2024: «Art. 15 (Modifica all'articolo 16 della legge 21 febbraio 2024, n. 15). - 1. All'articolo 16, comma 2, della legge 21 febbraio 2024, n. 15, dopo la lettera c) e' inserita la seguente: "c-bis) apportare alla disciplina applicabile agli intermediari finanziari iscritti nell'albo previsto dall'articolo 106 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, nonche' alla societa' Poste italiane Spa per l'attivita' del Patrimonio Bancoposta, di cui al regolamento di cui al decreto del Presidente della Repubblica 14 marzo 2001, n. 144, le occorrenti modifiche e integrazioni, anche mediante la normativa secondaria di cui alla lettera d) del presente comma, per conseguire un livello elevato di resilienza operativa digitale e assicurare la stabilita' del settore finanziario nel suo complesso, in particolare: 1) definendo presidi in materia di resilienza operativa digitale equivalenti a quelli stabiliti nel regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022; 2) tenendo conto, nella definizione dei presidi di cui al numero 1), del principio di proporzionalita' e delle attivita' svolte dagli intermediari finanziari e dal Patrimonio Bancoposta; 3) attribuendo alla Banca d'Italia l'esercizio dei poteri di vigilanza, di indagine e sanzionatori di cui alla lettera b) nei confronti dei soggetti di cui alla presente lettera".». - Il decreto legislativo 5 settembre 2024, n. 129, recante: «Adeguamento della normativa nazionale al regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio, del 31 maggio 2023, relativo ai mercati delle cripto-attivita' e che modifica i regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937» e' pubblicato nella Gazzetta Ufficiale n. 215 del 13 settembre 2024. - Il decreto legislativo 4 settembre 2024, n. 138, recante: «Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 e' pubblicato nella Gazzetta Ufficiale n. 230 del 1° ottobre 2024. Note all'art. 1: - Per i riferimenti al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 si vedano le note alle premesse. - Si riporta il testo degli articoli 10 e 15 del citato decreto legislativo 4 settembre 2024, n. 138: «Art. 10 (Autorita' nazionale competente e Punto di contatto unico). - 1. L'Agenzia per la cybersicurezza nazionale e' l'Autorita' nazionale competente NIS di cui all'articolo 8, paragrafo 1, della direttiva (UE) 2022/2555 e pertanto: a) sovrintende all'implementazione e all'attuazione del presente decreto; b) predispone i provvedimenti necessari a dare attuazione al presente decreto; c) svolge le funzioni e le attivita' di regolamentazione di cui al presente decreto, anche adottando linee guida, raccomandazioni e orientamenti non vincolanti; d) individua i soggetti essenziali e i soggetti importanti ai sensi degli articoli 3 e 6, nonche' redige l'elenco di cui all'articolo 7, comma 2; e) partecipa al Gruppo di cooperazione NIS, nonche' ai consessi e alle iniziative promosse a livello di Unione europea relativi all'attuazione della direttiva (UE) 2022/2555; f) definisce gli obblighi di cui all'articolo 7, comma 6, e al capo IV; g) svolge le attivita' ed esercita i poteri di cui al capo V. 2. L'Agenzia per la cybersicurezza nazionale e' il Punto di contatto unico NIS di cui all'articolo 8, paragrafo 3, della direttiva (UE) 2022/2555, svolgendo una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorita' nazionali con le autorita' pertinenti degli altri Stati membri, la Commissione e l'ENISA. 3. Ai fini dell'attuazione del presente articolo e' autorizzata la spesa pari a euro 2.000.000 annui a decorrere dall'anno 2025 a cui si provvede ai sensi dell'articolo 44.». «Art. 15 (Gruppo nazionale di risposta agli incidenti di sicurezza informatica - CSIRT Italia). - 1. Il CSIRT Italia, fermo restando quanto previsto dal decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109: a) e' l'organo preposto alle funzioni di gestione degli incidenti di sicurezza informatica per i settori, i sottosettori e le tipologie di soggetti di cui agli allegati I, II, III e IV, conformemente a modalita' e procedure definite dal CSIRT stesso; b) dispone di un'infrastruttura di informazione e comunicazione appropriata, sicura e resiliente a livello nazionale attraverso la quale scambiare informazioni con i soggetti essenziali o importanti e con gli altri portatori di interesse pertinenti; c) coopera e, se opportuno, scambia informazioni pertinenti conformemente all'articolo 17 con comunita' settoriali o intersettoriali di soggetti essenziali e di soggetti importanti; d) partecipa alla revisione tra pari di cui all'articolo 21; e) garantisce la collaborazione effettiva, efficiente e sicura, nella Rete di CSIRT nazionali di cui all'articolo 20; f) ai sensi dell'articolo 7, comma 1, lettera s), del decreto-legge n. 82 del 2021, puo' stabilire relazioni di cooperazione con gruppi nazionali di risposta agli incidenti di sicurezza informatica di Paesi terzi. Nell'ambito di tali relazioni di cooperazione, facilita uno scambio di informazioni efficace, efficiente e sicuro con tali CSIRT nazionali, o strutture nazionali equivalenti di Paesi terzi, utilizzando i pertinenti protocolli di condivisione delle informazioni, ivi inclusi quelli adottati e sviluppati dalle principali comunita' nazionali, europee e internazionali del settore. Il CSIRT Italia puo' scambiare informazioni pertinenti con Gruppi nazionali di risposta agli incidenti di sicurezza informatica di Paesi terzi o con organismi equivalenti di Paesi terzi, compresi dati personali ai sensi della normativa nazionale vigente e del diritto dell'Unione europea in materia di protezione dei dati personali; g) ai sensi dell'articolo 7, comma 1, lettera s), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, puo' cooperare con Gruppi nazionali di risposta agli incidenti di sicurezza informatica di Paesi terzi o con organismi equivalenti di Paesi terzi, in particolare al fine di fornire loro assistenza in materia di sicurezza informatica. 2. Il CSIRT Italia: a) e' dotato di un alto livello di disponibilita' dei propri canali di comunicazione evitando singoli punti di malfunzionamento e dispone di mezzi che gli permettono di essere contattato e di contattare i soggetti essenziali o importanti e altri CSIRT nazionali in qualsiasi momento. Il CSIRT Italia indica chiaramente i canali di comunicazione e li rende noti ai soggetti essenziali e importanti e agli altri CSIRT nazionali; b) dispone di locali e sistemi informativi di supporto ubicati in siti sicuri; c) utilizza un sistema adeguato di gestione e inoltro delle richieste, in particolare per facilitare i trasferimenti in maniera efficace ed efficiente; d) garantisce la riservatezza e l'affidabilita' delle proprie attivita'; e) e' dotato di sistemi ridondanti e spazi di lavoro di backup al fine di garantire la continuita' dei propri servizi; f) partecipa, se del caso, a reti di cooperazione internazionale. 3. Il CSIRT Italia svolge i seguenti compiti: a) monitora e analizza le minacce informatiche, le vulnerabilita' e gli incidenti a livello nazionale e, su richiesta, fornisce assistenza ai soggetti essenziali e ai soggetti importanti interessati per quanto riguarda il monitoraggio in tempo reale o prossimo al reale dei loro sistemi informativi e di rete, secondo un ordine di priorita' delle attivita' definito dal medesimo CSIRT Italia, onde evitare oneri sproporzionati o eccessivi; b) emette preallarmi, allerte e bollettini e divulga informazioni ai soggetti essenziali e ai soggetti importanti interessati, nonche' alle autorita' nazionali competenti e agli altri pertinenti portatori di interessi, in merito a minacce informatiche, vulnerabilita' e incidenti, se possibile in tempo prossimo al reale; c) fornisce una risposta agli incidenti e assistenza ai soggetti essenziali e ai soggetti importanti interessati, ove possibile; d) raccoglie e analizza dati forensi e fornisce un'analisi dinamica dei rischi e degli incidenti, nonche' una consapevolezza situazionale riguardo alla sicurezza informatica; e) effettua, su richiesta di un soggetto essenziale o importante, secondo modalita' e procedure definite, una scansione proattiva dei sistemi informativi e di rete del soggetto interessato per rilevare le vulnerabilita' con potenziale impatto significativo; f) partecipa alla Rete di CSIRT nazionali di cui all'articolo 20 e fornisce assistenza reciproca secondo le proprie capacita' e competenze agli altri membri della Rete di CSIRT nazionali su loro richiesta; g) agisce in qualita' di coordinatore ai fini del processo di divulgazione coordinata delle vulnerabilita' di cui all'articolo 16; h) contribuisce allo sviluppo di strumenti sicuri per la condivisione delle informazioni di cui al comma 1, lettera b); i) puo' effettuare, secondo modalita' e procedure definite, una scansione proattiva e non intrusiva dei sistemi informativi e di rete accessibili al pubblico di soggetti essenziali e di soggetti importanti. Tale scansione e' effettuata per individuare sistemi informativi e di rete vulnerabili o configurati in modo non sicuro e per informare i soggetti interessati. Tale scansione non ha alcun impatto negativo sul funzionamento dei servizi dei soggetti. 4. Il CSIRT Italia applica un approccio basato sul rischio per stabilire l'ordine di priorita' nello svolgimento dei compiti di cui al comma 3. 5. In caso di eventi malevoli per la sicurezza informatica, le strutture pubbliche con funzione di computer emergency response team (CERT) collaborano con il CSIRT Italia, anche ai fini di un piu' efficace coordinamento della risposta agli incidenti. 6. Il CSIRT Italia instaura rapporti di cooperazione con i pertinenti portatori di interesse nazionali del settore privato al fine di perseguire gli obiettivi del presente decreto in relazione alle proprie competenze. 7. Al fine di agevolare la cooperazione di cui al comma 5, il CSIRT Italia promuove l'adozione e l'uso di pratiche, sistemi di classificazione e tassonomie standardizzati o comuni per quanto riguarda: a) le procedure di gestione degli incidenti; b) la divulgazione coordinata delle vulnerabilita' ai sensi dell'articolo 16. 8. Ai fini dell'attuazione del presente articolo e' autorizzata la spesa pari a euro 2.000.000 annui a decorrere dall'anno 2025, a cui si provvede ai sensi dell'articolo 44.». - Per i riferimenti alla direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio del 14 dicembre 2022 si vedano le note alle premesse. - Per i riferimenti al decreto legislativo 1° settembre 1993 n. 385 si vedano le note alle premesse. - Per i riferimenti al decreto legislativo 24 febbraio 1998, n. 58 si vedano le note alle premesse. - Per i riferimenti al decreto legislativo 7 settembre 2005, n. 209 si vedano le note alle premesse. - Il decreto Presidente della Repubblica 14 marzo 2001, n. 144 recante: «Regolamento recante norme sui servizi di bancoposta» e' pubblicato nella Gazzetta Ufficio n. 94 del 23 aprile 2001. - Per i riferimenti al decreto legislativo 5 dicembre 2005, n. 252 si vedano le note alle premesse.   Art. 2 Oggetto e ambito di applicazione 1. Il presente decreto detta le disposizioni necessarie all'adeguamento del quadro normativo nazionale al regolamento DORA e al recepimento della direttiva DORA, nonche' a garantire il coordinamento con le vigenti disposizioni di settore. 2. Il presente decreto individua, altresi', le disposizioni applicabili agli intermediari finanziari e a Bancoposta in materia di resilienza operativa digitale. 3. Resta fermo quanto stabilito dal decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, in materia di perimetro di sicurezza nazionale cibernetica, nei confronti dei soggetti di cui all'articolo 1, comma 2-bis, del medesimo decreto-legge n. 105 del 2019. Note all'art. 2: - Si riporta il testo dell'articolo 1, commi da 1 a 2-bis, del citato decreto-legge 21 settembre 2019, n. 105: «Art. 1 (Perimetro di sicurezza nazionale cibernetica). - 1. Al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attivita' civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, e' istituito il perimetro di sicurezza nazionale cibernetica. 2. Entro quattro mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato interministeriale per la cybersicurezza (CIC): a) sono definiti modalita' e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati di cui al comma 1 aventi una sede nel territorio nazionale, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti dal presente articolo; ai fini dell' individuazione, fermo restando che per gli Organismi di informazione per la sicurezza si applicano le norme previste dalla legge 3 agosto 2007, n. 124, si procede sulla base dei seguenti criteri: 1) il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attivita' civili, sociali o economiche fondamentali per gli interessi dello Stato; 2) l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici; 2-bis) l'individuazione avviene sulla base di un criterio di gradualita', tenendo conto dell'entita' del pregiudizio per la sicurezza nazionale che, in relazione alle specificita' dei diversi settori di attivita', puo' derivare dal malfunzionamento, dall'interruzione, anche parziali, ovvero dall'utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti; b) sono definiti, sulla base di un'analisi del rischio e di un criterio di gradualita' che tenga conto delle specificita' dei diversi settori di attivita', i criteri con i quali i soggetti di cui al comma 2-bis predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica, fermo restando che, per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, si applica quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124; all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, il Tavolo interministeriale di cui all'articolo 6 del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131; entro sei mesi dalla data della comunicazione, prevista dal comma 2-bis, a ciascuno dei soggetti iscritti nell'elenco di cui al medesimo comma, i soggetti pubblici e quelli di cui all'articolo 29 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, nonche' quelli privati, di cui al citato comma 2-bis, trasmettono tali elenchi all'Agenzia per la cybersicurezza nazionale, anche per le attivita' di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la cybersicurezza; il Dipartimento delle informazioni per la sicurezza, l'Agenzia informazioni e sicurezza esterna (AISE) e l'Agenzia informazioni e sicurezza interna (AISI) ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della legge n. 124 del 2007, nonche' l'organo del Ministero dell'interno per la sicurezza e per la regolarita' dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, accedono a tali elenchi per il tramite della piattaforma digitale di cui all'articolo 9, comma 1, del regolamento di cui al decreto del Presidente del Consiglio dei ministri n. 131 del 2020, costituita presso l'Agenzia per la cybersicurezza nazionale. 2-bis. L'elencazione dei soggetti individuati ai sensi del comma 2, lettera a), e' contenuta in un atto amministrativo, adottato dal Presidente del Consiglio dei ministri, su proposta del CIC, entro trenta giorni dalla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri di cui al comma 2. Il predetto atto amministrativo, per il quale e' escluso il diritto di accesso, non e' soggetto a pubblicazione, fermo restando che a ciascun soggetto e' data, separatamente, comunicazione senza ritardo dell'avvenuta iscrizione nell'elenco. L'aggiornamento del predetto atto amministrativo e' effettuato con le medesime modalita' di cui al presente comma. (Omissis).».   Art. 3 Autorita' competenti DORA e partecipazione al forum di sorveglianza 1. Ai sensi dell'articolo 46 del regolamento DORA, la Banca d'Italia, la Commissione nazionale per la societa' e la borsa (Consob), l'Istituto per la vigilanza sulle assicurazioni (IVASS) e la Commissione di vigilanza sui fondi pensione (COVIP) sono le autorita' competenti per il rispetto degli obblighi posti dal medesimo regolamento a carico dei soggetti vigilati dalle medesime autorita', secondo le rispettive attribuzioni di vigilanza. 2. La Banca d'Italia e' l'autorita' competente per il rispetto degli obblighi posti dal regolamento DORA a carico di Cassa depositi e prestiti S.p.A. 3. La Banca d'Italia e' l'autorita' competente per il rispetto degli obblighi posti dal presente decreto legislativo a carico degli intermediari finanziari e di Bancoposta. 4. Ai fini della partecipazione al forum di sorveglianza di cui all'articolo 32 del regolamento DORA: a) la Banca d'Italia e' l'autorita' competente interessata di cui al paragrafo 4, lettera b), del citato articolo 32; b) la Consob partecipa in qualita' di osservatore con un proprio rappresentante ai sensi del paragrafo 4, lettera d), del medesimo articolo 32; c) a seconda della tematica trattata, possono partecipare in qualita' di osservatori con un proprio rappresentante ai sensi del paragrafo 4, lettera d), del medesimo articolo 32 anche l'IVASS e la COVIP. 5. I protocolli di cui all'articolo 5, comma 1, del presente decreto possono disciplinare le modalita' di partecipazione e lo scambio di informazioni relative al forum di sorveglianza.   Art. 4 Segnalazione dei gravi incidenti nelle tecnologie dell'informazione e della comunicazione (TIC) e notifica volontaria delle minacce informatiche significative 1. Sono competenti a ricevere le segnalazioni dei gravi incidenti nelle tecnologie dell'informazione e della comunicazione (TIC) e le notifiche volontarie relative alle minacce informatiche significative, di cui all'articolo 19 del regolamento DORA: a) la Banca d'Italia, dalle entita' finanziarie di cui all'articolo 2, paragrafo 1, lettere a), b), c), d), e), f), h), k), l) e s), del regolamento DORA, dalle sedi di negoziazione all'ingrosso di titoli di Stato, nonche' da Cassa depositi e prestiti S.p.A., da intermediari finanziari e da Bancoposta; b) la Consob, dalle entita' finanziarie di cui all'articolo 2, paragrafo 1, lettere g) e i), del regolamento DORA, a esclusione delle sedi di negoziazione all'ingrosso di titoli di Stato; c) l'IVASS, dalle entita' finanziarie di cui all'articolo 2, paragrafo 1, lettere n) e o), del regolamento DORA; d) la COVIP, dalle entita' finanziarie di cui all'articolo 2, paragrafo 1, lettera p), del regolamento DORA. 2. Nel caso di entita' finanziarie vigilate da piu' Autorita' competenti DORA, l'Autorita' ricevente, come individuata al comma 1, trasmette tempestivamente alle altre Autorita' competenti la notifica iniziale e ciascuna relazione di cui all'articolo 19, paragrafo 4, del regolamento DORA, relative ai gravi incidenti TIC, nonche' le notifiche volontarie relative alle minacce informatiche significative, con le modalita' definite nei protocolli di intesa di cui all'articolo 5, comma 1, del presente decreto. 3. Fermo restando quanto previsto ai commi 1, 2 e 4, le entita' finanziarie del settore bancario e delle infrastrutture dei mercati finanziari di cui all'allegato I alla direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, nonche' i soggetti appartenenti al settore bancario e delle infrastrutture dei mercati finanziari identificati come critici ai sensi della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, forniscono, ai sensi dell'articolo 19, paragrafo 1, comma 6, del regolamento DORA, anche a CSIRT Italia la notifica iniziale dei gravi incidenti TIC e ciascuna relazione di cui al medesimo articolo 19, paragrafo 4, del regolamento DORA, utilizzando i modelli e nel rispetto dei termini definiti ai sensi dell'articolo 20 del medesimo regolamento. Le informazioni trasmesse a CSIRT Italia ai sensi del presente comma sono coperte dal segreto d'ufficio. 4. Le entita' finanziarie che procedono alla notifica su base volontaria delle minacce informatiche significative, a norma dell'articolo 19, paragrafo 2, del regolamento DORA, possono trasmettere la notifica anche a CSIRT Italia. Le informazioni trasmesse a CSIRT Italia, ai sensi del presente comma, sono coperte dal segreto d'ufficio. 5. Con riferimento alle sedi di negoziazione all'ingrosso di titoli di Stato, la notifica iniziale, le relazioni di cui all'articolo 19, paragrafo 4, del regolamento DORA relative ai gravi incidenti TIC, nonche' le notifiche volontarie relative alle minacce informatiche significative, sono trasmesse dalla Banca d'Italia anche al Ministero dell'economia e delle finanze contestualmente alla trasmissione alla Consob ai sensi del comma 2. Note all'art. 4: - Per i riferimenti alla direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, si vedano le note alle premesse. - Per i riferimenti alla direttiva (UE)e 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, si vedano le note alle premesse.   Art. 5 Protocolli d'intesa e scambio di informazioni 1. Le Autorita' competenti DORA individuano forme di coordinamento operativo e informativo tramite uno o piu' protocolli d'intesa, che garantiscono la tempestiva e completa condivisione dei dati e delle informazioni utili all'esercizio delle proprie funzioni di vigilanza, ivi incluse le informazioni sui gravi incidenti TIC, anche in relazione alle entita' finanziarie soggette, ai sensi della normativa di settore, alla vigilanza di piu' Autorita'. I protocolli d'intesa sono resi pubblici con le modalita' stabilite dalle medesime Autorita'. 2. Per le finalita' di cui al regolamento DORA, le Autorita' competenti DORA stipulano protocolli di intesa con l'Agenzia per la cybersicurezza nazionale per regolare lo scambio di informazioni pertinenti, istituire forme di consulenza e assistenza tecnica reciproca e meccanismi di coordinamento efficaci e di risposta rapida nel caso di incidenti, nonche' specificare, se del caso, le modalita' di coordinamento delle attivita' relative a soggetti essenziali o importanti, ai sensi della direttiva (UE) 2022/2555, che siano stati designati come fornitori terzi critici di servizi TIC, a norma dell'articolo 31 del regolamento DORA. Le Autorita' competenti DORA stipulano un apposito protocollo d'intesa con il Corpo della Guardia di finanza, ai sensi dell'articolo 19, paragrafo 6, lettera e), del regolamento DORA, per disciplinare lo scambio di informazioni relative alle segnalazioni e alle notifiche di cui all'articolo 4, per finalita' di prevenzione, accertamento e repressione degli illeciti di natura economico finanziaria. 3. Le informazioni acquisite dall'Agenzia per la cybersicurezza nazionale, anche sulla base dei protocolli di intesa di cui al comma 2, sono trasmesse agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, per le loro finalita' istituzionali, sulla base di intesa tra l'Agenzia per la cybersicurezza nazionale e gli stessi organismi di informazione per la sicurezza e, ove rilevanti per la difesa dello Stato, al Ministero della difesa, in qualita' di Autorita' nazionale di gestione delle crisi informatiche ai sensi dell'articolo 13 del decreto legislativo 4 settembre 2024, n. 138. 4. Qualora l'Autorita' nazionale competente NIS, in sede di vigilanza o di esecuzione, venga a conoscenza di una violazione degli obblighi di segnalazione di cui all'articolo 4 del presente decreto da parte di un'entita' finanziaria, ne informa, senza indebito ritardo, le Autorita' competenti DORA. Note all'art. 5: - Per i riferimenti alla direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, si vedano le note alle premesse. - Si riporta il testo degli articoli 4, 6, e 7 della legge 3 agosto 2007, n. 124 recante: «Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto», pubblicata nella Gazzetta Ufficiale n. 187 del 13 agosto 2007: «Art. 4 (Dipartimento delle informazioni per la sicurezza). - 1. Per lo svolgimento dei compiti di cui al comma 3 e' istituito, presso la Presidenza del Consiglio dei ministri, il Dipartimento delle informazioni per la sicurezza (DIS). 