Sicurezza e continuità operativa negli enti finanziari: il regolamento DORA

Durante la CreditWeek 2025 a Milano, si è ampiamente discusso dell’uso strategico della tecnologia e dei suoi impatti nel settore finanziario. In particolare uno specifico workshop ha approfondito gli obblighi della resilienza informatica che gli operatori del settore devono rispettare adeguandosi al Regolamento DORA (Digital Operational Resilience Act).

(Articolo di Marco Ferfoglia, Presidente di AnalisiBanka)

La normativa DORA è un quadro normativo europeo che va oltre la tradizionale cybersicurezza. Richiede infatti alle entità finanziarie non solo di proteggersi dalle minacce informatiche esterne, ma anche di prevenire e gestire efficacemente gli incidenti interni e quelli causati da fornitori terzi. In sostanza, DORA introduce una strategia di “difesa bidirezionale”, affrontando i rischi sia esterni che interni alle organizzazioni finanziarie. L’obiettivo principale è garantire la continuità dei servizi essenziali per i clienti.

Il Regolamento (UE) 2022/2554 (DORA) è già in vigore dal 17 gennaio 2025, risponde al crescente utilizzo delle tecnologie informatiche nel settore finanziario, imponendo livelli di sicurezza crescenti ed elevati. Sintetizziamo nei punti successivi il Regolamento Dora nelle sue caratteristiche salienti.

Qualificazione dei Rischi Informatici e Tecnologici

ll Regolamento DORA riconosce i rischi informatici e tecnologici come una categoria specifica all’interno del più ampio contesto dei rischi operativi, richiedendo per essi interventi e controlli mirati. L’articolo 3, comma 5 definisce questi rischi come eventi potenziali o reali legati all’uso dei sistemi informatici che possono compromettere i sistemi ICT, i processi tecnologici e le operazioni bancarie conseguenti. Inoltre, il Regolamento comprende le ricadute e gli impatti negativi, sia digitali che fisici, che possono derivare dai servizi ICT forniti da soggetti terzi (provider tecnologici).

Soggetti sottoposti a supervisione per rischio informatico

Il Regolamento identifica due macro categorie di:

a. le Entità Finanziarie (articolo 2 del Regolamento DORA) sono rappresentate da banche, imprese di investimento, istituti di pagamento (TPP), gestori di infrastrutture di mercato, fornitori di servizi per le cripto-attività e le imprese di assicurazione. A questi soggetti è richiesto di acquisire un alto livello di organizzazione e di resilienza individuale per affrontare i rischi digitali.

b. i Fornitori di Servizi ICT Critici o Importanti (articoli 33, 34, 35), ovvero i provider informatici considerati critici saranno sottoposti a vigilanza diretta da parte dell’Autorità di Sorveglianza Capofila. Quest’ultima richiederà periodicamente la predisposizione di un piano di sorveglianza specifico relativo ai servizi tecnologici. L’Autorità di Sorveglianza deputata potrà anche effettuare ispezioni e richiedere attività correttive. In caso di inosservanza totale o parziale delle misure richieste, l’autorità potrà imporre una penalità proporzionale alla gravità e alla negligenza del provider critico, anche fino all’1% del fatturato medio quotidiano realizzato dal fornitore a livello mondiale.

Adempimenti e attività obbligatorie per le Entità Finanziarie

Entro gennaio 2025 circa 23 mila società finanziarie europee dovranno implementare un framework dettagliato in relazione ai rischi ICT, ecco gli aspetti più importanti da valutare:

• governance: adozione di un Quadro di Gestione e Controllo dei Rischi Informatici, sotto la piena responsabilità dell’organo di gestione dell’ente finanziario (Art. 5 del Regolamento);
• framework operativo dei rischi informatici atto a fronteggiare anomalie e incidenti informatici. Prevede la predisposizione di processi di continuità operativa e piani di ripristino in relazione alle funzioni aziendali critiche, con l’obiettivo di ridurre al minimo eventuali periodi di inattività (Articoli dal 6 al 9):
• incident response e reporting: predisposizione di meccanismi e modalità per individuare e segnalare tempestivamente minacce e incidenti informatici gravi, mediante l’evidenza di anomalie, early warning, allarmi automatici, monitoraggio e verifica della resilienza. La politica di comunicazione degli eventi da parte dell’ente deve essere rapida e diffusa nei confronti di diversi soggetti, come: organi di gestione e controllo interni, stakeholder, clienti coinvolti e le Autorità di vigilanza per i casi rilevanti (Art. 10 all’Art. 18). In particolare, enti come le banche devono comunicare all’autorità nazionale competente (Banca d’Italia, che trasmette immediatamente queste segnalazioni alla BCE) gli incidenti considerati gravi e, su base volontaria, le minacce informatiche significative (Art. 19 all’Art. 21).

Il workshop ha messo in luce come l’implementazione operativa della normativa DORA non sia ancora pienamente consolidata, a causa di alcune criticità persistenti. Tra le principali, emerge una carenza diffusa di cultura e conoscenza del fenomeno all’interno delle diverse organizzazioni. Inoltre, i fornitori di servizi tecnologici (service providers) faticano a sentirsi pienamente coinvolti nel processo di adeguamento, generando potenziali disallineamenti. È fondamentale affrontare tempestivamente queste sfide per garantire la piena conformità e rafforzare la resilienza tecnologica del settore finanziario.