2. Il Presidente del Consiglio dei ministri e l'Autorita' delegata, ove istituita, si avvalgono del DIS per l'esercizio delle loro competenze, al fine di assicurare piena unitarieta' nella programmazione della ricerca informativa del Sistema di informazione per la sicurezza, nonche' nelle analisi e nelle attivita' operative dei servizi di informazione per la sicurezza. 3. Il DIS svolge i seguenti compiti: a) coordina l'intera attivita' di informazione per la sicurezza, verificando altresi' i risultati delle attivita' svolte dall'AISE e dall'AISI, ferma restando la competenza dei predetti servizi relativamente alle attivita' di ricerca informativa e di collaborazione con i servizi di sicurezza degli Stati esteri; b) e' costantemente informato delle operazioni di competenza dei servizi di informazione per la sicurezza e trasmette al Presidente del Consiglio dei ministri le informative e le analisi prodotte dal Sistema di informazione per la sicurezza; c) raccoglie le informazioni, le analisi e i rapporti provenienti dai servizi di informazione per la sicurezza, dalle Forze armate e di polizia, dalle amministrazioni dello Stato e da enti di ricerca anche privati; ferma l'esclusiva competenza dell'AISE e dell'AISI per l'elaborazione dei rispettivi piani di ricerca operativa, elabora analisi strategiche o relative a particolari situazioni; formula valutazioni e previsioni, sulla scorta dei contributi analitici settoriali dell'AISE e dell'AISI; d) elabora, anche sulla base delle informazioni e dei rapporti di cui alla lettera c), analisi globali da sottoporre al CISR, nonche' progetti di ricerca informativa, sui quali decide il Presidente del Consiglio dei ministri, dopo avere acquisito il parere del CISR; d-bis) sulla base delle direttive di cui all'articolo 1, comma 3-bis, nonche' delle informazioni e dei rapporti di cui alla lettera c) del presente comma, coordina le attivita' di ricerca informativa finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica nazionali; e) promuove e garantisce, anche attraverso riunioni periodiche, lo scambio informativo tra l'AISE, l'AISI e le Forze di polizia; comunica al Presidente del Consiglio dei ministri le acquisizioni provenienti dallo scambio informativo e i risultati delle riunioni periodiche; f) trasmette, su disposizione del Presidente del Consiglio dei ministri, sentito il CISR, informazioni e analisi ad amministrazioni pubbliche o enti, anche ad ordinamento autonomo, interessati all'acquisizione di informazioni per la sicurezza; g) elabora, d'intesa con l'AISE e l'AISI, il piano di acquisizione delle risorse umane e materiali e di ogni altra risorsa comunque strumentale all'attivita' dei servizi di informazione per la sicurezza, da sottoporre all'approvazione del Presidente del Consiglio dei ministri; h) sentite l'AISE e l'AISI, elabora e sottopone all'approvazione del Presidente del Consiglio dei ministri lo schema del regolamento di cui all'articolo 21, comma 1; i) esercita il controllo sull'AISE e sull'AISI, verificando la conformita' delle attivita' di informazione per la sicurezza alle leggi e ai regolamenti, nonche' alle direttive e alle disposizioni del Presidente del Consiglio dei ministri. Per tale finalita', presso il DIS e' istituito un ufficio ispettivo le cui modalita' di organizzazione e di funzionamento sono definite con il regolamento di cui al comma 7. Con le modalita' previste da tale regolamento e' approvato annualmente, previo parere del Comitato parlamentare di cui all'articolo 30, il piano annuale delle attivita' dell'ufficio ispettivo. L'ufficio ispettivo, nell'ambito delle competenze definite con il predetto regolamento, puo' svolgere, anche a richiesta del direttore generale del DIS, autorizzato dal Presidente del Consiglio dei ministri, inchieste interne su specifici episodi e comportamenti verificatisi nell'ambito dei servizi di informazione per la sicurezza; l) assicura l'attuazione delle disposizioni impartite dal Presidente del Consiglio dei ministri con apposito regolamento adottato ai sensi dell'articolo 1, comma 2, ai fini della tutela amministrativa del segreto di Stato e delle classifiche di segretezza, vigilando altresi' sulla loro corretta applicazione; m) cura le attivita' di promozione e diffusione della cultura della sicurezza e la comunicazione istituzionale; n) impartisce gli indirizzi per la gestione unitaria del personale di cui all'articolo 21, secondo le modalita' definite dal regolamento di cui al comma 1 del medesimo articolo; n-bis) gestisce unitariamente, ferme restando le competenze operative dell'AISE e dell'AISI, gli approvvigionamenti e i servizi logistici comuni. 4. Fermo restando quanto previsto dall'articolo 118-bis del codice di procedura penale, introdotto dall'articolo 14 della presente legge, qualora le informazioni richieste alle Forze di polizia, ai sensi delle lettere c) ed e) del comma 3 del presente articolo, siano relative a indagini di polizia giudiziaria, le stesse, se coperte dal segreto di cui all'articolo 329 del codice di procedura penale, possono essere acquisite solo previo nulla osta della autorita' giudiziaria competente. L'autorita' giudiziaria puo' trasmettere gli atti e le informazioni anche di propria iniziativa. 5. La direzione generale del DIS e' affidata ad un dirigente di prima fascia o equiparato dell'amministrazione dello Stato, la cui nomina e revoca spettano in via esclusiva al Presidente del Consiglio dei ministri, sentito il CISR. L'incarico ha la durata massima di otto anni ed e' conferibile, senza soluzione di continuita', anche con provvedimenti successivi, ciascuno dei quali di durata non superiore al quadriennio. Per quanto previsto dalla presente legge, il direttore del DIS e' il diretto referente del Presidente del Consiglio dei ministri e dell'Autorita' delegata, ove istituita, salvo quanto previsto dall'articolo 6, comma 5, e dall'articolo 7, comma 5, ed e' gerarchicamente e funzionalmente sovraordinato al personale del DIS e degli uffici istituiti nell'ambito del medesimo Dipartimento. 6. Il Presidente del Consiglio dei ministri, sentito il direttore generale del DIS, nomina uno o piu' vice direttori generali; il direttore generale affida gli altri incarichi nell'ambito del Dipartimento, ad eccezione degli incarichi il cui conferimento spetta al Presidente del Consiglio dei ministri. 7. L'ordinamento e l'organizzazione del DIS e degli uffici istituiti nell'ambito del medesimo Dipartimento sono disciplinati con apposito regolamento. 8. Il regolamento previsto dal comma 7 definisce le modalita' di organizzazione e di funzionamento dell'ufficio ispettivo di cui al comma 3, lettera i), secondo i seguenti criteri: a) agli ispettori e' garantita piena autonomia e indipendenza di giudizio nell'esercizio delle funzioni di controllo; b) salva specifica autorizzazione del Presidente del Consiglio dei ministri o dell'Autorita' delegata, ove istituita, i controlli non devono interferire con le operazioni in corso; c) sono previste per gli ispettori specifiche prove selettive e un'adeguata formazione; d) non e' consentito il passaggio di personale dall'ufficio ispettivo ai servizi di informazione per la sicurezza; e) gli ispettori, previa autorizzazione del Presidente del Consiglio dei ministri o dell'Autorita' delegata, ove istituita, possono accedere a tutti gli atti conservati presso i servizi di informazione per la sicurezza e presso il DIS; possono altresi' acquisire, tramite il direttore generale del DIS, altre informazioni da enti pubblici e privati.». «Art. 6 (Agenzia informazioni e sicurezza esterna). - 1. E' istituita l'Agenzia informazioni e sicurezza esterna (AISE), alla quale e' affidato il compito di ricercare ed elaborare nei settori di competenza tutte le informazioni utili alla difesa dell'indipendenza, dell'integrita' e della sicurezza della Repubblica, anche in attuazione di accordi internazionali, dalle minacce provenienti dall'estero. 2. Spettano all'AISE, inoltre, le attivita' in materia di controproliferazione concernenti i materiali strategici, nonche' le attivita' di informazione per la sicurezza, che si svolgono al di fuori del territorio nazionale, a protezione degli interessi politici, militari, economici, scientifici e industriali dell'Italia. 3. E', altresi', compito dell'AISE individuare e contrastare al di fuori del territorio nazionale le attivita' di spionaggio dirette contro l'Italia e le attivita' volte a danneggiare gli interessi nazionali. 4. L'AISE puo' svolgere operazioni sul territorio nazionale soltanto in collaborazione con l'AISI, quando tali operazioni siano strettamente connesse ad attivita' che la stessa AISE svolge all'estero. A tal fine il direttore generale del DIS provvede ad assicurare le necessarie forme di coordinamento e di raccordo informativo, anche al fine di evitare sovrapposizioni funzionali o territoriali. 5. L'AISE risponde al Presidente del Consiglio dei ministri. 6. L'AISE informa tempestivamente e con continuita' il Ministro della difesa, il Ministro degli affari esteri e il Ministro dell'interno per i profili di rispettiva competenza. 7. Il Presidente del Consiglio dei ministri, con proprio decreto, nomina e revoca il direttore dell'AISE, scelto tra dirigenti di prima fascia o equiparati dell'amministrazione dello Stato, sentito il CISR. L'incarico ha la durata massima di otto anni ed e' conferibile, senza soluzione di continuita', anche con provvedimenti successivi, ciascuno dei quali di durata non superiore al quadriennio. 8. Il direttore dell'AISE riferisce costantemente sull'attivita' svolta al Presidente del Consiglio dei ministri o all'Autorita' delegata, ove istituita, per il tramite del direttore generale del DIS. Riferisce direttamente al Presidente del Consiglio dei ministri in caso di urgenza o quando altre particolari circostanze lo richiedano, informandone senza ritardo il direttore generale del DIS; presenta al CISR, per il tramite del direttore generale del DIS, un rapporto annuale sul funzionamento e sull'organizzazione dell'Agenzia. 9. Il Presidente del Consiglio dei ministri nomina e revoca, sentito il direttore dell'AISE, uno o piu' vice direttori. Il direttore dell'AISE affida gli altri incarichi nell'ambito dell'Agenzia. 10. L'organizzazione e il funzionamento dell'AISE sono disciplinati con apposito regolamento. Art. 7 (Agenzia informazioni e sicurezza interna). - 1. E' istituita l'Agenzia informazioni e sicurezza interna (AISI), alla quale e' affidato il compito di ricercare ed elaborare nei settori di competenza tutte le informazioni utili a difendere, anche in attuazione di accordi internazionali, la sicurezza interna della Repubblica e le istituzioni democratiche poste dalla Costituzione a suo fondamento da ogni minaccia, da ogni attivita' eversiva e da ogni forma di aggressione criminale o terroristica. 2. Spettano all'AISI le attivita' di informazione per la sicurezza, che si svolgono all'interno del territorio nazionale, a protezione degli interessi politici, militari, economici, scientifici e industriali dell'Italia. 3. E', altresi', compito dell'AISI individuare e contrastare all'interno del territorio nazionale le attivita' di spionaggio dirette contro l'Italia e le attivita' volte a danneggiare gli interessi nazionali. 4. L'AISI puo' svolgere operazioni all'estero soltanto in collaborazione con l'AISE, quando tali operazioni siano strettamente connesse ad attivita' che la stessa AISI svolge all'interno del territorio nazionale. A tal fine il direttore generale del DIS provvede ad assicurare le necessarie forme di coordinamento e di raccordo informativo, anche al fine di evitare sovrapposizioni funzionali o territoriali. 5. L'AISI risponde al Presidente del Consiglio dei ministri. 6. L'AISI informa tempestivamente e con continuita' il Ministro dell'interno, il Ministro degli affari esteri e il Ministro della difesa per i profili di rispettiva competenza. 7. Il Presidente del Consiglio dei ministri nomina e revoca, con proprio decreto, il direttore dell'AISI, scelto tra i dirigenti di prima fascia o equiparati dell'amministrazione dello Stato, sentito il CISR. L'incarico ha la durata massima di otto anni ed e' conferibile, senza soluzione di continuita', anche con provvedimenti successivi, ciascuno dei quali di durata non superiore al quadriennio. 8. Il direttore dell'AISI riferisce costantemente sull'attivita' svolta al Presidente del Consiglio dei ministri o all'Autorita' delegata, ove istituita, per il tramite del direttore generale del DIS. Riferisce direttamente al Presidente del Consiglio dei ministri in caso di urgenza o quando altre particolari circostanze lo richiedano, informandone senza ritardo il direttore generale del DIS; presenta al CISR, per il tramite del direttore generale del DIS, un rapporto annuale sul funzionamento e sull'organizzazione dell'Agenzia. 9. Il Presidente del Consiglio dei ministri nomina e revoca, sentito il direttore dell'AISI, uno o piu' vice direttori. Il direttore dell'AISI affida gli altri incarichi nell'ambito dell'Agenzia. 10. L'organizzazione e il funzionamento dell'AISI sono disciplinati con apposito regolamento.». - Si riporta il testo dell'articolo 13 del citato decreto legislativo 4 settembre 2024, n. 138: «Art. 13 (Quadro nazionale di gestione delle crisi informatiche). - 1. L'Agenzia per la cybersicurezza nazionale, con funzioni di coordinatore ai sensi dell'articolo 9, paragrafo 2, della direttiva (UE) 2022/2555, e il Ministero della difesa sono individuati quali Autorita' nazionali di gestione delle crisi informatiche, ciascuno per gli ambiti di competenza di cui all'articolo 2, comma 1, lettera g). 2. Le Autorita' nazionali di gestione delle crisi informatiche individuano le capacita', le risorse e le procedure che possono essere impiegate in caso di crisi ai fini del presente decreto. 3. Entro dodici mesi dalla data di entrata in vigore del presente decreto, con uno o piu' decreti del Presidente del Consiglio dei ministri, su proposta dell'Agenzia per la cybersicurezza nazionale e del Ministero della difesa, ciascuno per gli ambiti di competenza di cui all'articolo 2, comma 1, lettera g), previo parere del Comitato interministeriale per la sicurezza della Repubblica nella composizione di cui all'articolo 10 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, e' definito il piano nazionale di risposta agli incidenti e alle crisi informatiche su vasta scala. Il piano di cui al primo periodo e' aggiornato periodicamente e, comunque, ogni tre anni. 4. Il piano nazionale di risposta agli incidenti e alle crisi informatiche su vasta scala stabilisce gli obiettivi e le modalita' di gestione dei medesimi. In tale piano sono definiti, in particolare: a) gli obiettivi delle misure e delle attivita' nazionali di preparazione; b) i compiti e le responsabilita' delle Autorita' nazionali di gestione delle crisi informatiche; c) le procedure di gestione delle crisi informatiche, tra cui la loro integrazione nel quadro nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza di cui all'articolo 10 del decreto-legge n. 82 del 2021, e i canali di scambio di informazioni; d) le misure nazionali di preparazione, comprese le esercitazioni e le attivita' di formazione; e) i pertinenti portatori di interessi del settore pubblico e privato e le infrastrutture coinvolte; f) le procedure nazionali e gli accordi tra gli organismi e le autorita' nazionali pertinenti al fine di garantire il sostegno e la partecipazione effettivi dell'Italia alla gestione coordinata degli incidenti e delle crisi informatiche su vasta scala a livello dell'Unione europea. 5. I decreti del Presidente del Consiglio dei ministri di cui al presente articolo sono esclusi dall'accesso e non sono soggetti a pubblicazione. 6. Ai fini dell'attuazione del comma 1 del presente articolo e' autorizzata la spesa pari a euro 1.000.000 annui a decorrere dall'anno 2025, a cui si provvede ai sensi dell'articolo 44.».   Art. 6 Disposizioni applicabili agli intermediari finanziari 1. Agli intermediari finanziari si applicano le disposizioni di cui agli articoli 4, 16, paragrafi 1 e 2, 17, 18, paragrafi 1 e 2, 19, paragrafi 1, 2, 3, 4 e 5, 22, paragrafo 1, 24, 25, paragrafo 1, 28, paragrafi 1, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, 31, paragrafo 12, 45, 51, 54, 55 e 56 del regolamento DORA e alle relative norme tecniche di regolamentazione e attuazione, in quanto compatibili. 2. Agli intermediari finanziari che si qualificano come microimprese ai sensi dell'articolo 3, paragrafo 1, punto 60), del regolamento DORA non si applica l'articolo 24 del medesimo regolamento. Gli intermediari finanziari di cui al primo periodo eseguono i test di cui all'articolo 25, paragrafo 1, del regolamento DORA con le modalita' previste dall'articolo 25, paragrafo 3, del medesimo regolamento. 3. La Banca d'Italia puo' individuare, nelle disposizioni attuative adottate ai sensi dell'articolo 9, una categoria di intermediari finanziari a cui, sulla base delle dimensioni e dell'attivita' svolta, si applica, in luogo dell'articolo 16, paragrafi 1 e 2, del regolamento DORA, quanto previsto dagli articoli 5, 6, 7, 8, 9, 10, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8 e 10, 12, paragrafi 1, 2, 3, 4, 6 e 7, 13 e 14 del medesimo regolamento e dalle relative norme tecniche di regolamentazione e attuazione, in quanto compatibili.   Art. 7 Disposizioni applicabili a Bancoposta 1. A Bancoposta si applica quanto previsto dagli articoli 4, 5, 6, 7, 8, 9, 10, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8 e 10, 12, paragrafi 1, 2, 3, 4, 6 e 7, 13, 14, 17, 18, paragrafi 1 e 2, 19, paragrafi 1, 2, 3, 4 e 5, 22, paragrafo 1, 23, 24, 25, paragrafo 1, 26, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 27, 28, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, 31, paragrafo 12, 45, 51, 54, 55 e 56 del regolamento DORA e dalle relative norme tecniche di regolamentazione e attuazione, in quanto compatibili.   Art. 8 Poteri di vigilanza 1. Ai fini dello svolgimento dei compiti previsti dal regolamento DORA, dagli atti delegati e dalle norme tecniche di regolamentazione e di attuazione del medesimo regolamento, nonche' dal presente decreto e dalle relative disposizioni attuative, le Autorita' competenti DORA, secondo le rispettive competenze, dispongono nei confronti delle entita' finanziarie, di Cassa depositi e prestiti S.p.A., degli intermediari finanziari, di Bancoposta e dei fornitori terzi di servizi TIC a supporto di funzioni essenziali o importanti, dei poteri di vigilanza previsti dagli articoli 42, paragrafo 6, e 50, paragrafo 2, del regolamento DORA e di quelli attribuiti dalla normativa di settore, nonche' di quelli previsti dal presente articolo. 2. Per le finalita' di cui al comma 1, le Autorita' competenti DORA possono effettuare accessi e ispezioni presso i fornitori terzi di servizi TIC a supporto di funzioni essenziali o importanti delle entita' finanziarie, di Cassa depositi e prestiti S.p.A., degli intermediari finanziari e di Bancoposta, nonche' convocare gli amministratori, i sindaci e il personale dei medesimi fornitori e richiedere loro di fornire informazioni e di esibire documenti. Restano fermi i poteri previsti dagli articoli 51, 53-bis, 54 e 108 del TUB, dall'articolo 4, comma 4, del decreto legislativo 5 settembre 2024, n. 129, dagli articoli 6, comma 1, lettera c), 30-septies, 188, 189, 190, 205-bis del CAP e dagli articoli 5-septies e 19 del decreto legislativo 5 dicembre 2005, n. 252, nei confronti dei soggetti ai quali siano state esternalizzate funzioni aziendali e del relativo personale, nonche' i poteri previsti dagli articoli 114-quinquies.2 e 114-quaterdecies del TUB, dagli articoli 6-bis, 6-ter, 7 e 62-novies del TUF e dall'articolo 22 della legge 28 dicembre 2005, n. 262. Note all'art. 8: - Si riporta il testo degli articoli 51, 53-bis, 54, 108, 114-quinquies.2 e 114-quaterdecies del citato decreto legislativo 1° settembre 1993, n. 385: «Art. 51 - 1. Le banche inviano alla Banca d'Italia, con le modalita' e nei termini da essa stabiliti, le segnalazioni periodiche nonche' ogni altro dato e documento richiesto. Esse trasmettono anche i bilanci con le modalita' e nei termini stabiliti dalla Banca d'Italia. 1-bis. Le banche comunicano alla Banca d'Italia: a) la nomina e la mancata nomina del soggetto incaricato della revisione legale dei conti; b) le dimissioni del soggetto incaricato della revisione legale dei conti; c) la risoluzione consensuale del mandato; d) la revoca dell'incarico di revisione legale dei conti, fornendo adeguate spiegazioni in ordine alle ragioni che l'hanno determinata. 1-ter. La Banca d'Italia stabilisce modalita' e termini per l'invio delle comunicazioni di cui al comma 1-bis. 1-quater. La Banca d'Italia puo' chiedere informazioni al personale delle banche anche per il tramite di queste ultime. 1-quinquies. Le previsioni del comma 1 si applicano anche ai soggetti ai quali le banche abbiano esternalizzato funzioni aziendali e al loro personale.». «Art. 53-bis (Poteri di intervento). - 1. La Banca d'Italia puo': a) convocare gli amministratori, i sindaci e il personale delle banche; b) ordinare la convocazione degli organi collegiali delle banche, fissandone l'ordine del giorno, e proporre l'assunzione di determinate decisioni; c) procedere direttamente alla convocazione degli organi collegiali delle banche quando gli organi competenti non abbiano ottemperato a quanto previsto dalla lettera b); d) adottare per le materie indicate nell'articolo 53, comma 1, ove la situazione lo richieda, provvedimenti specifici nei confronti di una o piu' banche o dell'intero sistema bancario riguardanti anche: l'imposizione di un requisito di fondi propri aggiuntivi; la restrizione delle attivita' o della struttura territoriale; il divieto di effettuare determinate operazioni, anche di natura societaria, e di distribuire utili o altri elementi del patrimonio, nonche', con riferimento a strumenti finanziari computabili nel patrimonio a fini di vigilanza, il divieto di pagare interessi; la fissazione di limiti all'importo totale della parte variabile delle remunerazioni nella banca, quando sia necessario per il mantenimento di una solida base patrimoniale; per le banche che beneficiano di eccezionali interventi di sostegno pubblico, possono inoltre essere fissati limiti alla remunerazione complessiva degli esponenti aziendali; e) disporre, qualora la loro permanenza in carica sia di pregiudizio per la sana e prudente gestione della banca, la rimozione di uno o piu' esponenti aziendali; la rimozione non e' disposta ove ricorrano gli estremi per pronunciare la decadenza ai sensi dell'articolo 26, salvo che sussista urgenza di provvedere. 2. La Banca d'Italia puo' altresi' convocare gli amministratori, i sindaci e il personale dei soggetti ai quali siano state esternalizzate funzioni aziendali. Art. 54 (Misure macroprudenziali). - 1. La Banca d'Italia e' autorita' nazionale designata per l'adozione delle misure richiamate dall'articolo 5 del regolamento (UE) n. 1024/2013. 2. I poteri di vigilanza attribuiti alla Banca d'Italia dal presente decreto legislativo possono essere esercitati, per finalita' macroprudenziali, anche nei confronti di soggetti significativi.». «Art. 108 (Vigilanza). - 1. La Banca d'Italia emana disposizioni di carattere generale aventi a oggetto: il governo societario, l'adeguatezza patrimoniale, il contenimento del rischio nelle sue diverse configurazioni, l'organizzazione amministrativa e contabile, i controlli interni e i sistemi di remunerazione e incentivazione nonche' l'informativa da rendere al pubblico sulle predette materie. La Banca d'Italia puo' adottare, ove la situazione lo richieda, provvedimenti specifici nei confronti di singoli intermediari per le materie in precedenza indicate. Con riferimento a determinati tipi di attivita' la Banca d'Italia puo' inoltre dettare disposizioni volte ad assicurarne il regolare esercizio. 2. Le disposizioni emanate ai sensi del comma 1 prevedono che gli intermediari finanziari possano utilizzare: a) le valutazioni del rischio di credito rilasciate da societa' o enti esterni previsti dall'articolo 53, comma 2-bis, lettera a); b) sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali, previa autorizzazione della Banca d'Italia. 3. La Banca d'Italia puo': a) convocare gli amministratori, i sindaci e i dirigenti degli intermediari finanziari per esaminare la situazione degli stessi; b) ordinare la convocazione degli organi collegiali degli intermediari finanziari, fissandone l'ordine del giorno, e proporre l'assunzione di determinate decisioni; c) procedere direttamente alla convocazione degli organi collegiali degli intermediari finanziari quando gli organi competenti non abbiano ottemperato a quanto previsto dalla lettera b); d) adottare per le materie indicate nel comma 1, ove la situazione lo richieda, provvedimenti specifici nei confronti di singoli intermediari finanziari, riguardanti anche: la restrizione delle attivita' o della struttura territoriale; il divieto di effettuare determinate operazioni, anche di natura societaria, e di distribuire utili o altri elementi del patrimonio, nonche', con riferimento a strumenti finanziari computabili nel patrimonio a fini di vigilanza, il divieto di pagare interessi; d-bis) disporre, qualora la loro permanenza in carica sia di pregiudizio per la sana e prudente gestione dell'intermediario finanziario, la rimozione dalla carica di uno o piu' esponenti aziendali; la rimozione non e' disposta ove ricorrano gli estremi per pronunciare la decadenza ai sensi dell'articolo 26, salvo che sussista urgenza di provvedere. 3-bis. La Banca d'Italia puo' altresi' convocare gli amministratori, i sindaci, i dirigenti dei soggetti ai quali siano state esternalizzate funzioni aziendali. 4. Gli intermediari finanziari inviano alla Banca d'Italia, con le modalita' e nei termini da essa stabiliti, le segnalazioni periodiche nonche' ogni altro dato e documento richiesto. Essi trasmettono anche i bilanci con le modalita' e nei termini stabiliti dalla Banca d'Italia. 4-bis. La Banca d'Italia puo' chiedere informazioni al personale degli intermediari finanziari, anche per il tramite di questi ultimi. 4-ter. Gli obblighi previsti dal comma 4 si applicano anche ai soggetti ai quali gli intermediari finanziari abbiano esternalizzato funzioni aziendali e al loro personale. 5. La Banca d'Italia puo' effettuare ispezioni presso gli intermediari finanziari o i soggetti a cui sono esternalizzate funzioni aziendali e richiedere a essi l'esibizione di documenti e gli atti che ritenga necessari. 6. Nell'esercizio dei poteri di cui al presente articolo la Banca d'Italia osserva criteri di proporzionalita', avuto riguardo alla complessita' operativa, dimensionale e organizzativa degli intermediari, nonche' alla natura specifica dell'attivita' svolta.». «Art. 114-quinquies.2 (Vigilanza). - 1. Gli istituti di moneta elettronica inviano alla Banca d'Italia, con le modalita' e nei termini da essa stabiliti, le segnalazioni periodiche nonche' ogni altro dato e documento richiesto. Essi trasmettono anche i bilanci con le modalita' e nei termini stabiliti dalla Banca d'Italia. 1-bis. La Banca d'Italia puo' chiedere informazioni al personale degli istituti di moneta elettronica, anche per il tramite di questi ultimi. 1-ter. Gli obblighi previsti dal comma 1 si applicano anche ai soggetti ai quali gli istituti di moneta elettronica abbiano esternalizzato funzioni aziendali essenziali o importanti e al loro personale. 2. La Banca d'Italia emana disposizioni di carattere generale aventi a oggetto: il governo societario, l'adeguatezza patrimoniale, il contenimento del rischio nelle sue diverse configurazioni, l'organizzazione amministrativa e contabile, nonche' i controlli interni e i sistemi di remunerazione e incentivazione. 3. La Banca d'Italia puo': a) convocare gli amministratori, i sindaci e i dirigenti degli istituti di moneta elettronica per esaminare la situazione degli stessi; b) ordinare la convocazione degli organi collegiali degli istituti di moneta elettronica, fissandone l'ordine del giorno, e proporre l'assunzione di determinate decisioni; c) procedere direttamente alla convocazione degli organi collegiali degli istituti di moneta elettronica quando gli organi competenti non abbiano ottemperato a quanto previsto dalla lettera b); d) adottare per le materie indicate nel comma 2, ove la situazione lo richieda, provvedimenti specifici nei confronti di singoli istituti di moneta elettronica riguardanti anche la restrizione delle attivita' o della struttura territoriale, il divieto di effettuare determinate operazioni anche di natura societaria e di distribuire utili o altri elementi del patrimonio nonche', con riferimento a strumenti finanziari computabili nel patrimonio a fini di vigilanza, il divieto di pagare interessi; d-bis) disporre, qualora la loro permanenza in carica sia di pregiudizio per la sana e prudente gestione dell'istituto di moneta elettronica, la rimozione dalla carica di uno o piu' esponenti; la rimozione non e' disposta ove ricorrano gli estremi per pronunciare la decadenza ai sensi dell'articolo 26, salvo che sussista urgenza di provvedere. 3-bis. La Banca d'Italia puo' altresi' convocare gli amministratori, i sindaci, i dirigenti dei soggetti ai quali siano state esternalizzate funzioni aziendali essenziali o importanti. 4. La Banca d'Italia puo' effettuare ispezioni presso gli istituti di moneta elettronica, i loro agenti o i soggetti a cui sono esternalizzate funzioni aziendali essenziali o importanti e richiedere a essi l'esibizione di documenti e gli atti che ritenga necessari. La Banca d'Italia notifica all'autorita' competente dello Stato ospitante l'intenzione di effettuare ispezioni su succursali, agenti o soggetti a cui sono esternalizzate funzioni aziendali essenziali o importanti di istituti di moneta elettronica italiani operanti nel territorio di quest'ultimo ovvero richiede alle autorita' competenti del medesimo Stato di effettuare tali accertamenti. 5. Le autorita' competenti dello Stato di origine, dopo aver informato la Banca d'Italia, possono ispezionare, anche tramite persone da esse incaricate, succursali, agenti o soggetti a cui sono esternalizzate funzioni aziendali essenziali o importanti di istituti di moneta elettronica comunitari che operano nel territorio della Repubblica. Se le autorita' competenti dello Stato di origine lo richiedono, la Banca d'Italia puo' procedere direttamente agli accertamenti. 6. Nei confronti degli istituti di moneta elettronica che svolgano anche altre attivita' imprenditoriali diverse dall'emissione di moneta elettronica e dalla prestazione dei servizi di pagamento, autorizzati ai sensi dell'articolo 114-quinquies, comma 2, la Banca d'Italia esercita i poteri di vigilanza indicati nel presente articolo sull'attivita' di emissione di moneta elettronica, prestazione dei servizi di pagamento e sulle attivita' connesse e strumentali, avendo a riferimento anche il responsabile della gestione dell'attivita' e il patrimonio destinato. 6-bis. Quando risulta la violazione, da parte di istituti di moneta elettronica comunitari che operano nel territorio della Repubblica, degli obblighi derivanti dalle disposizioni del presente Titolo, del Titolo VI e del decreto legislativo 27 gennaio 2010, n. 11, la Banca d'Italia ne da' comunicazione all'autorita' dello Stato di origine affinche' quest'ultima adotti i provvedimenti necessari a porre termine alle irregolarita'. 6-ter. Quando mancano o risultano inadeguati i provvedimenti dell'autorita' dello Stato di origine, quando le irregolarita' commesse possono pregiudicare interessi generali ovvero nei casi di urgenza per la tutela delle ragioni degli utenti, dei risparmiatori e degli altri soggetti ai quali sono prestati i servizi, la Banca d'Italia puo' adottare in via provvisoria le misure necessarie, comprese l'imposizione del divieto di intraprendere nuove operazioni e la chiusura della succursale, dandone comunicazione all'autorita' dello Stato di origine.». «Art. 114-quaterdecies (Vigilanza). - 1. Gli istituti di pagamento inviano alla Banca d'Italia, con le modalita' e nei termini da essa stabiliti, le segnalazioni periodiche nonche' ogni altro dato e documento richiesto. Essi trasmettono anche i bilanci con le modalita' e nei termini stabiliti dalla Banca d'Italia. 1-bis. La Banca d'Italia puo' chiedere informazioni al personale degli istituti di pagamento, anche per il tramite di questi ultimi. 1-ter. Gli obblighi previsti dal comma 1 si applicano anche ai soggetti ai quali gli istituti di pagamento abbiano esternalizzato funzioni aziendali essenziali o importanti e al loro personale.825 2. La Banca d'Italia emana disposizioni di carattere generale aventi a oggetto: il governo societario, l'adeguatezza patrimoniale, il contenimento del rischio nelle sue diverse configurazioni, l'organizzazione amministrativa e contabile nonche' i controlli interni e i sistemi di remunerazione e incentivazione. 3. La Banca d'Italia puo': a) convocare gli amministratori, i sindaci e i dirigenti degli istituti di pagamento per esaminare la situazione degli stessi; b) ordinare la convocazione degli organi collegiali degli istituti di pagamento, fissandone l'ordine del giorno, e proporre l'assunzione di determinate decisioni; c) procedere direttamente alla convocazione degli organi collegiali degli istituti di pagamento quando gli organi competenti non abbiano ottemperato a quanto previsto dalla lettera b); d) adottare per le materie indicate nel comma 2, ove la situazione lo richieda, provvedimenti specifici nei confronti di singoli istituti di pagamento, riguardanti anche: la restrizione delle attivita' o della struttura territoriale; il divieto di effettuare determinate operazioni, anche di natura societaria, e di distribuire utili o altri elementi del patrimonio, nonche', con riferimento a strumenti finanziari computabili nel patrimonio a fini di vigilanza, il divieto di pagare interessi; d-bis) disporre, qualora la loro permanenza in carica sia di pregiudizio per la sana e prudente gestione dell'istituto di pagamento, la rimozione dalla carica di uno o piu' esponenti aziendali; la rimozione non e' disposta ove ricorrano gli estremi per pronunciare la decadenza ai sensi dell'articolo 26, salvo che sussista urgenza di provvedere. 3-bis. La Banca d'Italia puo' altresi' convocare gli amministratori, i sindaci e i dirigenti dei soggetti ai quali siano state esternalizzate funzioni aziendali essenziali o importanti. 4. La Banca d'Italia puo' effettuare ispezioni presso gli istituti di pagamento, i loro agenti o i soggetti a cui sono esternalizzate funzioni aziendali essenziali o importanti e richiedere a essi l'esibizione di documenti e gli atti che ritenga necessari. La Banca d'Italia notifica all'autorita' competente dello Stato ospitante l'intenzione di effettuare ispezioni su succursali, agenti o soggetti a cui sono esternalizzate funzioni aziendali essenziali o importanti di istituti di pagamento italiani operanti nel territorio di quest'ultimo ovvero richiede alle autorita' competenti del medesimo Stato di effettuare tali accertamenti. 5. Le autorita' competenti dello Stato di origine, dopo aver informato la Banca d'Italia, possono ispezionare, anche tramite persone da esse incaricate, succursali, agenti o soggetti a cui sono esternalizzate funzioni aziendali essenziali o importanti di istituti di pagamento comunitari che operano nel territorio della Repubblica. Se le autorita' competenti dello Stato di origine lo richiedono, la Banca d'Italia puo' procedere direttamente agli accertamenti. 6. Nei confronti degli istituti di pagamento che svolgano anche attivita' imprenditoriali diverse dalla prestazione dei servizi di pagamento, autorizzati ai sensi dell'articolo 114-novies, comma 4, la Banca d'Italia esercita i poteri di vigilanza indicati nel presente articolo sull'attivita' di prestazione dei servizi di pagamento e sulle attivita' connesse e strumentali, avendo a riferimento anche il responsabile della gestione dell'attivita' e il patrimonio destinato.». - Si riporta il testo dell'articolo 4, comma 4 del citato decreto legislativo 5 settembre 2024, n. 129: «Art. 4 (Poteri generali di vigilanza e di indagine). - (Omissis) 4. La Banca d'Italia e la Consob, secondo le rispettive competenze, possono esercitare i poteri di cui all'articolo 94, paragrafo 1, lettera w), del regolamento (UE) 2023/1114 anche nei confronti dei terzi con i quali gli emittenti di token collegati ad attivita' abbiano stipulato accordi per la gestione della riserva di attivita', per l'investimento e la custodia delle attivita' di riserva e per la distribuzione al pubblico dei token collegati ad attivita', nonche' di coloro ai quali i prestatori di servizi per le cripto-attivita' e gli emittenti di token collegati ad attivita' abbiano esternalizzato funzioni aziendali. (Omissis).». - Si riporta il testo degli articoli 6, 30-septies, 188, 189, 190, 205-bis del citato decreto legislativo 7 settembre 2005, n. 209: «Art. 6 (Destinatari della vigilanza). - 1. L'IVASS esercita le funzioni di vigilanza nei confronti: a) delle imprese, comunque denominate e costituite, che esercitano nel territorio della Repubblica attivita' di assicurazione o di riassicurazione in qualsiasi ramo e in qualsiasi forma, ovvero operazioni di capitalizzazione e di gestione di fondi collettivi costituiti per l'erogazione di prestazioni in caso di morte, in caso di vita o in caso di cessazione o riduzione dell'attivita' lavorativa; b) dei gruppi assicurativi e dei conglomerati finanziari nei quali sono incluse imprese di assicurazione e di riassicurazione in conformita' alla specifica normativa ad essi applicabile; c) dei soggetti, enti e organizzazioni che in qualunque forma svolgono funzioni parzialmente comprese nel ciclo operativo delle imprese di assicurazione o di riassicurazione limitatamente ai profili assicurativi e riassicurativi, fermi restando i poteri nei confronti delle imprese di assicurazione o di riassicurazione per le attivita' esternalizzate; d) degli intermediari di assicurazione e di riassicurazione e di ogni altro operatore del mercato assicurativo.». «Art. 30-septies (Esternalizzazione). - 1. L'impresa che esternalizza funzioni o attivita' relative all'attivita' assicurativa o riassicurativa conserva la piena responsabilita' dell'osservanza degli obblighi ad essa imposti da norme legislative, regolamentari e dalle disposizioni dell'Unione europea direttamente applicabili. 2. L'impresa che esternalizza funzioni o attivita' essenziali o importanti garantisce che le relative modalita' siano tali da non determinare anche uno solo dei seguenti effetti: a) arrecare un grave pregiudizio alla qualita' del sistema di governo societario dell'impresa; b) determinare un indebito incremento del rischio operativo; c) compromettere la capacita' dell'IVASS di verificare l'osservanza degli obblighi gravanti sull'impresa; d) compromettere la capacita' dell'impresa di fornire un servizio continuo e soddisfacente ai contraenti, agli assicurati e agli aventi diritto ad una prestazione assicurativa. 3. L'impresa informa tempestivamente l'IVASS prima dell'esternalizzazione di funzioni o attivita' essenziali o importanti nonche' di significativi sviluppi successivi in relazione all'esternalizzazione di tali funzioni o compiti. 4. L'IVASS con regolamento stabilisce i termini e le condizioni per l'esternalizzazione delle funzioni o delle attivita', di cui ai commi 2 e 3. 5. L'impresa che esternalizza una funzione o un'attivita' di assicurazione o di riassicurazione adotta le misure necessarie ad assicurare che siano soddisfatte le seguenti condizioni: a) il fornitore del servizio cooperi con l'IVASS in relazione alla funzione o all'attivita' esternalizzata; b) l'impresa, i revisori e l'IVASS abbiano accesso effettivo ai dati relativi alle funzioni o attivita' esternalizzate; c) l'IVASS abbia un accesso effettivo ai locali commerciali del fornitore del servizio e sia in grado di esercitare tali diritti di accesso.». «Art. 188 (Poteri di intervento). - 1. L'IVASS, nell'esercizio delle funzioni di vigilanza sulla gestione tecnica, finanziaria e patrimoniale delle imprese e sull'osservanza delle leggi, dei regolamenti e dei provvedimenti del presente codice nonche' delle disposizioni dell'Unione europea direttamente applicabili, puo': a) convocare i componenti degli organi amministrativi e di controllo, i direttori generali delle imprese di assicurazione e di riassicurazione, i legali rappresentanti della societa' di revisione e i soggetti responsabili delle funzioni fondamentali all'interno delle imprese di assicurazione e riassicurazione; b) ordinare la convocazione dell'assemblea, degli organi amministrativi e di controllo, delle imprese di assicurazione e di riassicurazione, indicando gli argomenti da inserire all'ordine del giorno e sottoponendo al loro esame i provvedimenti necessari per rendere la gestione conforme a legge; c) procedere direttamente alla convocazione dell'assemblea, degli organi amministrativi e di controllo delle imprese di assicurazione e di riassicurazione, quando non abbiano ottemperato al provvedimento di cui alla lettera precedente; d) convocare i soggetti che svolgono funzioni parzialmente comprese nel ciclo operativo delle imprese di assicurazione e di riassicurazione per accertamenti esclusivamente rivolti ai profili assicurativi o riassicurativi. 2. L'IVASS, nell'esercizio delle funzioni di vigilanza sull'osservanza delle leggi e dei regolamenti previsti nel presente codice, nonche' delle disposizioni dell'Unione europea direttamente applicabili da parte degli operatori del mercato assicurativo, puo' convocare i legali rappresentanti delle societa' che svolgono attivita' di intermediazione ed i soggetti iscritti al registro degli intermediari. 3. L'IVASS, al fine di conoscere i programmi e valutare gli impegni a garanzia dell'autonomia e dell'indipendenza della gestione dell'impresa di assicurazione o di riassicurazione, puo' convocare chiunque detenga una partecipazione indicata dall'articolo 68 in un'impresa di assicurazione o di riassicurazione. 3-bis. L'IVASS, nell'esercizio delle funzioni indicate al comma 1, ove la situazione lo richieda, anche a seguito del processo di controllo prudenziale di cui all'articolo 47-quinquies, adotta misure preventive o correttive nei confronti delle singole imprese di assicurazione o riassicurazione, ivi inclusi i provvedimenti specifici riguardanti: a) la restrizione dell'attivita', ivi incluso il potere di vietare l'ulteriore commercializzazione dei prodotti assicurativi; b) il divieto di effettuare determinate operazioni anche di natura societaria o l'imposizione, per un periodo non superiore a tre mesi prorogabile al massimo per ulteriori tre mesi, di limitazioni, restrizioni o differimenti relativi ai diritti di riscatto esercitabili dai contraenti; c) il divieto di distribuzione di utili o di altri elementi del patrimonio, nonche' la fissazione di limiti all'importo totale della parte variabile delle remunerazioni dell'impresa; d) il rafforzamento dei sistemi di governo societario, ivi incluso il contenimento dei rischi; e) l'ordine di rimozione di uno o piu' esponenti aziendali o dei titolari di funzioni fondamentali qualora la loro permanenza in carica sia di pregiudizio per la sana e prudente gestione dell'impresa di assicurazione o di riassicurazione o per gli interessi degli assicurati e degli aventi diritto alle prestazioni assicurative. La rimozione non e' disposta ove ricorrano gli estremi per pronunciare la decadenza ai sensi dell'articolo 76, salvo che sussista urgenza di provvedere. 3-ter. L'esercizio dei poteri di vigilanza di cui al comma 3-bis, lettera a), e' attribuito alla CONSOB, per i profili di propria competenza. 3-quater. Ai fini della salvaguardia della stabilita' del sistema finanziario nel suo complesso e del contrasto di rischi sistemici l'IVASS puo' adottare, sulla base delle raccomandazioni del Comitato per le politiche macroprudenziali, le misure preventive o correttive di cui al comma 3-bis, lettere a), b), c) e d), nei confronti di tutte o di singole imprese di assicurazione o riassicurazione. Art. 189 (Poteri di indagine). - 1. L'IVASS puo' chiedere informazioni, ordinare l'esibizione di documenti ed il compimento di accertamenti e verifiche ritenute necessarie, rivolgendo la richiesta ai destinatari della vigilanza di cui all'articolo 6 nonche' ai soggetti che svolgono attivita' riservate privi di autorizzazione. 2. L'IVASS puo' effettuare ispezioni presso le imprese di assicurazione e di riassicurazione e presso gli uffici degli intermediari di assicurazione e di riassicurazione, dei soggetti che svolgono funzioni parzialmente comprese nel ciclo operativo delle imprese medesime limitatamente a tale ciclo, e dei soggetti che svolgono attivita' riservate privi di autorizzazione. Per le ispezioni nei confronti delle imprese che hanno ad oggetto i modelli interni di cui al Titolo III, Capo IV-bis, Sezione III, l'IVASS puo', fino al 31 dicembre 2016, avvalersi di esperti esterni, inclusi revisori dei conti ed attuari, con onere a carico dell'impresa. L'IVASS disciplina con regolamento i criteri di scelta e le ipotesi di conflitto di interesse. Art. 190 (Obblighi di informativa). - 1. L'IVASS, nel rispetto degli articoli 3 e 5, puo' chiedere ai soggetti vigilati la comunicazione, anche periodica, di dati e notizie e la trasmissione di atti e documenti, nonche' qualsiasi informazione in merito ai contratti che sono detenuti da intermediari o in merito ai contratti conclusi con terzi con i termini e le modalita' da esso stabilite con regolamento. 1-bis. Le informazioni di cui al comma 1 comprendono: a) elementi qualitativi o quantitativi o un'appropriata combinazione di entrambi; b) dati storici, attuali o futuri, o un'appropriata combinazione di tali dati; e c) dati provenienti da fonti interne o esterne o un'appropriata combinazione di entrambi. 1-ter. Le informazioni, i dati, i documenti trasmessi all'IVASS: a) riflettono la natura, la portata e la complessita' dell'attivita' dell'impresa interessata, in particolare i rischi inerenti all'attivita' in oggetto; b) sono accessibili, completi da tutti i punti di vista sostanziali, confrontabili e coerenti nel tempo; e c) sono pertinenti, affidabili e comprensibili. 2. I poteri previsti dal comma 1 possono essere esercitati anche nei confronti del soggetto incaricato della revisione legale dei conti delle imprese di assicurazione e di riassicurazione. L'IVASS stabilisce, con regolamento, le modalita' e i termini per la trasmissione, da parte del medesimo soggetto, delle informazioni previste dai commi 3 e 4. 2-bis. I poteri previsti dal comma 1 possono essere esercitati anche nei confronti di esperti esterni, quali attuari. L'IVASS stabilisce, con regolamento, le modalita' e i termini per la trasmissione, da parte dei medesimi soggetti, delle informazioni previste dai commi 3 e 4. 3. L'organo che svolge la funzione di controllo in un'impresa di assicurazione o di riassicurazione informa senza indugio l'IVASS di tutti gli atti o i fatti, che possano costituire un'irregolarita' nella gestione dell'impresa ovvero una violazione delle norme che disciplinano l'attivita' assicurativa o riassicurativa. A tali fini lo statuto dell'impresa, indipendentemente dal sistema di amministrazione e controllo adottato, assegna all'organo che svolge la funzione di controllo i relativi compiti e poteri. Il medesimo organo fornisce all'IVASS ogni altro dato o documento richiesto. 4. I soggetti di cui al comma 2 comunicano senza indugio all'IVASS gli atti o i fatti, rilevati nello svolgimento dell'incarico, che possano costituire una grave violazione delle norme disciplinanti l'attivita' delle societa' sottoposte a revisione ovvero che possano pregiudicare la continuita' dell'impresa o comportare un giudizio negativo, un giudizio con rilievi o una dichiarazione di impossibilita' di esprimere un giudizio sul bilancio, o che possano determinare l'inosservanza del Requisito Patrimoniale di Solvibilita' o l'inosservanza del Requisito Patrimoniale Minimo. I medesimi soggetti forniscono all'IVASS ogni altro dato o documento richiesto. 4-bis. La comunicazione in buona fede alle autorita' di vigilanza da parte dei soggetti di cui ai commi 2 e 2-bis di fatti o decisioni di cui al comma 4 non costituisce violazione di eventuali restrizioni alla comunicazione di informazioni imposte in sede contrattuale o in forma di disposizioni legislative, regolamentari o amministrative e non comporta per tali persone responsabilita' di alcun tipo. 5. Le disposizioni di cui ai commi 3, primo periodo, 4 e 4-bis si applicano anche ai soggetti che esercitano i compiti ivi previsti presso le societa' che controllano le imprese di assicurazione o di riassicurazione o che sono da queste controllate ai sensi dell'articolo 72. 5-bis. Le imprese di assicurazione e di riassicurazione comunicano tempestivamente all'IVASS: a) la nomina e la mancata nomina del soggetto incaricato della revisione legale dei conti, esponendo le cause che hanno determinato il ritardo nel conferimento dell'incarico; b) le dimissioni del soggetto incaricato della revisione legale dei conti; c) la risoluzione consensuale del mandato; d) la revoca dell'incarico di revisione legale dei conti, fornendo adeguate spiegazioni in ordine alle ragioni che l'hanno determinata. 5-ter. L'IVASS stabilisce modalita' e termini per l'invio delle comunicazioni di cui al comma 5-bis. Nel caso di mancata nomina del soggetto incaricato della revisione legale dei conti, l'IVASS adotta i provvedimenti cautelari, autoritativi e sanzionatori previsti dal codice.». «Art. 205-bis (Vigilanza sulle funzioni e le attivita' esternalizzate dalle imprese aventi sede nel territorio della Repubblica). - 1. L'IVASS puo' effettuare, direttamente o attraverso persone appositamente incaricate, ispezioni nei locali del fornitore delle attivita' esternalizzate avente sede in altro Stato membro, dirette a verificare ogni elemento utile ai fini dell'esercizio dell'attivita' di vigilanza sulle funzioni e le attivita' esternalizzate. 2. Prima di procedere all'ispezione l'IVASS informa l'autorita' competente dello Stato membro in cui ha sede il fornitore. Nel caso in cui non sia individuabile un'autorita' competente, l'informativa e' fornita all'autorita' di vigilanza assicurativa dello stesso Stato membro. 3. L'IVASS puo' delegare l'ispezione di cui al comma 1 all'autorita' di vigilanza dello Stato membro in cui ha sede il fornitore. 4. Qualora l'IVASS abbia informato l'autorita' competente dello Stato membro in cui ha sede il fornitore di servizi della propria intenzione di procedere a un'ispezione nei locali del fornitore ai sensi del comma 1 o dell'articolo 30-septies, comma 5, lettera c), e all'IVASS non sia di fatto consentito il diritto di effettuarle, l'IVASS puo' rinviare la questione all'AEAP ai sensi dell'articolo 19 del regolamento (UE) n. 1094/2010. 5. L'autorita' di vigilanza dello Stato membro d'origine di un'impresa di assicurazione o di riassicurazione, il cui fornitore di attivita' esternalizzate abbia sede nel territorio della Repubblica, puo' svolgere, direttamente o attraverso persone appositamente incaricate, ispezioni nei locali del fornitore, dirette a verificare ogni elemento utile ai fini dell'esercizio dell'attivita' di vigilanza sulle funzioni e le attivita' esternalizzate. Prima di procedere all'ispezione l'autorita' di vigilanza informa l'IVASS. L'IVASS, ove lo richieda, ha diritto di parteciparvi. 6. L'autorita' di vigilanza puo' delegare l'ispezione di cui al comma 5 all'IVASS.». - Si riporta il testo degli articoli 5-septies e 19 del decreto legislativo 05 dicembre 2005, n. 252 recante: «Disciplina delle forme pensionistiche complementari», pubblicato nella Gazzetta Ufficiale n. 289 del 13 dicembre 2005: «Art. 5-septies (Esternalizzazione). - 1. I fondi pensione di cui all'articolo 4, comma 1, nonche' quelli gia' istituiti alla data di entrata in vigore della legge 23 ottobre 1992, n. 421, aventi soggettivita' giuridica, possono esternalizzare funzioni o altre attivita', comprese le funzioni fondamentali. La responsabilita' finale delle attivita' e delle funzioni esternalizzate rimane in capo all'organo di amministrazione del fondo pensione, inclusa quella relativa all'osservanza degli obblighi derivanti da disposizioni normative nazionali, nonche' di quelli derivanti da disposizioni dell'Unione europea direttamente applicabili. 2. I fondi pensione di cui al comma 1, che esternalizzano funzioni fondamentali o altre attivita' garantiscono che le relative modalita' siano tali da non determinare anche uno solo dei seguenti effetti: a) arrecare un pregiudizio alla qualita' del sistema di governo del fondo; b) determinare un indebito incremento del rischio operativo; c) compromettere la capacita' della COVIP di verificare l'osservanza degli obblighi gravanti sul fondo; d) compromettere la capacita' del fondo di fornire un servizio continuo e soddisfacente agli aderenti e ai beneficiari. 3. Ai fini del comma 2 i fondi pensione adottano idonee procedure di selezione del fornitore di servizi, stipulano un accordo scritto con il fornitore di servizi che chiarisca i diritti e i doveri del fondo pensione e del fornitore di servizi e provvedono al monitoraggio delle attivita' fornite. 4. I fondi pensione di cui al comma 1, informano tempestivamente la COVIP dell'esternalizzazione e di qualunque importante sviluppo successivo. Se l'esternalizzazione riguarda le funzioni fondamentali o la gestione amministrativa o finanziaria del fondo pensione, la COVIP ne riceve informativa prima che l'esternalizzazione diventi operativa. 5. La COVIP puo' richiedere in qualunque momento ai fondi pensione di cui al comma 1, e ai fornitori di servizi informazioni relative alle funzioni o alle attivita' esternalizzate. 6. La COVIP puo' effettuare ispezioni nei locali del fornitore delle attivita' esternalizzate, qualora lo stesso non sia sottoposto a vigilanza prudenziale di altra autorita' di vigilanza, dirette a verificare ogni elemento utile ai fini dell'esercizio dell'attivita' di vigilanza sulle funzioni e le attivita' esternalizzate.». «Art. 19 (Compiti della COVIP). - 1. Le forme pensionistiche complementari di cui al presente decreto, ivi comprese quelle di cui all'articolo 20, commi 1, 3 e 8, nonche' i fondi che assicurano ai dipendenti pubblici prestazioni complementari al trattamento di base e al TFR, comunque risultino gli stessi configurati nei bilanci di societa' o enti ovvero determinate le modalita' di erogazione, ad eccezione delle forme istituite all'interno di enti pubblici, anche economici, che esercitano i controlli in materia di tutela del risparmio, in materia valutaria o in materia assicurativa, sono iscritte in un apposito albo, tenuto a cura della COVIP. 1-bis. La COVIP fornisce informativa all'AEAP, secondo le modalita' dalla stessa definite, in merito ai fondi iscritti all'Albo e alle eventuali cancellazioni effettuate. 2. In conformita' agli indirizzi generali del Ministero del lavoro e delle politiche sociali, di concerto con il Ministero dell'economia e delle finanze, e ferma restando la vigilanza di stabilita' esercitata dalle rispettive autorita' di controllo sui soggetti abilitati di cui all'articolo 6, comma 1, la COVIP esercita, anche mediante l'emanazione di istruzioni di carattere generale e particolare, la vigilanza su tutte le forme pensionistiche complementari con approccio prospettico e basato sul rischio. I poteri di vigilanza sono esercitati in modo tempestivo e proporzionato alle dimensioni, alla natura, alla portata e alla complessita' delle attivita' della forma pensionistica complementare. In tale ambito: a) definisce le condizioni che, al fine di garantire il rispetto dei principi di trasparenza, comparabilita' e portabilita', le forme pensionistiche complementari devono soddisfare per poter essere ricondotte nell'ambito di applicazione del presente decreto ed essere iscritte all'albo di cui al comma 1; a-bis) elabora gli schemi degli statuti e dei regolamenti delle forme pensionistiche complementari; a-ter) detta disposizioni di dettaglio, anche attraverso gli schemi degli statuti e dei regolamenti, in materia di sistema di governo delle forme pensionistiche complementari, con esclusione dei fondi pensione costituiti nella forma di patrimoni separati ai sensi dell'articolo 3, comma 1, lettera i), incluse le funzioni fondamentali, nonche' relativamente al documento sulla politica di remunerazione e al documento sulla valutazione interna del rischio; b) approva gli statuti e i regolamenti delle forme pensionistiche complementari, verificando la ricorrenza delle condizioni richieste dal presente decreto e valutandone anche la compatibilita' rispetto ai provvedimenti di carattere generale da essa emanati; nel disciplinare, con propri regolamenti, le procedure per l'autorizzazione dei fondi pensione all'esercizio dell'attivita' e per l'approvazione degli statuti e dei regolamenti dei fondi, nonche' delle relative modifiche, la COVIP individua procedimenti di autorizzazione semplificati, prevedendo anche l'utilizzo del silenzio-assenso e l'esclusione di forme di approvazione preventiva. Tali procedimenti semplificati devono in particolar modo essere utilizzati nelle ipotesi di modifiche statutarie e regolamentari conseguenti a sopravvenute disposizioni normative. Ai fini di sana e prudente gestione, la COVIP puo' richiedere di apportare modifiche agli statuti e ai regolamenti delle forme pensionistiche complementari, fissando un termine per l'adozione delle relative delibere; c) verifica la coerenza della politica di investimento e dei criteri di individuazione e ripartizione del rischio della forma pensionistica complementare, illustrati nel documento di cui all'articolo 6, comma 5-quater, con le previsioni di cui all'articolo 6 e relative disposizioni di attuazione; d) definisce, sentite le autorita' di vigilanza sui soggetti abilitati a gestire le risorse delle forme pensionistiche complementari, i criteri di redazione delle convenzioni per la gestione delle risorse, cui devono attenersi le medesime forme pensionistiche e i gestori nella stipula dei relativi contratti; e) vigila sulla corrispondenza delle convenzioni per la gestione delle risorse ai criteri di cui alla lettera d); f) indica criteri omogenei per la determinazione del valore del patrimonio delle forme pensionistiche complementari, della loro redditivita', nonche' per la determinazione della consistenza patrimoniale delle posizioni individuali accese presso le forme stesse; detta disposizioni volte all'applicazione di regole comuni a tutte le forme pensionistiche circa la definizione del termine massimo entro il quale le contribuzioni versate devono essere rese disponibili per la valorizzazione; detta disposizioni per la redazione dei bilanci, dei rendiconti e delle relazioni ai predetti documenti, nonche' circa le modalita' attraverso le quali tali documenti sono resi pubblici e resi disponibili agli aderenti; detta disposizioni per la tenuta delle scritture contabili, prevedendo: il modello di libro giornale, nel quale annotare cronologicamente le operazioni di incasso dei contributi e di pagamento delle prestazioni, nonche' ogni altra operazione, gli eventuali altri libri contabili, il prospetto della composizione e del valore del patrimonio della forma pensionistica complementare attraverso la contabilizzazione secondo i criteri definiti in base al decreto legislativo 24 febbraio 1998, n. 58, evidenziando le posizioni individuali degli iscritti; g) detta disposizioni volte a garantire la trasparenza delle condizioni contrattuali di tutte le forme pensionistiche complementari, al fine di tutelare l'adesione consapevole dei soggetti destinatari e garantire il diritto alla portabilita' della posizione individuale tra le varie forme pensionistiche complementari, avendo anche riguardo all'esigenza di garantire la comparabilita' dei costi; garantisce che gli iscritti attivi possano ottenere, a richiesta, informazioni in merito alle conseguenze della cessazione del rapporto di lavoro sui loro diritti pensionistici complementari e, in particolare, relative: 1) alle condizioni che disciplinano l'acquisizione di diritti pensionistici complementari e alle conseguenze della loro applicazione in caso di cessazione del rapporto di lavoro; 2) al valore dei diritti pensionistici maturati o ad una valutazione dei diritti pensionistici maturati effettuata al massimo nei dodici mesi precedenti la data della richiesta; 3) alle condizioni che disciplinano il trattamento futuro dei diritti pensionistici in sospeso; garantisce, altresi', che gli iscritti di cui all'articolo 14, comma 2, lettera c-bis), nonche' gli eredi e beneficiari di cui all'articolo 14, comma 3, possano ottenere, su richiesta, informazioni relative al valore dei loro diritti pensionistici in sospeso, o a una valutazione dei diritti pensionistici in sospeso effettuata al massimo nei dodici mesi precedenti la data della richiesta, e alle condizioni che disciplinano il trattamento dei diritti pensionistici in sospeso; disciplina, tenendo presenti le disposizioni in materia di sollecitazione del pubblico risparmio, le modalita' di offerta al pubblico di tutte le predette forme pensionistiche, dettando disposizioni volte all'applicazione di regole comuni per tutte le forme pensionistiche complementari, relativamente alle informazioni generali sulla forma pensionistica complementare, alle informazioni ai potenziali aderenti, alle informazioni periodiche agli aderenti, alle informazioni agli aderenti durante la fase di prepensionamento e alle informazioni ai beneficiari durante la fase di erogazione delle rendite. A tale fine elabora schemi per le informative da indirizzare ai potenziali aderenti, agli aderenti e ai beneficiari di tutte le forme pensionistiche complementari. Detta disposizioni sulle modalita' di pubblicita'; h) vigila sull'osservanza delle disposizioni del presente decreto e delle disposizioni secondarie di attuazione dello stesso, nonche' delle disposizioni dell'Unione europea direttamente applicabili alle forme pensionistiche complementari, con facolta' di sospendere o vietare la raccolta delle adesioni in caso di violazione delle disposizioni stesse; i) esercita il controllo sulla gestione tecnica, finanziaria, patrimoniale, contabile delle forme pensionistiche complementari, anche mediante ispezioni presso le stesse, ivi comprese le attivita' esternalizzate e su quelle oggetto di riesternalizzazione, richiedendo l'esibizione dei documenti e degli atti che ritenga necessari; l) riferisce periodicamente al Ministro del lavoro e delle politiche sociali, formulando anche proposte di modifiche legislative in materia di previdenza complementare; l-bis) diffonde regolarmente informazioni relative all'andamento della previdenza complementare; m) diffonde informazioni utili alla conoscenza dei temi previdenziali; n) programma ed organizza ricerche e rilevazioni nel settore della previdenza complementare anche in rapporto alla previdenza di base; a tale fine, le forme pensionistiche complementari sono tenute a fornire i dati e le informazioni richiesti, per la cui acquisizione la COVIP puo' avvalersi anche dell'Ispettorato del lavoro. 3. Per l'esercizio della vigilanza, la COVIP puo' richiedere in qualsiasi momento che l'organo di amministrazione e di controllo, il direttore generale, il responsabile e i titolari delle funzioni fondamentali forniscano alla stessa, per quanto di rispettiva competenza, informazioni e valutazioni su qualsiasi questione relativa alla forma pensionistica complementare e trasmettano ogni dato e documento richiesto. Con le modalita' e nei termini da essa stessa stabiliti, la COVIP puo' disporre l'invio sistematico: a) delle segnalazioni statistiche e di vigilanza, comprese quelle a livello di singolo iscritto, nonche' di ogni altro dato e documento, anche per finalita' di monitoraggio del funzionamento complessivo del sistema di previdenza complementare in attuazione delle lettere l), l-bis), m) e n) del comma 2; b) dei verbali delle riunioni e degli accertamenti degli organi di controllo delle forme pensionistiche complementari. 4. La COVIP puo' altresi': a) convocare presso di se' i componenti degli organi di amministrazione e di controllo, i direttori generali, i responsabili delle forme pensionistiche complementari e i titolari delle funzioni fondamentali; b) ordinare la convocazione degli organi di amministrazione e di controllo delle forme pensionistiche complementari, fissandone l'ordine del giorno; in caso di inottemperanza puo' procedere direttamente alla convocazione degli organi di amministrazione e di controllo delle forme pensionistiche complementari; b-bis) inibire con provvedimento motivato, in tutto o in parte, per un periodo massimo di 60 giorni, l'attivita' della forma pensionistica complementare ove vi sia il fondato sospetto di grave violazione delle norme del presente decreto e vi sia urgenza di provvedere. 5. Nell'esercizio della vigilanza la COVIP ha diritto di ottenere le notizie e le informazioni richieste alle pubbliche amministrazioni. 5-bis. Tenuto conto della dimensione, della natura, della portata e della complessita' delle attivita' delle forme pensionistiche complementari, la COVIP esamina periodicamente le strategie, i processi e le procedure di segnalazione stabiliti dalle forme pensionistiche complementari per rispettare le disposizioni del presente decreto e della normativa secondaria adottata in attuazione dello stesso. Il riesame tiene conto delle circostanze in cui le forme pensionistiche complementari operano e, ove opportuno, dei soggetti che eseguono per loro conto funzioni fondamentali o qualsiasi altra attivita' esternalizzata. Tale esame comprende: a) una valutazione dei requisiti qualitativi relativi al sistema di governo; b) una valutazione dei rischi cui la forma pensionistica e' esposta; c) una valutazione della capacita' della forma di valutare e gestire tali rischi. 5-ter. La COVIP puo' adottare ogni strumento di monitoraggio ritenuto opportuno, incluse le prove di stress, che consenta di rilevare il deterioramento delle condizioni finanziarie di una forma pensionistica complementare e di monitorare come vi sia posto rimedio. 5-quater. La COVIP puo' richiedere alle forme pensionistiche complementari di rimediare alle carenze o alle deficienze individuate nel quadro della procedura di cui ai commi 5-bis e 5-ter.208 6. La COVIP, nei casi di crisi o di tensione sui mercati finanziari, tiene conto degli effetti dei propri atti sulla stabilita' del sistema finanziario degli altri Stati membri, anche avvalendosi degli opportuni scambi di informazioni con l'AEAP, il Comitato congiunto, il CERS e le autorita' di vigilanza degli altri Stati membri. 7. Entro il 31 maggio di ciascun anno la COVIP trasmette al Ministro del lavoro e delle politiche sociali una relazione sull'attivita' svolta, sulle questioni in corso di maggior rilievo e sugli indirizzi e le linee programmatiche che intende seguire. Entro il 30 giugno successivo il Ministro del lavoro e delle politiche sociali trasmette detta relazione al Parlamento con le proprie eventuali osservazioni. 7-bis. I dipendenti e gli esperti addetti alla COVIP, nell'esercizio delle funzioni di vigilanza, sono incaricati di un pubblico servizio.» - Si riporta il testo degli articoli 6-bis, 6-ter, 7 e 62-novies del citato decreto legislativo 24 febbraio 1998, n. 58: «Art. 6-bis (Poteri informativi e di indagine). - 1. La Banca d'Italia puo' chiedere, nell'ambito delle sue competenze, ai soggetti abilitati la comunicazione di dati e notizie e la trasmissione di atti e documenti con le modalita' e nei termini dalla stessa stabiliti. La Banca d'Italia, nell'ambito delle sue competenze, puo' chiedere informazioni al personale dei soggetti abilitati, anche per il tramite di questi ultimi. 2. Gli obblighi previsti dal comma 1 si applicano anche a coloro ai quali i soggetti abilitati abbiano esternalizzato funzioni aziendali essenziali o importanti e al loro personale. 3. I poteri previsti dal comma 1 possono essere esercitati anche nei confronti del soggetto incaricato della revisione legale dei conti. 4. La Consob, nell'ambito delle sue competenze, puo': a) chiedere a chiunque la comunicazione di dati e notizie e la trasmissione di atti e documenti con le modalita' e nei termini dalla stessa stabiliti, che possano essere pertinenti ai fini dell'esercizio della propria funzione di vigilanza; b) procedere ad audizione personale nei confronti di chiunque possa essere in possesso di informazioni pertinenti. 5. La Consob, nell'ambito delle sue competenze, puo' altresi', nei confronti dei soggetti abilitati: a) procedere a perquisizioni nei modi previsti dall'articolo 33 del decreto del Presidente della Repubblica 29 settembre 1973, n. 600, e dall'articolo 52 del decreto del Presidente della Repubblica 26 ottobre 1972, n. 633; b) richiedere le registrazioni esistenti relative a conversazioni telefoniche, comunicazioni elettroniche o scambi di dati conservate da un soggetto abilitato; c) richiedere le registrazioni detenute da un operatore di telecomunicazioni riguardanti le comunicazioni telefoniche e gli scambi di dati di un soggetto abilitato; d) avvalersi della collaborazione delle pubbliche amministrazioni, richiedendo la comunicazione di dati ed informazioni anche in deroga ai divieti di cui all'articolo 25, comma 1, del decreto legislativo 30 giugno 2003, n. 196, ed accedere al sistema informativo dell'anagrafe tributaria secondo le modalita' previste dagli articoli 2 e 3, comma 1, del decreto legislativo 12 luglio 1991, n. 212; e) richiedere la comunicazione di dati personali anche in deroga ai divieti di cui all'articolo 25, comma 1, del decreto legislativo 30 giugno 2003, n. 196; f) avvalersi, ove necessario, dei dati contenuti nell'anagrafe dei conti e dei depositi di cui all'articolo 20, comma 4, della legge 30 dicembre 1991, n. 413, nonche' acquisire, anche mediante accesso diretto, i dati contenuti nell'archivio indicato all'articolo 13 del decreto-legge 15 dicembre 1979, n. 625, convertito, con modificazioni, dalla legge 6 febbraio 1980, n. 15; g) accedere direttamente, mediante apposita connessione telematica, ai dati contenuti nella Centrale dei rischi della Banca d'Italia; h) avvalersi, ove necessario, anche mediante connessione telematica, dei dati contenuti nell'apposita sezione dell'anagrafe tributaria di cui all'articolo 7, comma sesto, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605; i) procedere al sequestro dei beni che possono formare oggetto di confisca ai sensi dell'articolo 187-sexies del presente decreto. Si applicano i commi 9, 10 e 11 dell'articolo 187-octies del presente decreto. 6. E' fatta salva l'applicazione delle disposizioni degli articoli 199, 200, 201, 202 e 203 del codice di procedura penale, in quanto compatibili. 7. I poteri di cui al comma 5, lettere a), c) ed i), sono esercitati previa autorizzazione del procuratore della Repubblica. 8. Nei casi previsti dal comma 4, lettera b), dal comma 5, lettere a) ed i), e dal comma 9 viene redatto processo verbale dei dati e delle informazioni acquisite o dei fatti accertati, dei sequestri eseguiti, e delle dichiarazioni rese dagli interessati, i quali sono invitati a firmare il processo verbale e hanno diritto di averne copia. 9. Nell'esercizio dei poteri previsti dai commi 4 e 5 la Consob puo' avvalersi della Guardia di Finanza che esegue gli accertamenti richiesti agendo con i poteri di indagine ad essa attribuiti ai fini dell'accertamento dell'imposta sul valore aggiunto e delle imposte sui redditi. 10. Tutte le notizie, le informazioni e i dati acquisiti dalla Guardia di Finanza nell'assolvimento dei compiti previsti dal comma 9 sono coperti dal segreto d'ufficio e vengono, senza indugio, comunicati esclusivamente alla Consob. 11. La Banca d'Italia, nell'ambito delle sue competenze, puo' esercitare il potere previsto dal comma 4, lettera b), nei confronti degli esponenti e del personale dei soggetti abilitati. In tale caso si applica il comma 8. Art. 6-ter (Poteri ispettivi). - 1. La Banca d'Italia e la Consob possono, nell'ambito delle rispettive competenze e nel rispetto delle disposizioni normative europee, effettuare ispezioni e richiedere l'esibizione dei documenti e il compimento degli atti ritenuti necessari nei confronti dei soggetti abilitati e di coloro ai quali i soggetti abilitati abbiano esternalizzato funzioni aziendali essenziali o importanti e al loro personale. Si applicano i commi 9 e 10 dell'articolo 6-bis. 2. Al fine di verificare l'osservanza da parte di un soggetto abilitato delle disposizioni di cui alla presente parte, la Consob, previa autorizzazione del procuratore della Repubblica, puo' esercitare il potere di cui al comma 1 anche nei confronti di soggetti, diversi da quelli ivi indicati, che abbiano intrattenuto rapporti di natura patrimoniale o professionale con il soggetto abilitato. 3. La Consob puo' richiedere ai soggetti incaricati della revisione legale dei conti dei soggetti abilitati di fornire informazioni. Quando sussistono particolari necessita' e non sia possibile provvedere con risorse proprie, la Consob puo' altresi' autorizzare revisori legali o societa' di revisione legale a procedere a verifiche o ispezioni per suo conto. Il soggetto autorizzato a procedere alle predette verifiche ed ispezioni agisce in veste di Pubblico Ufficiale. 4. Nei casi previsti dal comma 2 la Consob redige processo verbale dei dati e delle informazioni acquisite o dei fatti accertati e delle dichiarazioni rese dagli interessati, i quali sono invitati a firmare il processo verbale e hanno diritto di averne copia. 5. Ciascuna autorita' comunica le ispezioni disposte all'altra autorita', la quale puo' chiedere accertamenti su profili di propria competenza. 6. La Banca d'Italia e la Consob possono chiedere alle autorita' competenti di uno Stato UE di effettuare accertamenti presso succursali di Sim, di Sgr e di banche stabilite sul territorio di detto Stato ovvero concordare altre modalita' per le verifiche. 7. Le autorita' competenti di uno Stato UE, dopo aver informato la Banca d'Italia e la Consob, possono ispezionare, anche tramite loro incaricati, le succursali di imprese di investimento UE, di banche UE, di societa' di gestione UE e di GEFIA UE dalle stesse autorizzate, stabilite nel territorio della Repubblica. Se le autorita' di uno Stato dell'Unione europea lo richiedono, la Banca d'Italia e la Consob, nell'ambito delle rispettive competenze, procedono direttamente agli accertamenti ovvero concordano altre modalita' per le verifiche. 8. La Banca d'Italia e la Consob possono concordare, nell'ambito delle rispettive competenze, con le autorita' competenti degli Stati non UE modalita' per l'ispezione di succursali di Sim, banche italiane, e imprese di paesi terzi insediate nei rispettivi territori. Art. 7 (Poteri di intervento sui soggetti abilitati). - 1. La Banca d'Italia e la CONSOB, nell'ambito delle rispettive competenze, possono, con riguardo ai soggetti abilitati: a) convocare gli amministratori, i sindaci e il personale; b) ordinare la convocazione degli organi collegiali, fissandone l'ordine del giorno; c) procedere direttamente alla convocazione degli organi collegiali quando gli organi competenti non abbiano ottemperato a quanto previsto dalla lettera b). 1-bis. La Banca d'Italia e la Consob, nell'ambito delle rispettive competenze, possono altresi' convocare gli amministratori, i sindaci e il personale di coloro ai quali i soggetti abilitati abbiano esternalizzato funzioni aziendali essenziali o importanti. 1-ter. La Banca d'Italia e la Consob, nell'ambito delle rispettive competenze, possono pubblicare avvertimenti al pubblico. 1-quater. La Consob intima ai soggetti abilitati di non avvalersi, nell'esercizio della propria attivita' e per un periodo non superiore a tre anni, dell'attivita' professionale di un soggetto ove possa essere di pregiudizio per la trasparenza e la correttezza dei comportamenti. 2. La Banca d'Italia puo' adottare, a fini di stabilita', provvedimenti specifici aventi a oggetto le materie disciplinate dall'articolo 6, comma 1, lettera a), e, ove la situazione lo richieda: adottare, sentita la Consob, provvedimenti restrittivi o limitativi concernenti i servizi, le attivita', le operazioni e la struttura territoriale; vietare la distribuzione di utili o di altri elementi del patrimonio; con riferimento a strumenti finanziari computabili nel patrimonio a fini di vigilanza, vietare il pagamento di interessi; fissare limiti all'importo totale della parte variabile delle remunerazioni nei soggetti abilitati, quando sia necessario per il mantenimento di una solida base patrimoniale. I provvedimenti possono essere emanati nei confronti di uno o piu' soggetti abilitati, nonche' di una o piu' categorie di essi. 2-bis. La Banca d'Italia, nell'ambito delle sue competenze, puo' disporre, sentita la Consob, la rimozione di uno o piu' esponenti aziendali di Sim, societa' di gestione del risparmio, Sicav e Sicaf, qualora la loro permanenza in carica sia di pregiudizio per la sana e prudente gestione del soggetto abilitato; la rimozione non e' disposta ove ricorrano gli estremi per pronunciare la decadenza ai sensi dell'articolo 13, salvo che sussista urgenza di provvedere. 2-ter. La Consob, nell'ambito delle sue competenze, dispone, sentita la Banca d'Italia, la rimozione di uno o piu' esponenti aziendali di Sim, banche italiane, societa' di gestione del risparmio, Sicav e Sicaf, qualora la loro permanenza in carica sia di pregiudizio alla trasparenza e correttezza dei comportamenti dei soggetti abilitati; la rimozione non e' disposta ove ricorrano gli estremi per pronunciare la decadenza ai sensi dell'articolo 13, salvo che sussista urgenza di provvedere.247 249 3. Nell'interesse pubblico o dei partecipanti la Banca d'Italia e la CONSOB, ciascuna per quanto di competenza, possono ordinare la sospensione o la limitazione temporanea dell'emissione o del rimborso delle quote o azioni di OICR. 3-bis. La Consob ordina la sospensione per un periodo non superiore a 60 giorni per ciascuna volta della commercializzazione o della vendita di strumenti finanziari in caso di violazione delle disposizioni di attuazione dell'articolo 6, comma 2, lettera b-bis), numero 1), lettera a), e di esistenza di un pregiudizio per la tutela degli investitori.». «Art. 62-novies (Poteri ispettivi). - 1. Nell'ambito delle rispettive competenze e nel perseguimento delle finalita' previste dagli articoli 62, comma 1, e 62-ter, comma 1, la Consob e la Banca d'Italia possono effettuare ispezioni e richiedere l'esibizione di documenti e il compimento degli atti ritenuti necessari nei confronti dei gestori delle sedi di negoziazione e di coloro ai quali i gestori medesimi abbiano esternalizzato funzioni operative essenziali o importanti e al loro personale. Nell'esercizio di tali poteri da parte della Consob si applicano i commi 12 e 13 dell'articolo 187-octies. 2. La Consob puo' richiedere ai soggetti incaricati della revisione legale dei conti dei mercati regolamentati di fornire informazioni. Quando sussistono particolari necessita' e non sia possibile provvedere con risorse proprie, la Consob puo' altresi' autorizzare revisori legali o societa' di revisione legale a procedere a verifiche o ispezioni per suo conto. Il soggetto autorizzato a procedere a verifiche o ispezioni agisce in veste di Pubblico Ufficiale. 3. La Banca d'Italia puo' richiedere ai soggetti incaricati della revisione legale dei conti delle sedi di negoziazione all'ingrosso dei titoli di Stato di fornire informazioni. Quando sussistono particolari necessita' e non sia possibile provvedere con risorse proprie, la Banca d'Italia puo' altresi' autorizzare revisori legali o societa' di revisione legale a procedere a verifiche o ispezioni per suo conto. Il soggetto autorizzato a procedere a verifiche o ispezioni agisce in veste di pubblico ufficiale. 4. Per le finalita' di cui agli articoli 62, comma 1, e 62-ter, comma 1, la Consob e la Banca d'Italia possono esercitare nei confronti degli operatori ammessi alle sedi di negoziazione, diversi dai soggetti abilitati, e dei partecipanti remoti, i rispettivi poteri di cui ai commi 1, 2 e 3. In caso di partecipanti remoti, l'autorita' competente dello Stato membro d'origine del partecipante remoto e' informata. 5. Nei casi previsti dal presente articolo, la Consob redige processo verbale dei dati, delle informazioni acquisite e delle dichiarazioni rese dagli interessati, i quali sono invitati a firmare il processo verbale e hanno diritto di averne copia. Gli esiti degli accertamenti ispettivi effettuati dalla Banca d'Italia ai sensi del presente articolo sono comunicati per iscritto agli interessati con le modalita' stabilite dalla Banca d'Italia con proprio provvedimento.». - Si riporta il testo dell'articolo 22 della citata legge 28 dicembre 2005, n. 262: «Art. 22 (Collaborazione da parte del Corpo della guardia di finanza). - 1. Nell'esercizio dei poteri di vigilanza informativa e ispettiva, le Autorita' di cui all'articolo 20 possono avvalersi, in relazione alle specifiche finalita' degli accertamenti, del Corpo della guardia di finanza, che agisce con i poteri ad esso attribuiti per l'accertamento dell'imposta sul valore aggiunto e delle imposte sui redditi, utilizzando strutture e personale esistenti in modo da non determinare oneri aggiuntivi. 2. Tutte le notizie, le informazioni e i dati acquisiti dal Corpo della guardia di finanza nell'assolvimento dei compiti previsti dal comma 1 sono coperti dal segreto d'ufficio e vengono senza indugio comunicati esclusivamente alle Autorita' competenti.».   Art. 9 Poteri regolamentari 1. Le Autorita' competenti DORA possono, nell'ambito delle rispettive competenze, emanare disposizioni attuative del presente decreto e del regolamento DORA, anche per tener conto degli orientamenti delle Autorita' europee di vigilanza, nonche' delle disposizioni riguardanti le modalita' di esercizio dei poteri di vigilanza.   Art. 10 Sanzioni amministrative e altre misure 1. Al testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, sono apportate le seguenti modificazioni: a) all'articolo 144, dopo il comma 8, sono inseriti i seguenti: «8-bis. In caso di inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica: a) nei confronti delle banche, degli intermediari finanziari e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino al 10 per cento del fatturato; b) nei confronti degli istituti di pagamento, degli istituti di moneta elettronica e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni ovvero fino al 10 per cento del fatturato, quando tale importo e' superiore a euro 5 milioni e il fatturato e' disponibile e determinabile. 8-ter. In caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica: a) nei confronti delle banche, degli intermediari finanziari e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino al 7 per cento del fatturato; b) nei confronti degli istituti di pagamento, degli istituti di moneta elettronica e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni ovvero fino al 7 per cento del fatturato, quando tale importo e' superiore a euro 3,5 milioni e il fatturato e' disponibile e determinabile.»; b) all'articolo 144-ter: 1) dopo il comma 2, sono inseriti i seguenti: «2-bis. Salvo che il fatto costituisca reato, se le violazioni indicate dall'articolo 144, commi 8-bis e 8-ter, sono commesse da una persona fisica di cui al comma 2-ter, si applica nei confronti di quest'ultima una sanzione amministrativa pecuniaria: a) da euro 5.000 fino a euro 5 milioni, nei casi di cui alle lettere a) e b) del comma 8-bis dell'articolo 144; b) da euro 5.000 fino a euro 3,5 milioni, nei casi di cui alle lettere a) e b) del comma 8-ter dell'articolo 144. 2-ter. Fermo restando quanto previsto per le societa' e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui al comma 2-bis si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle societa' e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza e' conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della societa' o dell'ente a provvedimenti specifici adottati dalla Banca d'Italia ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, da parte della societa' o dell'ente. 2-quater. Se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa e' superiore ai limiti massimi indicati nel comma 2-bis, la sanzione amministrativa pecuniaria e' elevata fino al doppio dell'ammontare del vantaggio ottenuto, purche' tale ammontare sia determinabile.»; 2) al comma 3 dopo le parole: «di applicazione della sanzione» sono inserite le seguenti: «di cui ai commi 1 e 2»; 3) dopo il comma 3, e' inserito il seguente: «3-bis. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui al comma 2-bis del presente articolo in ragione della gravita' della violazione accertata, puo' essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto legislativo, del decreto legislativo 24 febbraio 1998, n. 58, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129 o presso fondi pensione.». 2. Al testo unico delle disposizioni in materia di intermediazione finanziaria, di cui al decreto legislativo 24 febbraio 1998, n. 58, dopo l'articolo 190-bis.2 e' inserito il seguente: «Art. 190-bis.3 (Sanzioni amministrative relative alle violazioni delle disposizioni previste dal regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e dalle relative norme tecniche di regolamentazione e attuazione). - 1. In caso di inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica: a) nei confronti delle societa' di intermediazione mobiliare (SIM), delle societa' di gestione del risparmio (SGR), delle societa' di investimento a capitale variabile (SICAV), delle societa' di investimento a capitale fisso (SICAF), delle controparti centrali, dei gestori di mercati regolamentati e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni, ovvero fino al 10 per cento del fatturato, quando tale importo e' superiore a euro 5 milioni e il fatturato e' determinabile; b) nei confronti dei depositari centrali di titoli e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 20 milioni, ovvero fino al 10 per cento del fatturato, quando tale importo e' superiore a euro 20 milioni; c) nei confronti dei fornitori di servizi di crowdfunding e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 500 fino a euro 500.000, ovvero fino al 5 per cento del fatturato, quando tale importo e' superiore a euro 500.000 e il fatturato e' determinabile; d) nei confronti degli amministratori di indici di riferimento critici e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 10.000 fino a euro 1 milione, ovvero fino al 10 per cento del fatturato totale annuo, quando tale importo e' superiore a euro 1 milione e il fatturato e' determinabile. 2. Salvo che il fatto costituisca reato, se le violazioni indicate dal comma 1 sono commesse da una persona fisica di cui al comma 5, si applica nei confronti di quest'ultima una sanzione amministrativa pecuniaria: a) da euro 5.000 fino a euro 5 milioni, nei casi di cui alle lettere a) e b), del comma 1; b) da euro 500 fino a euro 500.000, nei casi di cui alla lettera c) del comma 1; c) da euro 5.000 fino a euro 500.000, nei casi di cui alla lettera d) del comma 1. 3. In caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica: a) nei confronti delle SIM, delle SGR, delle SICAV, delle SICAF, delle controparti centrali, dei gestori di mercati regolamentati e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni, ovvero fino al 7 per cento del fatturato, quando tale importo e' superiore a euro 3,5 milioni e il fatturato e' determinabile; b) nei confronti dei depositari centrali di titoli e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 14 milioni, ovvero fino al 7 per cento del fatturato, quando tale importo e' superiore a euro 14 milioni; c) nei confronti dei fornitori di servizi di crowdfunding e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 500 fino a euro 350.000, ovvero fino al 3,5 per cento del fatturato, quando tale importo e' superiore a euro 350.000 e il fatturato e' determinabile; d) nei confronti degli amministratori di indici di riferimento critici e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 10.000 fino a euro 700.000, ovvero fino al 7 per cento del fatturato totale annuo, quando tale importo e' superiore a euro 700.000 e il fatturato e' determinabile. 4. Salvo che il fatto costituisca reato, se le violazioni indicate dal comma 3 sono commesse da una persona fisica di cui al comma 5, si applica nei confronti di quest'ultima una sanzione amministrativa pecuniaria: a) da euro 5.000 fino a euro 3,5 milioni, nei casi di cui alle lettere a) e b), del comma 3; b) da euro 500 fino a euro 350.000, nei casi di cui alla lettera c) del comma 3; c) da euro 5.000 fino a euro 350.000, nei casi di cui alla lettera d) del comma 3. 5. Fermo restando quanto previsto per le societa' e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui ai commi 2 e 4 si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle societa' e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza e' conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della societa' o dell'ente a provvedimenti specifici adottati dalla Banca d'Italia e dalla Consob, secondo le rispettive competenze, ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 da parte della societa' o dell'ente. 6. Se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa e' superiore ai limiti massimi indicati nei commi 1, 2, 3 e 4, la sanzione amministrativa pecuniaria e' elevata fino al doppio dell'ammontare del vantaggio ottenuto, purche' tale ammontare sia determinabile. 7. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui ai commi 2 e 4 in ragione della gravita' della violazione accertata, puo' essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto, del decreto legislativo 1° settembre 1993, n. 385, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129, o presso fondi pensione. 8. Le sanzioni amministrative previste dal presente articolo sono applicate dalla Banca d'Italia e dalla Consob, secondo le rispettive competenze e secondo la procedura sanzionatoria di cui all'articolo 195, nei casi di cui al comma 1, lettere a), b), c) e d), e al comma 2, lettere a), b), c), e nei casi di cui al comma 3, lettere a), b), c), e d), e al comma 4 lettere a), b) e c). Alle violazioni di competenza della Consob si applica l'articolo 196-ter.». 3. Al codice delle assicurazioni private, di cui al decreto legislativo 7 settembre 2005, n. 209, sono apportate le seguenti modificazioni: a) all'articolo 310: 1) al comma 1, dopo la lettera c), e' aggiunta la seguente: «c-bis) inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, da parte delle imprese di assicurazione, delle imprese di riassicurazione e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554.»; 2) dopo il comma 1, e' inserito il seguente: «1-bis. Si applica la sanzione amministrativa pecuniaria da euro 30.000 al 7 per cento del fatturato in caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, da parte delle imprese di assicurazione, delle imprese di riassicurazione e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554.»; 3) al comma 2, le parole: «comma 1, lettere a) e b)» sono sostituite dalle seguenti: «comma 1, lettere a), b) e c-bis)»; b) all'articolo 311-sexies: 1) dopo il comma 2 sono inseriti i seguenti: «2-bis. Salvo che il fatto costituisca reato, se le violazioni indicate dall'articolo 310, commi 1, lettera c-bis), e 1-bis, sono commesse da una persona fisica di cui al comma 2-ter, si applica nei confronti di quest'ultima una sanzione amministrativa pecuniaria: a) da euro 5.000 fino a euro 5 milioni, nei casi di cui alla lettera c-bis) del comma 1 dell'articolo 310; b) da euro 5.000 fino a euro 3,5 milioni, nei casi di cui al comma 1-bis dell'articolo 310. 2-ter. Fermo restando quanto previsto per le societa' e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui al comma 2-bis si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle societa' e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza e' conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della societa' o dell'ente a provvedimenti specifici adottati dall'IVASS, ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 da parte della societa' o dell'ente.»; 2) dopo il comma 3 e' inserito il seguente: «3-bis. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui al comma 2-bis in ragione della gravita' della violazione accertata, puo' essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto legislativo, del decreto legislativo 24 febbraio 1998, n. 58, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129 o presso fondi pensione.»; c) all'articolo 324: 1) dopo il comma 7-bis, sono aggiunti i seguenti: «7-ter. In caso di inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, da parte degli intermediari assicurativi, degli intermediari riassicurativi, degli intermediari assicurativi a titolo accessorio e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, si applica, per le societa', la sanzione amministrativa pecuniaria di cui al comma 1, lettera c), numero 1). 7-quater. In caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, da parte degli intermediari assicurativi, degli intermediari riassicurativi, degli intermediari assicurativi a titolo accessorio e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, si applica, per le societa', la sanzione amministrativa pecuniaria da 5.000 euro a 3,5 milioni di euro oppure, se superiore, pari al 3,50 per cento del fatturato complessivo annuo risultante dall'ultimo bilancio disponibile approvato dall'organo di amministrazione. 7-quinquies. Salvo che il fatto costituisca reato, se le violazioni indicate dai commi 7-ter e 7-quater sono commesse da una persona fisica di cui al comma 7-sexies, si applica nei confronti di quest'ultima la sanzione amministrativa pecuniaria: a) di cui al comma 1, lettera c), numero 2), nei casi di cui al comma 7-ter; b) da euro 1.000 fino a euro 500.000, nei casi di cui al comma 7-quater. 7-sexies. Fermo restando quanto previsto per le societa' e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui al comma 7-quinquies si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle societa' e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza e' conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della societa' o dell'ente a provvedimenti specifici adottati dall'IVASS, ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 da parte della societa' o dell'ente. 7-septies. Se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa e' superiore ai limiti massimi indicati nei commi 7-ter, 7-quater e 7-quinquies, la sanzione amministrativa pecuniaria e' elevata fino al doppio dell'ammontare del vantaggio ottenuto, purche' tale ammontare sia determinabile. 7-octies. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui al comma 7-quinquies, in ragione della gravita' della violazione accertata, puo' essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto, del decreto legislativo 1° settembre 1993, n. 385, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129, o presso fondi pensione.»; 2) alla rubrica, dopo le parole: «inclusi i prodotti di investimento assicurativo,» sono inserite le seguenti: «nonche' alle violazioni delle disposizioni previste dal regolamento (UE) 2022/2554 e dalle relative norme tecniche di regolamentazione e attuazione,». 4. All'articolo 19-quater del decreto legislativo 5 dicembre 2005, n. 252, dopo il comma 2, sono inseriti i seguenti: «2-bis. I soggetti di cui al comma 2 che, in relazione alle rispettive competenze: a) non osservano le disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 7, 8, 9, 10, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 12, 13, 14, 16, paragrafi 1 e 2, 17, 18, paragrafi 1 e 2, 19, paragrafi 1, 3 e 4, 24, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, sono puniti con la sanzione amministrativa pecuniaria di cui al comma 2, lettera b); b) omettono di collaborare o di dare seguito nell'ambito di un'indagine, di un'ispezione o di una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, sono puniti con la sanzione amministrativa di cui al comma 2, lettera a). 2-ter. Alle sanzioni di cui al comma 2-bis si applicano i commi 3, 4, a eccezione del secondo periodo, e 4-bis dell'articolo 19-quater del decreto legislativo 5 dicembre 2005, n. 252.». 5. Al decreto legislativo 5 settembre 2024, n. 129, dopo l'articolo 37, e' inserito il seguente: «Art. 37-bis (Sanzioni amministrative relative alle violazioni delle disposizioni previste dal regolamento (UE) 2022/2554 e dalle relative norme tecniche di regolamentazione e attuazione). - 1. In caso di inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica: a) nei confronti degli emittenti di token collegati ad attivita' e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni, ovvero, se superiore, fino al 12,5 per cento del fatturato totale annuo; b) nei confronti dei prestatori di servizi in cripto-attivita' e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni, ovvero, se superiore, fino al 5 per cento del fatturato totale annuo. 2. In caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica: a) nei confronti degli emittenti di token collegati ad attivita' e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni, ovvero, se superiore, fino al 9 per cento del fatturato totale annuo; b) nei confronti dei prestatori di servizi in cripto-attivita' e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni, ovvero, se superiore, fino al 3,50 per cento del fatturato totale annuo. 3. Salvo che il fatto costituisca reato, se le violazioni indicate dai commi 1 e 2 sono commesse da una persona fisica di cui al comma 4, si applica nei confronti di quest'ultima la sanzione amministrativa pecuniaria: a) da euro 5.000 fino a euro 700.000, nei casi di cui al comma 1; b) da euro 5.000 fino a euro 500.000, nei casi di cui al comma 2. 4. Fermo restando quanto previsto per le societa' e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui al comma 3 si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle societa' e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza e' conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della societa' o dell'ente a provvedimenti specifici adottati dalla Banca d'Italia e dalla Consob, secondo le rispettive competenze, ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 da parte della societa' o dell'ente. 5. Se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa e' superiore ai limiti massimi indicati nei commi 1, 2 e 3, la sanzione amministrativa pecuniaria e' elevata fino al doppio dell'ammontare del vantaggio ottenuto, purche' tale ammontare sia determinabile. 6. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui al comma 3, in ragione della gravita' della violazione accertata, puo' essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto, del decreto legislativo 1° settembre 1993, n. 385, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129, o presso fondi pensione. 7. Le sanzioni amministrative previste dal presente articolo sono applicate dalla Banca d'Italia e dalla Consob, secondo le rispettive competenze e secondo la procedura sanzionatoria di cui all'articolo 195 del decreto legislativo 24 febbraio 1998, n. 58. Alle violazioni di competenza della Consob si applica l'articolo 196-ter del decreto legislativo n. 58 del 1998.». 6. Quando le violazioni di cui al presente articolo sono connotate da scarsa offensivita' o pericolosita', le Autorita' competenti DORA possono, in alternativa all'irrogazione delle sanzioni amministrative pecuniarie, disporre l'applicazione delle misure di cui all'articolo 50, paragrafo 4, lettere a) ed e), del regolamento DORA. 7. Le Autorita' competenti DORA, ai sensi dell'articolo 50, paragrafo 4, lettera b), del regolamento DORA, possono richiedere la cessazione temporanea o permanente di qualsiasi pratica o comportamento che considerino contrari alle disposizioni del regolamento stesso e prevenirne la reiterazione. 8. Per stabilire l'importo e la tipologia delle sanzioni amministrative o delle misure di riparazione applicate, ai sensi del presente articolo, le Autorita' competenti DORA tengono conto, nel rispetto dell'articolo 51, paragrafo 2, del regolamento DORA, della condotta intenzionale o negligente e di tutte le altre circostanze pertinenti, avuto riguardo: a) alla rilevanza, alla gravita' e alla durata della violazione; b) al grado di responsabilita' della persona fisica o giuridica responsabile della violazione; c) alla solidita' finanziaria della persona fisica o giuridica responsabile; d) all'importanza degli utili realizzati o delle perdite evitate da parte della persona fisica o giuridica responsabile, nella misura in cui possano essere determinati; e) alle perdite subite da terzi a causa della violazione, nella misura in cui possano essere determinate; f) al livello di cooperazione che la persona fisica o giuridica responsabile ha dimostrato nei confronti dell'autorita' competente, ferma restando la necessita' di garantire la restituzione degli utili realizzati o delle perdite evitate da tale persona fisica o giuridica; g) alle precedenti violazioni commesse dalla persona fisica o giuridica responsabile. 9. Il provvedimento di applicazione delle sanzioni previste dal presente articolo, dopo la comunicazione al destinatario, e' pubblicato senza ritardo e per estratto nel sito internet dell'Autorita' competente DORA che lo ha adottato, in conformita' all'articolo 54 del regolamento DORA, salvo quanto previsto nel paragrafo 3 del medesimo articolo. Note all'art. 10: - Si riporta il testo degli articoli 144, 144-ter del citato decreto legislativo 1° settembre 1993, n. 385, come modificato dal presente decreto: «Art. 144 (Altre sanzioni amministrative alle societa' o enti). - 1. Nei confronti delle banche, degli intermediari finanziari delle societa' di partecipazione finanziaria, delle societa' di partecipazione finanziaria mista, delle rispettive capogruppo e dei soggetti ai quali sono state esternalizzate funzioni aziendali, nonche' di quelli incaricati della revisione legale dei conti, si applica la sanzione amministrativa pecuniaria da euro 30.000 fino al 10 per cento del fatturato e, nei confronti degli istituti di pagamento e degli istituti di moneta elettronica e dei soggetti ai quali sono state esternalizzate funzioni aziendali essenziali o importanti, dei gestori di crediti in sofferenza e dei soggetti ai quali sono state esternalizzate funzioni aziendali, nonche' di quelli incaricati della revisione legale dei conti, fino al massimale di euro 5 milioni ovvero fino al 10 per cento del fatturato, quando tale importo e' superiore a euro 5 milioni e il fatturato e' disponibile e determinabile, per le seguenti violazioni: a) inosservanza degli articoli 18, comma 4, 26, 28, comma 2-ter, 34, comma 2, 35, 49, 51, 52, 52-bis, 53, 53-bis, 53-ter, 54, 55, 60-bis, commi 1 e 4, 61, 64, commi 2 e 4, 66, 67, 67-ter, 68, 69.1, 69.2, 69.3, commi 2 e 8, 69-qua-ter, 69-quinquies, 69-sexies, 69-octies, 69-novies, 69-sexiesdecies, 69-noviesdecies, 69-viciessemel, 108, 109, comma 3, 110 in relazione agli articoli 26, 52, 61, comma 5, 64, commi 2 e 4, 114.3, commi 4, 5 e 6, 114.4, 114.6, comma 5, 114.7, comma 1, 114.11, 114.13, in relazione agli articoli 26 e 52, 114-quinquies.1, 114-quinquies.2, 114-quinquies.3, in relazione agli articoli 26 e 52, 114-octies, 114-undecies in relazione agli articoli 26 e 52, 114-duodecies, 114-terdecies, 114-quaterdecies, 114-octiesdecies, 129, comma 1, 145, comma 3, 146, comma 2, 147, o delle relative disposizioni generali o particolari impartite dalle autorita' creditizie; b) inosservanza degli articoli 116, 123, 124, 126-quater e 126-novies, comma 3, 126-undecies, commi 3 e 4, 126-duodecies, 126-quaterdecies, comma 1, 126-septiesdecies, comma 1, e 126-vicies quinquies, o delle relative disposizioni generali o particolari impartite dalle autorita' creditizie; c) inosservanza degli articoli 117, commi 1, 2 e 4, 118, 119, 120, 120-quater, 125, commi 2, 3 e 4, 125-bis, commi 1, 2, 3, 3-bis, 3-ter, e 4, 125-octies, commi 2 e 3, 125-decies, 126, 126-quinquies, comma 2, 126-sexies, 126-septies, 126-quinquiesdecies, 126-octiesdecies, 126-noviesdecies, comma 1, 126-vicies, 126-vicies semel, 126-vicies ter, 127, comma 01 e 128-decies, comma 2 e comma 2-bis, o delle relative disposizioni generali o particolari impartite dalle autorita' creditizie; d) inserimento nei contratti di clausole nulle o applicazione alla clientela di oneri non consentiti, in violazione dell'articolo 40-bis o del titolo VI, ovvero offerta di contratti in violazione dell'articolo 117, comma 8; e) inserimento nei contratti di clausole aventi l'effetto di imporre al debitore oneri superiori a quelli consentiti per il recesso o il rimborso anticipato ovvero ostacolo all'esercizio del diritto di recesso da parte del cliente, ivi compresa l'omissione del rimborso delle somme allo stesso dovute per effetto del recesso; e-bis) inosservanza, da parte delle banche e degli intermediari finanziari iscritti nell'albo previsto dall'articolo 106, degli articoli 120-octies, 120-novies, 120-un-decies, 120-duodecies, 120-terdecies, 120-quaterdecies, 120-septiesdecies, 120-octiesdecies, 120-noviesdecies; e-ter) inosservanza degli articoli 114.7, comma 2, 114.8, 114.10, 114.13 in relazione al titolo VI, e 114.14, comma 1, o delle relative disposizioni generali o particolari impartite dalle autorita' creditizie. 1-bis. La stessa sanzione di cui al comma 1 si applica a una societa' di partecipazione finanziaria o a una societa' di partecipazione finanziaria mista che, nonostante l'ottenimento dell'esenzione prevista dall'articolo 60-bis, comma 3, o la revoca dell'autorizzazione disposta ai sensi dell'articolo 60-bis, comma 5, eserciti il ruolo di capogruppo ai sensi dell'articolo 61, comma 1. 1-ter. La stessa sanzione di cui al comma 1 e' applicata dalla Banca d'Italia a chiunque eserciti l'attivita' di gestione di crediti in sofferenza al di fuori delle ipotesi previste dagli articoli 114.2 e 114.3, comma 1, nonche' all'acquirente di crediti in sofferenza in caso di inosservanza degli articoli 114.3, commi 2, 3 e 7, e 114.8. Se la violazione e' commessa da una persona fisica, si applica la sanzione amministrativa pecuniaria da euro 5.000 fino a 5 milioni di euro. 2. 2-bis. Si applica la sanzione amministrativa pecuniaria da euro duemilacinquecentottanta a euro centoventinovemilacentodieci, nei confronti delle banche e degli intermediari finanziari in caso di violazione delle disposizioni previste dagli articoli 4, paragrafo 1, comma 1, e 5-bis del regolamento (CE) n. 1060/2009 del Parlamento europeo e del Consiglio, del 16 settembre 2009, relativo alle agenzie di rating del credito, e delle relative disposizioni attuative. 3. 3-bis. 4. La stessa sanzione di cui al comma 1 si applica: a) per l'inosservanza delle norme contenute nell'articolo 128, comma 1, ovvero nei casi di ostacolo all'esercizio delle funzioni di controllo previste dal medesimo articolo 128, di mancata adesione ai sistemi di risoluzione stragiudiziale delle controversie previsti dall'articolo 128-bis, nonche' di inottemperanza alle misure inibitorie adottate dalla Banca d'Italia ai sensi dell'articolo 128-ter; b) nel caso di frazionamento artificioso di un unico contratto di credito al consumo in una pluralita' di contratti dei quali almeno uno sia di importo inferiore al limite inferiore previsto ai sensi dell'articolo 122, comma 1, lettera a); c) nel caso di mancata partecipazione ai siti web di confronto previsti dall'articolo 126-terdecies, ovvero di mancata trasmissione agli stessi siti web dei dati necessari per il confronto tra le offerte. 5. 5-bis. Nel caso in cui l'intermediario mandante rilevi nel comportamento dell'agente in attivita' finanziaria le violazioni previste dai commi 1, lettere b), c), d), e) ed e-bis), e 4, l'inosservanza degli obblighi previsti dall'articolo 120-decies o dall'articolo 125-novies o la violazione dell'articolo 128-decies, comma 1, ultimo periodo, adotta immediate misure correttive e trasmette la documentazione relativa alle violazioni riscontrate, anche ai fini dell'applicazione dell'articolo 128-duodecies, all'Organismo di cui all'articolo 128-undecies. 6. 7. 8. Le sanzioni previste dai commi 1, lettere b), c), d), e), e-bis ed e-ter, e 4 si applicano quando le infrazioni rivestono carattere rilevante, secondo i criteri definiti dalla Banca d'Italia, con provvedimento di carattere generale, tenuto conto dell'incidenza delle condotte sulla complessiva organizzazione e sui profili di rischio aziendali. 8-bis. In caso di inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica: a) nei confronti delle banche, degli intermediari finanziari e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino al 10 per cento del fatturato; b) nei confronti degli istituti di pagamento, degli istituti di moneta elettronica e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 5 milioni ovvero fino al 10 per cento del fatturato, quando tale importo e' superiore a euro 5 milioni e il fatturato e' disponibile e determinabile. 8-ter. In caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, si applica: a) nei confronti delle banche, degli intermediari finanziari e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino al 7 per cento del fatturato; b) nei confronti degli istituti di pagamento, degli istituti di moneta elettronica e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, la sanzione amministrativa pecuniaria da euro 30.000 fino a euro 3,5 milioni ovvero fino al 7 per cento del fatturato, quando tale importo e' superiore a euro 3,5 milioni e il fatturato e' disponibile e determinabile. 9. Se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa e' superiore ai massimali indicati nel presente articolo, le sanzioni amministrative pecuniarie di cui al presente articolo sono elevate fino al doppio dell'ammontare del vantaggio ottenuto, purche' tale ammontare sia determinabile.». «Art. 144-ter (Altre sanzioni amministrative agli esponenti o al personale). - 1. Fermo restando quanto previsto per le societa' e gli enti nei confronti dei quali sono accertate le violazioni, per l'inosservanza delle norme richiamate dall'articolo 144, comma 1, lettere a) ed e-ter), e comma 1-bis, si applica la sanzione amministrativa pecuniaria da euro 5.000 fino a 5 milioni di euro nei confronti dei soggetti che svolgono funzioni di amministrazione, di direzione o di controllo, nonche' del personale, quando l'inosservanza e' conseguenza della violazione di doveri propri o dell'organo di appartenenza e ricorrono una o piu' delle seguenti condizioni: a) la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali; b) la condotta ha contribuito a determinare la mancata ottemperanza della societa' o dell'ente a provvedimenti specifici adottati ai sensi degli articoli 53-bis, comma 1, lettera d), 67-ter, comma 1, lettera d), 108, comma 3, lettera d), 109, comma 3, lettera a), 114-quinquies.2, comma 3, lettera d), 114-quaterdecies, comma 3, lettera d); c) le violazioni riguardano obblighi imposti ai sensi dell'articolo 26 o dell'articolo 53, commi 4, 4-ter, e 4-quater, ovvero obblighi in materia di remunerazione e incentivazione, quando l'esponente o il personale e' la parte interessata. 2. Nei confronti dei soggetti che svolgono funzioni di amministrazione, di direzione o di controllo, nonche' del personale, nei casi in cui la loro condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 144-bis da parte della societa' o dell'ente, si applica la sanzione amministrativa pecuniaria da euro 5.000 fino a 5 milioni di euro. 2-bis. Salvo che il fatto costituisca reato, se le violazioni indicate dall'articolo 144, commi 8-bis e 8-ter, sono commesse da una persona fisica di cui al comma 2-ter, si applica nei confronti di quest'ultima una sanzione amministrativa pecuniaria: a) da euro 5.000 fino a euro 5 milioni, nei casi di cui alle lettere a) e b) del comma 8-bis dell'articolo 144; b) da euro 5.000 fino a euro 3,5 milioni, nei casi di cui alle lettere a) e b) del comma 8-ter dell'articolo 144. 2-ter. Fermo restando quanto previsto per le societa' e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui al comma 2-bis si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle societa' e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza e' conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della societa' o dell'ente a provvedimenti specifici adottati dalla Banca d'Italia ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, da parte della societa' o dell'ente. 2-quater. Se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa e' superiore ai limiti massimi indicati nel comma 2-bis, la sanzione amministrativa pecuniaria e' elevata fino al doppio dell'ammontare del vantaggio ottenuto, purche' tale ammontare sia determinabile. 3. Con il provvedimento di applicazione della sanzione di cui ai commi 1 e 2, in ragione della gravita' della violazione accertata e tenuto conto dei criteri stabiliti dall'articolo 144-quater, la Banca d'Italia puo' applicare la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari autorizzati ai sensi del presente decreto legislativo, del decreto legislativo 24 febbraio 1998, n. 58, del decreto legislativo 7 settembre 2005, n. 209, o presso fondi pensione. 3-bis. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui al comma 2-bis del presente articolo in ragione della gravita' della violazione accertata, puo' essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto legislativo, del decreto legislativo 24 febbraio 1998, n. 58, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129 o presso fondi pensione. 4. Si applica l'articolo 144, comma 9.». - Si riporta il testo degli articoli 310, 311-sexies e 324 del citato decreto legislativo 7 settembre 2005, n. 209, come modificato dal presente decreto: «Art. 310 (Sanzioni amministrative pecuniarie). - 1. Si applica la sanzione amministrativa pecuniaria da euro trentamila al dieci percento del fatturato per le seguenti violazioni: a) inosservanza degli articoli 11, 12, 13, 15, 16, 18, 21, 22, 28, 29, 30, 30-bis, 30-ter, 30-quater, 30-quinquies, 30-sexies, 30-septies, 30-octies, 30-novies, 32, 33, 35-bis, 35-ter, 35-quater, 36-bis, 36-ter, 36-quater, 36-quinquies, 36-sexies, 36-septies, 36-octies, 36-novies, 36-decies, 36-undecies, 36-duodecies, 36-terdecies, 37-bis, 37-ter, 38, 41, 42, 42-bis, 43, 44-ter, 44-quater, 44-quinquies, 44-sexies, 44-septies, 44-octies, 44-novies, 44-decies, 47-quater, comma 1, 47-septies, 47-octies, 47-novies, 47-decies, 48, 48-bis, 49, 51-quater, 53, 55, 56, 57, 57-bis, 58, 59-bis, 59-ter, 59-quater, 59-quinquies, 60-bis, 62, 63, 64, 65, 65-bis, 66-sexies.1, 66-septies, 67, 73, 75, comma 1, 76, comma 2, 77, commi 1, 3 e 4, 88, 89, 90, 92, 93, 94, 95, 96, 98, 99, 100, 101, 188, 189, comma 1, 190, commi 1, 1-bis, 1-ter e 5-bis, 190-bis, comma 1, 191, 196, comma 2, 197, 210, 210-ter, comma 8, 213, 214-bis, 215-bis, 216, commi 1 e 2, 216-ter, 216-sexies, 216-octies, 216-novies, 220-novies, comma 1, 348 e 349, comma 1, o delle relative norme di attuazione; b) inosservanza degli articoli 10-quater, 132-ter, 133, o delle relative norme di attuazione; c) inosservanza degli articoli 125, comma 5-bis, 127, comma 3, limitatamente all'obbligo di rilascio del certificato di assicurazione, 134 ad eccezione del comma 2, 146, 148, 149, 150, 152, comma 5, e 183, o delle relative norme di attuazione e delle disposizioni di cui all'articolo 8 della legge 8 marzo 2017, n. 24. c-bis) inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, da parte delle imprese di assicurazione, delle imprese di riassicurazione e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554. 1-bis. Si applica la sanzione amministrativa pecuniaria da euro 30.000 al 7 per cento del fatturato in caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, da parte delle imprese di assicurazione, delle imprese di riassicurazione e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554. 2. Se il vantaggio ottenuto dall'autore delle violazioni di cui al comma 1, lettere a) e b) e c-bis), come conseguenza delle violazioni stesse e' superiore al massimo edittale indicato nel presente articolo, la sanzione amministrativa pecuniaria e' elevata fino al doppio dell'ammontare del vantaggio ottenuto, purche' tale ammontare sia determinabile.». «Art. 311-sexies (Sanzioni amministrative agli esponenti aziendali o al personale). - 1. Fermo restando quanto previsto all'articolo 325, comma 1 circa la responsabilita' delle imprese nei confronti delle quali sono accertate le violazioni, per l'inosservanza delle norme richiamate nell'articolo 310, comma 1, lettera a) si applica, salvo che il fatto costituisca reato, la sanzione amministrativa pecuniaria da cinquemila euro a cinque milioni di euro nei confronti dei soggetti che svolgono le funzioni di amministrazione, di direzione, di controllo, nonche' dei dipendenti o di coloro che operano sulla base di rapporti che ne determinano l'inserimento nell'organizzazione dell'impresa anche in forma diversa dal rapporto di lavoro subordinato quando l'inosservanza e' conseguenza della violazione di doveri propri o dell'organo di appartenenza e ricorrono una o piu' delle seguenti condizioni: a) la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali; b) la condotta ha contribuito a determinare la mancata ottemperanza dell'impresa a provvedimenti specifici adottati ai sensi degli articoli 188, comma 3-bis, lettere a), b) e c) e 214-bis, comma 1; c) le violazioni riguardano obblighi imposti ai sensi dell'articolo 76 o dell'articolo 79, comma 3, o dell'articolo 191, comma 1, lettera g) ovvero obblighi in materia di remunerazione e incentivazione, quando l'esponente o il personale e' la parte interessata 1350. 2. Nel caso in cui la condotta dei soggetti di cui al comma 1 abbia contribuito a determinare l'inosservanza dell'ordine previsto nell'articolo 311-ter da parte dell'impresa, si applica nei confronti dei soggetti stessi la sanzione amministrativa pecuniaria da cinquemila euro a cinque milioni di euro. 2-bis. Salvo che il fatto costituisca reato, se le violazioni indicate dall'articolo 310, commi 1, lettera c-bis), e 1-bis, sono commesse da una persona fisica di cui al comma 2-ter, si applica nei confronti di quest'ultima una sanzione amministrativa pecuniaria: a) da euro 5.000 fino a euro 5 milioni, nei casi di cui alla lettera c-bis) del comma 1 dell'articolo 310; b) da euro 5.000 fino a euro 3,5 milioni, nei casi di cui al comma 1-bis dell'articolo 310. 2-ter. Fermo restando quanto previsto per le societa' e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui al comma 2-bis si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle societa' e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza e' conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della societa' o dell'ente a provvedimenti specifici adottati dall'IVASS, ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 da parte della societa' o dell'ente. 3. Con il provvedimento di applicazione della sanzione, tenuto conto dei criteri stabiliti dall'articolo 311-quinquies, l'IVASS puo' applicare la sanzione amministrativa accessoria dell'interdizione dallo svolgimento di funzioni di amministrazione, direzione e controllo presso imprese di assicurazione e di riassicurazione, per un periodo non inferiore a sei mesi e non superiore a tre anni. 3-bis. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui al comma 2-bis in ragione della gravita' della violazione accertata, puo' essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto legislativo, del decreto legislativo 24 febbraio 1998, n. 58, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129 o presso fondi pensione. 4. La misura della sanzione amministrativa pecuniaria puo' essere aumentata secondo quanto previsto all'articolo 310, comma 2.». «Art. 324 (Sanzioni relative alle violazioni delle disposizioni in materia di realizzazione e di distribuzione dei prodotti assicurativi, inclusi i prodotti di investimento assicurativo, nonche' alle violazioni delle disposizioni previste dal regolamento (UE) 2022/2554 e dalle relative tecniche di regolamentazione e attuazione, commesse dagli intermediari). - 1. Gli intermediari assicurativi e riassicurativi, ivi inclusi quelli a titolo accessorio che nell'ambito delle attivita' di realizzazione e di distribuzione di prodotti assicurativi e di investimento assicurativi violano gli articoli 10-quater, 30-decies, 107, comma 5, 109, commi 2, ultimo periodo, 3, 4, 4-bis, 4-sexies, 4-septies e 6, 109-bis, 110, commi 2 e 3, 111, commi 4 e 5, 112, commi 2, 3 e 5, 113 , comma 2, 117, 118, 119, comma 2, ultimo periodo, 119-bis, 119-ter, 120, 120-bis, commi 1, 2, 3 e 6, 120-ter, 120-quater, 120-quinquies, 121, 121-bis, 121-ter, 131, 170, 185, 185-bis, 185-ter, 187.1, in caso di mancata adesione a detti sistemi, 191 o le relative norme di attuazione, sono puniti secondo i criteri di cui all'articolo 324-sexies con una delle seguenti sanzioni: a) richiamo; b) censura; c) sanzione amministrativa pecuniaria: 1) per le societa', da cinquemila euro a cinque milioni di euro oppure, se superiore, pari al cinque per cento del fatturato complessivo annuo risultante dall'ultimo bilancio disponibile approvato dall'organo di amministrazione; 2) per le persone fisiche, da mille euro a settecentomila euro; d) radiazione o, in caso di societa' di intermediazione, cancellazione. 2. Il richiamo, consistente in una dichiarazione scritta di biasimo motivato, e' disposto per fatti di lieve manchevolezza. La censura e' disposta per fatti di particolare gravita'. La radiazione o la cancellazione della societa' di intermediazione e' disposta per fatti di eccezionale gravita'. La radiazione determina l'immediata risoluzione dei rapporti di intermediazione e, nel caso di esercizio dell'attivita' in forma societaria, comporta altresi' la cancellazione della societa' nei casi di particolare gravita' o di sistematica reiterazione dell'illecito. 3. La violazione dei provvedimenti interdittivi e cautelari adottati ai sensi dell'articolo 184 e' punita con una delle sanzioni di cui al comma 1. 4. Gli intermediari che, in proprio oppure attraverso collaboratori o altri ausiliari, operano per conto o a beneficio di imprese di assicurazione e riassicurazione che hanno sede legale nel territorio della Repubblica o in Stati terzi, di imprese locali di cui al Titolo IV, Capo I e di particolari mutue assicuratrici di cui all'articolo 52, le quali esercitano l'attivita' assicurativa o riassicurativa oltre i limiti dell'autorizzazione, sono puniti con una delle sanzioni di cui al comma 1. 5. Quando le violazioni degli articoli, 119-bis, 119-ter, 120, 120-bis, 120-ter, 120-quater, 120-quinquies, 121, riguardano un prodotto di investimento assicurativo, l'IVASS applica le sanzioni di cui al comma 1 nei soli confronti degli intermediari di cui all'articolo 109, comma 2, lettere a) e b), e relativi collaboratori di cui alla lettera e), e degli intermediari di cui alla lettera c). In tal caso, la misura massima della sanzione pecuniaria puo' essere determinata, in alternativa rispetto a quanto previsto al comma 1, lettera c), fino al doppio dell'ammontare dei profitti ricavati o delle perdite evitate grazie alla violazione, se possono essere determinati. L'IVASS, oltre alle sanzioni di cui al comma 1, puo' adottare una dichiarazione pubblica indicante la persona fisica o giuridica responsabile e la natura della violazione. Le medesime sanzioni di cui al presente comma si applicano nel caso di violazione degli articoli 121-quinquies, 121-sexies e 121-septies. 6. Quando la violazione degli articoli 30-decies e 121-bis riguarda un prodotto di investimento assicurativo, l'IVASS applica le sanzioni di cui al comma 1 nei confronti di tutti gli intermediari di cui al medesimo comma. La misura massima della sanzione pecuniaria puo' essere determinata, in alternativa rispetto a quanto previsto al comma 1, lettera c), fino al doppio dell'ammontare dei profitti ricavati o delle perdite evitate grazie alla violazione, se possono essere determinati. L'IVASS, oltre alle sanzioni di cui al comma 1, puo' adottare una dichiarazione pubblica indicante la persona fisica o giuridica responsabile e la natura della violazione. 7. Alle violazioni delle disposizioni richiamate all'articolo 24, paragrafo 1, del regolamento (UE) n. 1286/2014 diverse da quelle del presente articolo commesse dai soggetti di cui al comma 5 si applica l'articolo 193-quinquies del testo unico dell'intermediazione finanziaria. La nozione di fatturato e' definita ai sensi dell'articolo 325-bis del presente codice. 7-bis. La disposizione di cui al comma 1 si applica anche agli intermediari iscritti al momento della commissione dell'illecito, anche se cancellati dal Registro. 7-ter. In caso di inosservanza delle disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 10, 12, 16, paragrafi 1 e 2, 17, 19, paragrafi 1, 3 e 4, 24 del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, da parte degli intermediari assicurativi, degli intermediari riassicurativi, degli intermediari assicurativi a titolo accessorio e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, si applica, per le societa', la sanzione amministrativa pecuniaria di cui al comma 1, lettera c), numero 1). 7-quater. In caso di inosservanza delle disposizioni di cui agli articoli 7, 8, 9, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 13, 14, 18, paragrafi 1 e 2, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554 e delle relative norme tecniche di regolamentazione e attuazione, ovvero in caso di omessa collaborazione o mancato seguito dato nell'ambito di un'indagine, un'ispezione o una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, da parte degli intermediari assicurativi, degli intermediari riassicurativi, degli intermediari assicurativi a titolo accessorio e dei relativi fornitori terzi di servizi TIC di cui all'articolo 3, punto 19), del citato regolamento (UE) 2022/2554, si applica, per le societa', la sanzione amministrativa pecuniaria da 5.000 euro a 3,5 milioni di euro oppure, se superiore, pari al 3,50 per cento del fatturato complessivo annuo risultante dall'ultimo bilancio disponibile approvato dall'organo di amministrazione. 7-quinquies. Salvo che il fatto costituisca reato, se le violazioni indicate dai commi 7-ter e 7-quater sono commesse da una persona fisica di cui al comma 7-sexies, si applica nei confronti di quest'ultima la sanzione amministrativa pecuniaria: a) di cui al comma 1, lettera c), numero 2), nei casi di cui al comma 7-ter; b) da euro 1.000 fino a euro 500.000, nei casi di cui al comma 7-quater. 7-sexies. Fermo restando quanto previsto per le societa' e gli enti nei confronti dei quali sono accertate le violazioni, la sanzione di cui al comma 7-quinquies si applica nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione o controllo e del personale delle societa' e degli enti nei confronti dei quali sono accertate le violazioni, quando l'inosservanza e' conseguenza della violazione di doveri propri o dell'organo di appartenenza e la condotta ha inciso in modo rilevante sulla complessiva organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la mancata ottemperanza della societa' o dell'ente a provvedimenti specifici adottati dall'IVASS, ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, ovvero quando la condotta abbia contribuito a determinare l'inosservanza dell'ordine di cui all'articolo 50, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 da parte della societa' o dell'ente. 7-septies. Se il vantaggio ottenuto dall'autore della violazione come conseguenza della violazione stessa e' superiore ai limiti massimi indicati nei commi 7-ter, 7-quater e 7-quinquies, la sanzione amministrativa pecuniaria e' elevata fino al doppio dell'ammontare del vantaggio ottenuto, purche' tale ammontare sia determinabile. 7-octies. Con il provvedimento di applicazione della sanzione amministrativa pecuniaria di cui al comma 7-quinquies, in ragione della gravita' della violazione accertata, puo' essere applicata la sanzione amministrativa accessoria dell'interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto, del decreto legislativo 1° settembre 1993, n. 385, del decreto legislativo 7 settembre 2005, n. 209, del decreto legislativo 5 settembre 2024, n. 129, o presso fondi pensione.». - Si riporta il testo dell'art. 19-quater del citato decreto legislativo 5 dicembre 2005, n. 252, come modificato dal presente decreto: «Art. 19-quater (Sanzioni amministrative). - 1. Chiunque adotti, in qualsiasi documento o comunicazione al pubblico, la denominazione "fondo pensione" senza essere iscritto, ai sensi dell'articolo 19, comma 1, del presente decreto, all'Albo tenuto a cura della COVIP e' punito con la sanzione amministrativa pecuniaria da euro 500 a euro 25.000, con provvedimento motivato del Ministero del lavoro e della previdenza sociale, sentita la COVIP. 2. I componenti degli organi di amministrazione e di controllo, i direttori generali, i titolari delle funzioni fondamentali i responsabili delle forme pensionistiche complementari, i liquidatori e i commissari nominati ai sensi dell'articolo 15 che in relazione alle rispettive competenze: a) nel termine prescritto non ottemperano, anche in parte, alle richieste della COVIP, ovvero ritardano l'esercizio delle sue funzioni, sono puniti con la sanzione amministrativa del pagamento di una somma da euro 5.000 a euro 25.000; b) non osservano le disposizioni previste negli articoli 1, commi 1-bis e 4, 4-bis, 5, 5-bis, 5-ter, 5-quater, 5-quinquies, 5-sexies, 5-sep-ties, 5-octies, 5-nonies, 6, 7, 11, 13-bis, 13-ter, 13-quater, 13-quinquies, 13-sexies, 13-septies, 14, 14-bis, 15, 15-bis, 17-bis, e 20 ovvero le disposizioni generali o particolari emanate dalla COVIP in base ai medesimi articoli nonche' in base all'articolo 19 del presente decreto, sono puniti con la sanzione amministrativa pecuniaria da euro 500 a euro 25.000; c) non osservano le disposizioni sui requisiti di onorabilita' e professionalita' e sulle cause di ineleggibilita' e di incompatibilita' e sulle situazioni impeditive previste dal decreto del Ministro del lavoro e della previdenza sociale di cui all'articolo 5-sexies, ovvero le disposizioni sui limiti agli investimenti e ai conflitti di interessi previste dal decreto del Ministro dell'economia e delle finanze di cui all'articolo 6, comma 5-bis, ovvero le disposizioni previste nel decreto adottato dal Ministro dell'economia e delle finanze, di concerto con il Ministro del lavoro e della previdenza sociale, di cui all'articolo 20, comma 2, del presente decreto, sono puniti con una sanzione amministrativa da euro 500 a euro 25.000; d) non effettuano le comunicazioni relative alla sopravvenuta variazione delle condizioni di onorabilita' di cui all'articolo 5-sexies, lettera b), nel termine di quindici giorni dal momento in cui sono venuti a conoscenza degli eventi e delle situazioni relative, sono puniti con la sanzione amministrativa del pagamento di una somma da 2.600 euro a 15.500 euro. 2-bis. I soggetti di cui al comma 2 che, in relazione alle rispettive competenze: a) non osservano le disposizioni di cui agli articoli 5, 6, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 7, 8, 9, 10, 11, paragrafi 1, 2, 3, 4, 5, 6, 7, 8, 9 e 10, 12, 13, 14, 16, paragrafi 1 e 2, 17, 18, paragrafi 1 e 2, 19, paragrafi 1, 3 e 4, 24, 25, 26, paragrafi 1, 2, 3, 4, 5, 6, 7 e 8, 27, 28, paragrafi 2, 3, 4, 5, 6, 7 e 8, 29, 30, paragrafi 1, 2, 3 e 4, e 31, paragrafo 12, del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e delle relative norme tecniche di regolamentazione e attuazione, sono puniti con la sanzione amministrativa pecuniaria di cui al comma 2, lettera b); b) omettono di collaborare o di dare seguito nell'ambito di un'indagine, di un'ispezione o di una richiesta ai sensi dell'articolo 8 del decreto legislativo adottato in attuazione dell'articolo 16 della legge 21 febbraio 2024, n. 15, sono puniti con la sanzione amministrativa di cui al comma 2, lettera a). 2-ter. Alle sanzioni di cui al comma 2-bis si applicano i commi 3, 4, a eccezione del secondo periodo, e 4-bis dell'articolo 19-quater del decreto legislativo 5 dicembre 2005, n. 252. 3. Nelle ipotesi di cui al comma 2, nei casi di maggiore gravita', la COVIP puo' dichiarare decaduti dall'incarico i componenti degli organi collegiali, il direttore generale, il responsabile della forma pensionistica e i titolari delle funzioni fondamentali. 4. Le sanzioni amministrative previste nei commi 2 e 3 sono applicate, nel rispetto dei principi di cui alla legge 24 novembre 1981, n. 689. Le sanzioni amministrative sono determinate nella loro entita', tenendo conto della diversa potenzialita' lesiva dell'interesse protetto che ciascuna infrazione presenta in astratto, di specifiche qualita' personali del colpevole, comprese quelle che impongono particolari doveri di prevenzione, controllo o vigilanza, nonche' del vantaggio che l'infrazione puo' recare al colpevole o alla persona o ente nel cui interesse egli agisce. I fondi pensione e le societa' istitutrici di forme pensionistiche complementari rispondono in solido del pagamento della sanzione, salvo il diritto di regresso per l'intero nei confronti del responsabile della violazione. I fondi dotati di soggettivita' giuridica sono obbligati ad agire in regresso, salvo diversa deliberazione assembleare. Non si applica l'articolo 16 della legge 24 novembre 1981, n. 689, e successive modificazioni. 4-bis. Alle sanzioni di cui al presente articolo trova applicazione la disposizione prevista, per le sanzioni amministrative riguardanti le violazioni in materia di previdenza e assistenza obbligatorie, dall'articolo 8, comma 2, della legge 24 novembre 1981, n. 689.».   Art. 11 Modifiche al testo unico delle disposizioni in materia di intermediazione finanziaria, di cui al decreto legislativo 24 febbraio 1998, n. 58 1. Al testo unico delle disposizioni in materia di intermediazione finanziaria, di cui al decreto legislativo 24 febbraio 1998, n. 58, sono apportate le seguenti modificazioni: a) all'articolo 65, comma 1, 1) la lettera b) e' sostituita dalla seguente: «b) procedure per gestire i rischi ai quali sono esposti, compresi i rischi informatici ai sensi del capo II del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, dispositivi e sistemi adeguati a identificare i rischi che possono comprometterne il funzionamento e misure efficaci per attenuare tali rischi;»; 2) la lettera c) e' abrogata; b) all'articolo 65-sexies il comma 1 e' sostituito dal seguente: «1. I mercati regolamentati e i gestori di un sistema multilaterale di negoziazione o di un sistema organizzato di negoziazione istituiscono e mantengono la loro resilienza operativa, conformemente agli obblighi stabiliti al capo II del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, per assicurare che i loro sistemi di negoziazione: a) siano resilienti e abbiano capacita' sufficiente per gestire i picchi di volume di ordini e messaggi; b) siano in grado di garantire negoziazioni ordinate in condizioni di mercato critiche; c) siano pienamente testati per garantire il rispetto delle condizioni di cui alle lettere a) e b); d) siano soggetti a efficaci disposizioni in materia di continuita' operativa, compresi politica e piani di continuita' operativa delle tecnologie dell'informazione e della comunicazione e piani di risposta e di ripristino relativi alle tecnologie dell'informazione e della comunicazione istituiti ai sensi dell'articolo 11 del regolamento (UE) 2022/2554, per assicurare la continuita' dei servizi in caso di malfunzionamento dei loro sistemi di negoziazione.». Note all'art. 11: - Si riporta il testo degli articoli 65 e 65-sexies del citato decreto legislativo 24 febbraio 1998, n. 58, come modificato dal presente decreto: «Art. 65 (Requisiti organizzativi dei mercati regolamentati). - 1. Il mercato regolamentato dispone di: a) misure per identificare chiaramente e gestire le potenziali conseguenze negative, per il funzionamento del mercato regolamentato o per i suoi membri o partecipanti, di qualsiasi conflitto tra gli interessi del mercato regolamentato, dei suoi proprietari o del gestore del mercato e il suo ordinato funzionamento, in particolare quando tali conflitti possono risultare pregiudizievoli per l'assolvimento di qualsiasi funzione delegata al mercato regolamentato dall'autorita' competente; b) procedure per gestire i rischi ai quali sono esposti, compresi i rischi informatici ai sensi del capo II del regolamento (UE) 2022/2554, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, dispositivi e sistemi adeguati a identificare i rischi che possono comprometterne il funzionamento e misure efficaci per attenuare tali rischi; c) (abrogata) d) regole e procedure trasparenti e non discrezionali che garantiscono un processo di negoziazione corretto e ordinato nonche' di criteri obiettivi che consentono l'esecuzione efficiente degli ordini; e) misure efficaci atte ad agevolare il regolamento efficiente delle operazioni eseguite nell'ambito del sistema; f) risorse finanziarie sufficienti per renderne possibile il funzionamento ordinato, tenendo conto della natura e dell'entita' delle operazioni concluse nel mercato, nonche' della portata e del grado dei rischi ai quali esso e' esposto. 2. La Consob puo' ulteriormente dettagliare, con regolamento, i requisiti organizzativi del mercato regolamentato e puo' dettare la metodologia di determinazione dell'entita' delle risorse finanziarie previste nel comma 1, lettera f). 3. Per le operazioni concluse su un mercato regolamentato, i membri e i partecipanti non sono tenuti ad applicarsi reciprocamente gli obblighi specificamente individuati ai sensi dell'articolo 6, comma 2. I membri o i partecipanti di un mercato regolamentato applicano detti obblighi per quanto concerne i loro clienti quando, operando per conto di questi ultimi, ne eseguono gli ordini su un mercato regolamentato.». «Art. 65-sexies (Requisiti operativi delle sedi di negoziazione). - 1. I mercati regolamentati e i gestori di un sistema multilaterale di negoziazione o di un sistema organizzato di negoziazione istituiscono e mantengono la loro resilienza operativa, conformemente agli obblighi stabiliti al capo II del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, per assicurare che i loro sistemi di negoziazione: a) siano resilienti e abbiano capacita' sufficiente per gestire i picchi di volume di ordini e messaggi; b) siano in grado di garantire negoziazioni ordinate in condizioni di mercato critiche; c) siano pienamente testati per garantire il rispetto delle condizioni di cui alle lettere a) e b); d) siano soggetti a efficaci disposizioni in materia di continuita' operativa, compresi politica e piani di continuita' operativa delle tecnologie dell'informazione e della comunicazione e piani di risposta e di ripristino relativi alle tecnologie dell'informazione e della comunicazione istituiti ai sensi dell'articolo 11 del regolamento (UE) 2022/2554, per assicurare la continuita' dei servizi in caso di malfunzionamento dei loro sistemi di negoziazione. 2. I mercati regolamentati e i gestori di un sistema multilaterale di negoziazione o di un sistema organizzato di negoziazione dispongono di sistemi, procedure e meccanismi efficaci: a) per garantire che i sistemi algoritmici di negoziazione utilizzati dai membri o partecipanti o clienti non possano creare o contribuire a creare condizioni di negoziazione anormali sulla sede di negoziazione e per gestire qualsiasi condizione di negoziazione anormale causata dagli stessi; b) per identificare, attraverso la segnalazione di membri o partecipanti o clienti, gli ordini generati mediante negoziazione algoritmica, i diversi algoritmi utilizzati per la creazione degli ordini e le corrispondenti persone che avviano tali ordini; c) per rifiutare gli ordini che eccedono soglie predeterminate di prezzo e volume o sono chiaramente errati; d) per sospendere o limitare temporaneamente le negoziazioni qualora si registri un'oscillazione significativa nel prezzo di uno strumento finanziario nel mercato gestito o in un mercato correlato in un breve lasso di tempo; e) in casi eccezionali, per cancellare, modificare o correggere qualsiasi operazione; f) per controllare gli ordini inseriti, incluse le cancellazioni e le operazioni eseguite dai loro membri o partecipanti o clienti, per identificare le violazioni delle regole del sistema, le condizioni di negoziazione anormali o gli atti che possono indicare comportamenti vietati dal regolamento (UE) n. 596/2014 o le disfunzioni del sistema in relazione a uno strumento finanziario. 3. I mercati regolamentati e i gestori di un sistema multilaterale di negoziazione o di un sistema organizzato di negoziazione sottoscrivono accordi scritti vincolanti con i membri o partecipanti o clienti che perseguono strategie di market making sul sistema, e si adoperano affinche' un numero sufficiente di soggetti aderisca a tali accordi, in virtu' dei quali sono tenuti a trasmettere quotazioni irrevocabili a prezzi concorrenziali, con il risultato di fornire liquidita' al mercato su base regolare e prevedibile, qualora tale requisito sia adeguato alla natura e alle dimensioni delle negoziazioni nelle sedi di negoziazione in questione. 4. I mercati regolamentati e i gestori di un sistema multilaterale di negoziazione o di un sistema organizzato di negoziazione dispongono di misure e procedure efficaci, tra cui le necessarie risorse, per il controllo regolare dell'ottemperanza alle proprie regole. 5. I mercati regolamentati e i gestori di un sistema multilaterale di negoziazione o di un sistema organizzato di negoziazione: a) sincronizzano, unitamente ai loro membri o partecipanti o clienti, gli orologi utilizzati per registrare la data e l'ora degli eventi che possono essere oggetto di negoziazione; b) adottano regole trasparenti, eque e non discriminatorie in materia di servizi di co-ubicazione; c) adottano una struttura delle commissioni, incluse le commissioni di esecuzione delle operazioni, le commissioni accessorie e i rimborsi, trasparente, equa e non discriminatoria; d) adottano regimi in materia di dimensioni dei tick di negoziazione per azioni, ricevute di deposito, fondi indicizzati quotati, certificates e altri strumenti finanziari analoghi. 6. La Consob approva gli accordi che il gestore di una sede di negoziazione intende concludere per l'esternalizzazione a soggetti terzi di tutte o parte delle funzioni operative critiche relative ai sistemi della sede da esso gestita che consentono la negoziazione algoritmica, intendendosi come funzioni operative critiche quelle indicate dall'articolo 65, comma 1, lettere b), c) ed e). 7. La Consob individua con regolamento i requisiti operativi specifici di cui le sedi di negoziazione devono dotarsi con riguardo a: a) il contenuto minimo degli accordi scritti richiesti ai sensi del comma 3 e gli obblighi di controllo del gestore della sede di negoziazione in merito ai medesimi; b) i sistemi, le procedure e i dispositivi in materia di sistemi algoritmici di negoziazione previsti dal comma 2, lettere a) e b); c) i criteri in base ai quali fissare i parametri per la sospensione delle negoziazioni e le relative modalita' di gestione; d) i requisiti per l'accesso elettronico diretto alle sedi di negoziazione; e) i requisiti della struttura delle commissioni di cui al comma 5, lettera c); f) i parametri per calibrare i regimi in materia di dimensioni dei tick di negoziazione indicati nel comma 5, lettera d). 8. Le disposizioni di cui al comma 7, lettera b), sono adottate dalla Consob, sentita la Banca d'Italia, per i sistemi multilaterali di negoziazione e i sistemi organizzati di negoziazione che siano gestiti da Sim e banche italiane.».   Art. 12 Modifica al codice delle assicurazioni private, di cui al decreto legislativo 7 settembre 2005, n. 209 1. All'articolo 30 del codice delle assicurazioni private, di cui al decreto legislativo 7 settembre 2005, n. 209, il comma 4 e' sostituito dal seguente: «4. L'impresa adotta misure ragionevoli idonee a garantire la continuita' e la regolarita' dell'attivita' esercitata, inclusa l'elaborazione di piani di emergenza. A tal fine, l'impresa utilizza sistemi, risorse e procedure interne adeguati e proporzionati e, in particolare, istituisce e gestisce sistemi informatici e di rete conformemente al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022.». Note all'art. 12: - Si riporta il testo dell'articolo 30 del citato decreto legislativo 7 settembre 2005, n. 209, come modificato dal presente decreto: «Art. 30 (Sistema di governo societario dell'impresa). - 1. L'impresa si dota di un efficace sistema di governo societario, ivi inclusi i sistemi di remunerazione e di incentivazione, che consenta una gestione sana e prudente dell'attivita'. Il sistema di governo societario e' proporzionato alla natura, alla portata e alla complessita' delle attivita' dell'impresa. 2. Il sistema di governo societario di cui al comma 1 comprende almeno: a) l'istituzione di un'adeguata e trasparente struttura organizzativa, con una chiara ripartizione e un'appropriata separazione delle responsabilita' delle funzioni e degli organi dell'impresa; b) l'organizzazione di un efficace sistema di trasmissione delle informazioni; c) il possesso da parte di coloro che svolgono funzioni di amministrazione, direzione e controllo e di coloro che svolgono funzioni fondamentali dei requisiti di cui all'articolo 76; d) la predisposizione di meccanismi idonei a garantire il rispetto delle disposizioni di cui al presente Capo; e) l'istituzione della funzione di revisione interna, della funzione di verifica della conformita', della funzione di gestione dei rischi e della funzione attuariale. Tali funzioni sono fondamentali e di conseguenza sono considerate funzioni essenziali o importanti. 3. Il sistema di governo societario e' sottoposto ad una revisione interna periodica almeno annuale. 4. L'impresa adotta misure ragionevoli idonee a garantire la continuita' e la regolarita' dell'attivita' esercitata, inclusa l'elaborazione di piani di emergenza. A tal fine, l'impresa utilizza sistemi, risorse e procedure interne adeguati e proporzionati e, in particolare, istituisce e gestisce sistemi informatici e di rete conformemente al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022. 5. L'impresa adotta politiche scritte con riferimento quanto meno al sistema di gestione dei rischi, al sistema di controllo interno, alla revisione interna e, ove rilevante, all'esternalizzazione, nonche' una politica per l'adeguatezza nel continuo delle informazioni fornite al supervisore ai sensi dell'articolo 47-quater e per le informazioni contenute nella relazione sulla solvibilita' e sulla condizione finanziaria di cui agli articoli 47-septies, 47-octies e 47-novies e garantisce che ad esse sia data attuazione. 6. Le politiche di cui al comma 5 sono approvate preventivamente dal consiglio di amministrazione. Il consiglio di amministrazione riesamina le politiche almeno una volta l'anno in concomitanza con la revisione di cui al comma 3 e, in ogni caso, apporta le modifiche necessarie in caso di variazioni significative del sistema di governo societario. 7. L'IVASS detta con regolamento disposizioni di dettaglio in materia di sistema di governo societario di cui alla presente Sezione.».   Art. 13 Modifica al decreto legislativo 5 dicembre 2005, n. 252 1. All'articolo 4-bis del decreto legislativo 5 dicembre 2005, n. 252, il comma 6 e' sostituito dal seguente: «6. I fondi pensione di cui al comma 1 adottano misure ragionevoli atte a garantire la continuita' e la regolarita' dello svolgimento delle loro attivita', tra cui l'elaborazione di piani di emergenza. A tal fine i fondi pensione utilizzano sistemi, risorse e procedure adeguati e proporzionati e in particolare, istituiscono e gestiscono sistemi informatici e di rete conformemente al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, ove applicabile.». Note all'art. 13: - Si riporta il testo dell'articolo 4-bis del citato decreto legislativo 5 dicembre 2005, n. 252, come modificato dal presente decreto: «Art. 4-bis (Requisiti generali in materia di sistema di governo). - 1. I fondi pensione istituiti ai sensi dell'articolo 4, comma 1, nonche' quelli gia' istituiti alla data di entrata in vigore della legge 23 ottobre 1992, n. 421, aventi soggettivita' giuridica, si dotano di un sistema efficace di governo che assicuri una gestione sana e prudente della loro attivita'. Tale sistema prevede una struttura organizzativa trasparente e adeguata, con una chiara attribuzione e un'appropriata separazione delle responsabilita' e un sistema efficace per garantire la trasmissione delle informazioni. 2. Il sistema di governo e' proporzionato alla dimensione, alla natura, alla portata e alla complessita' delle attivita' del fondo pensione. Il sistema di governo e' descritto in un apposito documento e tiene in considerazione, nelle decisioni relative agli investimenti, dei connessi fattori ambientali, sociali e di governo societario. Il documento e' redatto, su base annuale, dall'organo di amministrazione ed e' reso pubblico congiuntamente al bilancio di cui all'articolo 17-bis. 3. I fondi pensione di cui al comma 1 stabiliscono e applicano politiche scritte in relazione alla gestione dei rischi, alla revisione interna e, laddove rilevante, alle attivita' attuariali e a quelle esternalizzate. Tali politiche sono deliberate dall'organo di amministrazione del fondo pensione. 4. L'organo di amministrazione riesamina le politiche scritte di cui al comma 3 almeno ogni tre anni e, in ogni caso, apporta le modifiche necessarie in caso di variazioni significative del settore interessato. 5. I fondi pensione di cui al comma 1 si dotano di un sistema di controllo interno efficace. Tale sistema include procedure amministrative e contabili, un quadro di controllo interno, comprensivo della verifica di conformita' alla normativa nazionale e alle norme europee direttamente applicabili, e disposizioni di segnalazione adeguate a tutti i livelli del fondo pensione. 6. I fondi pensione di cui al comma 1 adottano misure ragionevoli atte a garantire la continuita' e la regolarita' dello svolgimento delle loro attivita', tra cui l'elaborazione di piani di emergenza. A tal fine i fondi pensione utilizzano sistemi, risorse e procedure adeguati e proporzionati e in particolare, istituiscono e gestiscono sistemi informatici e di rete conformemente al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, ove applicabile. 7. I fondi pensione di cui al comma 1 sono amministrati effettivamente da almeno due persone. La COVIP puo' autorizzare, in deroga al principio di cui sopra, che sia una sola persona ad amministrare effettivamente il fondo, sulla base di una valutazione motivata che tenga conto del ruolo delle parti sociali, nonche' della dimensione, della natura, della portata e della complessita' delle attivita' del fondo.».   Art. 14 Modifiche al decreto legislativo 16 novembre 2015, n. 180 1. Al decreto legislativo 16 novembre 2015, n. 180, sono apportate le seguenti modificazioni: a) all'articolo 102, comma 3: 1) alla lettera c), dopo le parole: «garantire la continuita'» sono inserite le seguenti: «e la resilienza operativa digitale»; 2) alla lettera r), sono aggiunte, in fine, le seguenti parole: «, compresi i sistemi informatici e di rete di cui al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022»; b) all'articolo 104, comma 1, alla lettera c), dopo le parole: «dei contratti di servizio,» sono inserite le seguenti: «compresi gli accordi contrattuali per l'utilizzo di servizi TIC, come definiti all'articolo 3, punto 21), del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022,». Note all'art. 14: - Si riporta il testo degli articoli 102 e 104 del citato decreto legislativo 16 novembre 2015, n. 180, come modificato dal presente decreto: «Art. 102 (Contenuto dei piani di risoluzione). - 1. Fermo restando quanto previsto dalle norme tecniche di attuazione adottate dalla Commissione europea, il contenuto dei piani di risoluzione e' disciplinato dal presente articolo. 2. Il piano di risoluzione tiene conto di diversi possibili scenari, tra cui l'ipotesi che il dissesto sia idiosincratico o si verifichi in un momento di instabilita' finanziaria piu' ampia o al ricorrere di eventi a carattere sistemico. Il piano di risoluzione non presuppone alcuno dei seguenti interventi: a) il sostegno finanziario pubblico straordinario, fatto salvo l'utilizzo dei fondi di risoluzione; b) l'assistenza di liquidita' di emergenza fornita dalla banca centrale; o c) l'assistenza di liquidita' fornita dalla banca centrale che preveda garanzie, durata e tasso di interesse non standard. 3. Il piano prevede una serie di opzioni per l'applicazione delle misure e poteri di risoluzione. Esso comprende, laddove possibile e opportuno, in forma quantificata: a) una sintesi degli elementi fondamentali del piano; b) una sintesi dei cambiamenti sostanziali intervenuti nella banca rispetto all'ultima informazione fornita; c) la dimostrazione di come le funzioni essenziali e le linee di operativita' principali possano essere separate dalle altre funzioni, sul piano giuridico ed economico, nella misura necessaria, in modo da garantirne la continuita' e la resilienza operativa digitale in caso di dissesto della banca; d) una stima dei tempi necessari per l'esecuzione di ciascun aspetto sostanziale del piano; e) una descrizione della valutazione della risolvibilita'; f) una descrizione delle misure necessarie per affrontare o rimuovere gli impedimenti alla risolvibilita'; g) una descrizione delle procedure per determinare il valore e la trasferibilita' delle funzioni essenziali, linee di operativita' principali e attivita' della banca; h) una descrizione dei dispositivi atti a garantire che le informazioni richieste alla banca per la redazione del piano siano aggiornate e a disposizione della Banca d'Italia in qualsiasi momento; i) le modalita' che permettono il finanziamento delle opzioni di risoluzione senza presupporre alcuno degli interventi seguenti; i) sostegno finanziario pubblico straordinario diverso dall'impiego dei fondi di risoluzione; ii) assistenza di liquidita' di emergenza fornita da una banca centrale; o iii) assistenza di liquidita' da parte di una banca centrale fornita con costituzione delle garanzie, durata e tasso di interesse non standard. l) una descrizione delle diverse strategie di risoluzione che si potrebbero applicare nei vari scenari possibili e le tempistiche applicabili; m) una descrizione delle interdipendenze critiche; n) una descrizione delle opzioni praticabili per mantenere l'accesso alle sedi di negoziazione e alle infrastrutture di mercato e una valutazione della portabilita' delle posizioni dei clienti; o) un'analisi dell'impatto del piano sui dipendenti della banca, compresa una stima dei costi associati e una descrizione delle previste procedure di consultazione del personale durante il processo di risoluzione, tenendo conto se del caso dei sistemi nazionali di dialogo con le parti sociali; p) il piano di comunicazione con i media e con il pubblico; q) i requisiti di cui agli articoli 16-septies e 16-octies e il termine per la costituzione di questi requisiti conformemente all'articolo 16-quaterdecies; q-bis) laddove la Banca d'Italia applichi l'articolo 16-quater, commi 4, 5 o 7, i termini per l'adempimento da parte dell'ente designato per la risoluzione conformemente all'articolo 16-quaterdecies; r) una descrizione delle operazioni e dei sistemi essenziali per assicurare la continuita' del funzionamento dei processi operativi della banca, compresi i sistemi informatici e di rete di cui al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022; s) l'eventuale parere espresso dalla banca in merito al piano di risoluzione. 4. Il piano indica inoltre le modalita' e la tempistica con cui, nelle situazioni previste dal piano, la banca puo' chiedere di ricorrere a forme di assistenza della Banca Centrale Europea e identifica le attivita' che potrebbero essere considerate idonee quali garanzie. Contiene infine le ulteriori informazioni richieste dalla Banca d'Italia o da regolamenti della Commissione Europea. 5. Esso e' redatto sulla base di valutazioni eque e prudenti.». «Art. 104 (Elementi da considerare nell'ambito della valutazione di risolvibilita' di una banca o di un gruppo). - 1. Fermo restando quanto previsto dalle norme tecniche di attuazione adottate dalla Commissione europea, per valutare la risolvibilita' di una banca o di un gruppo, sono esaminati:204 a) l'organizzazione della banca/gruppo, in modo da assicurare che le linee di operativita' principali e funzioni essenziali siano allocate a soggetti chiaramente identificabili e in modo coerente; b) i dispositivi adottati dalla banca/gruppo per fornire personale essenziale, infrastrutture, finanziamenti, liquidita' e capitali per sostenere e mantenere in essere le linee di operativita' principali e le funzioni essenziali; c) l'efficacia, anche in caso di risoluzione della banca/gruppo, dei contratti di servizio compresi gli accordi contrattuali per l'utilizzo di servizi TIC, come definiti all'articolo 3, punto 21), del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, l'adeguatezza dei presidi di governo adottati dalla banca/gruppo per assicurare che tali contratti siano adempiuti nella misura e secondo la qualita' concordata, nonche' la presenza di procedure per trasferire a terzi i servizi forniti in virtu' di tali accordi, in caso di separazione delle funzioni essenziali o delle linee di operativita' principali; d) i piani e le misure di emergenza per assicurare la continuita' dell'accesso alle infrastrutture di mercato; e) l'adeguatezza dei sistemi informatici per permettere alla Banca d'Italia di raccogliere informazioni accurate e complete sulle linee di operativita' principali e sulle funzioni essenziali, al fine di agevolare decisioni rapide; f) la capacita' dei sistemi informatici di fornire le informazioni essenziali per una risoluzione efficace della banca/gruppo in qualsiasi momento, anche in situazioni in rapida evoluzione; g) la misura in cui la banca/gruppo ha testato i propri sistemi informatici in scenari di stress definiti dalla Banca d'Italia; h) la continuita' dei sistemi informatici sia per la banca/gruppo interessata, sia per il cessionario nel caso in cui le funzioni essenziali e le linee di operativita' principali siano oggetto di cessione; i) le procedure adottate della banca/gruppo per permettere alla Banca d'Italia di disporre delle informazioni necessarie per individuare i depositanti e gli importi coperti dai sistemi di garanzia dei depositi; l) l'ammontare e la tipologia delle passivita' ammissibili della banca/gruppo;205 m) se sono previste garanzie infragruppo o operazioni back to back, la misura in cui: i) queste operazioni sono effettuate a condizioni di mercato e la solidita' dei relativi sistemi di gestione del rischio; ii) il ricorso a queste operazioni aumenta il rischio di contagio nel gruppo n) la misura in cui la struttura giuridica del gruppo ostacola l'applicazione degli strumenti di risoluzione in conseguenza del numero di societa', della complessita' della struttura del gruppo o della difficolta' di associare le linee di business alle componenti del gruppo; o) quando la valutazione coinvolge una societa' di cui all'articolo 65, comma 1, lettera h), del Testo Unico Bancario, la misura in cui la risoluzione di entita' del gruppo che sono banche o societa' finanziarie controllate puo' esercitare un impatto negativo sul ramo non finanziario del gruppo; p) la disponibilita', presso le autorita' degli Stati terzi, delle misure di risoluzione necessarie per sostenere le autorita' di risoluzione dell'Unione Europea nelle azioni di risoluzione e i margini per un'azione coordinata fra autorita' dell'Unione Europea e autorita' degli Stati terzi; q) la possibilita' di applicare le misure di risoluzione in modo da conseguire gli obiettivi di risoluzione; r) la misura in cui la struttura del gruppo permette alla Banca d'Italia di procedere alla risoluzione del gruppo nel suo complesso o di una o piu' delle sue componenti senza provocare, direttamente o indirettamente, un effetto negativo significativo sul sistema finanziario, sulla fiducia del mercato o sull'economia in generale, e al fine di massimizzare il valore del gruppo nel suo complesso; s) gli accordi e i mezzi che potrebbero agevolare la risoluzione in caso di gruppi con societa' controllate stabilite in giurisdizioni diverse; t) la credibilita' dell'uso delle misure di risoluzione in modo da conseguire gli obiettivi di risoluzione, tenuto conto delle possibili ripercussioni su creditori, controparti, clientela e dipendenti e delle azioni eventualmente avviate da autorita' di Stati terzi; u) la possibilita' di valutare l'impatto della risoluzione della banca/gruppo sul sistema finanziario, infrastrutture di mercato, sulla fiducia dei mercati finanziari o sull'economia in generale; l'impatto stesso, nonche' il grado di idoneita' delle misure o dei poteri di risoluzione a contenerlo. 2. Il livello di dettaglio della valutazione dipende, tra l'altro, dalle possibili conseguenze del dissesto della banca/gruppo in relazione alle loro caratteristiche, ivi inclusi le dimensioni, la complessita' operativa, la struttura societaria, lo scopo mutualistico e l'adesione a un sistema di tutela istituzionale.».   Art. 15 Disposizioni di coordinamento con il decreto legislativo 4 settembre 2024, n. 138 1. A Bancoposta, se identificato come soggetto essenziale o importante dei settori 3 o 4 dell'allegato I al decreto legislativo 4 settembre 2024, n. 138, non si applicano le disposizioni di cui all'articolo 17 e ai capi IV e V del medesimo decreto, in quanto soggetto sottoposto ai sensi del presente decreto a obblighi derivanti dal diritto dell'Unione europea equivalenti a quelli previsti dal citato decreto legislativo. Note all'art. 15: - Si riporta l'allegato I e il testo dell'articolo 17 del citato decreto legislativo 4 settembre 2024, n. 138: « Parte di provvedimento in formato grafico .». «Art. 17 (Accordi di condivisione delle informazioni sulla sicurezza informatica). - 1. I soggetti che rientrano nell'ambito di applicazione del presente decreto e laddove opportuno anche ulteriori soggetti, possono scambiarsi, su base volontaria, pertinenti informazioni sulla sicurezza informatica, comprese informazioni relative a minacce informatiche, quasi-incidenti, vulnerabilita', tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche sugli attori delle minacce, allarmi di sicurezza informatica e raccomandazioni concernenti la configurazione degli strumenti di sicurezza informatica per individuare le minacce informatiche, se tale condivisione di informazioni: a) mira a prevenire o rilevare gli incidenti, a recuperare dagli stessi o a mitigarne l'impatto; b) aumenta il livello di sicurezza informatica, in particolare sensibilizzando in merito alle minacce informatiche, limitando o inibendo la capacita' di diffusione di tali minacce e sostenendo una serie di capacita' di difesa, la risoluzione e la divulgazione delle vulnerabilita', tecniche di rilevamento, contenimento e prevenzione delle minacce, strategie di mitigazione o fasi di risposta e recupero, oppure promuovendo la ricerca collaborativa sulle minacce informatiche tra soggetti pubblici e privati. 2. Lo scambio di informazioni di cui al comma 1 avviene nell'ambito di comunita' di soggetti essenziali e di soggetti importanti e, se opportuno, nell'ambito dei loro fornitori o fornitori di servizi. Tale scambio e' attuato mediante accordi di condivisione delle informazioni sulla sicurezza informatica che tengono conto della natura potenzialmente sensibile delle informazioni condivise. 3. L'Agenzia per la cybersicurezza nazionale, nello svolgimento delle funzioni di Autorita' nazionale competente NIS e di CSIRT Italia, ove possibile, tenuto conto degli orientamenti e delle migliori pratiche non vincolanti elaborati dall'ENISA, favorisce la conclusione degli accordi di condivisione delle informazioni sulla sicurezza informatica di cui al comma 2 e puo' specificare gli elementi operativi, compreso l'uso di piattaforme TIC dedicate e di strumenti di automazione, i contenuti e le condizioni degli accordi di condivisione delle informazioni. Nello stabilire i dettagli relativi alla partecipazione delle autorita' pubbliche a tali accordi, l'Autorita' nazionale competente NIS puo' imporre condizioni, secondo le modalita' di cui all'articolo 40, comma 5, alinea, per le informazioni messe a disposizione dalle autorita' competenti e dal CSIRT Italia. L'Agenzia per la cybersicurezza nazionale, nello svolgimento delle funzioni di Autorita' nazionale competente NIS e di CSIRT Italia, supporta i soggetti essenziali e i soggetti importanti per l'applicazione di tali accordi conformemente alle loro misure strategiche di cui all'articolo 9, comma 3, lettera h). 4. I soggetti essenziali e i soggetti importanti notificano all'Autorita' nazionale competente NIS la loro partecipazione agli accordi di condivisione delle informazioni sulla sicurezza informatica di cui al comma 2 al momento della conclusione di tali accordi o, ove applicabile, del loro ritiro da tali accordi, una volta che questo e' divenuto effettivo. 5. E' assicurato l'accesso degli Organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge n. 124 del 2007 alle informazioni riguardanti l'elenco dei soggetti essenziali e dei soggetti importanti, tramite la piattaforma digitale di cui all'articolo 7, le notifiche di cui agli articoli 25 e 26, le vulnerabilita' rilevate nell'applicazione del presente decreto, e le ulteriori informazioni rispetto a quelle di cui al presente comma che dovessero essere ritenute utili, relative alle attivita' di cui al presente decreto, previe intese tra i predetti Organismi e l'Agenzia per la cybersicurezza nazionale.». - Il capo IV e V del citato decreto legislativo 4 settembre 2024, n. 138 recano rispettivamente degli «Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente» e del «Monitoraggio, vigilanza ed esecuzione».   Art. 16 Clausola di invarianza finanziaria 1. Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. 2. Le amministrazioni competenti provvedono all'attuazione del presente decreto nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.   Art. 17 Entrata in vigore 1. Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Salvo quanto previsto al primo periodo del presente articolo, l'articolo 6, commi 1 e 2, si applica a decorrere dalla data del 1° gennaio 2027. Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Dato a Roma, addi' 10 marzo 2025 MATTARELLA Meloni, Presidente del Consiglio dei ministri Foti, Ministro per gli affari europei, il PNRR e le politiche di coesione Giorgetti, Ministro dell'economia e delle finanze Tajani, Ministro degli affari esteri e della cooperazione internazionale Nordio, Ministro della giustizia Visto, il Guardasigilli: Nordio