Il Regolamento DORA (Digital Operational Resilience Act) rappresenta una svolta epocale per la sicurezza digitale del settore finanziario europeo. Con la sua entrata in vigore il 17 gennaio 2025, questo regolamento dell’Unione europea ha ridefinito completamente l’approccio alla gestione dei rischi ICT per banche, assicurazioni e tutti gli intermediari finanziari.
In questa guida completa, a cura dell’Osservatorio Cybersecurity and Data Protection della School of Managament del Politecnico di Milano, illustreremo ogni aspetto del DORA, dalle definizioni fondamentali alle strategie di implementazione pratica, fornendo alle organizzazioni tutti gli strumenti necessari per raggiungere e mantenere la compliance.
Il Digital Operational Resilience Act (DORA), formalmente Regolamento (UE) 2022/2554, è la risposta dell’Unione europea all’escalation delle minacce informatiche che colpiscono il settore finanziario. Questo framework normativo stabilisce requisiti vincolanti e armonizzati per la resilienza operativa digitale di tutte le entità finanziarie europee.
Prima dell’introduzione del Regolamento DORA, il panorama normativo europeo presentava significative lacune. Ogni Stato membro aveva sviluppato proprie regole per la gestione del rischio ICT, creando un mosaico frammentato di normative spesso inadeguate. Le regole esistenti si concentravano principalmente sull’allocazione di capitale per coprire i rischi operativi, ignorando la complessità crescente delle minacce digitali.
Il DORA introduce un cambio di paradigma fondamentale: da un approccio reattivo basato su riserve di capitale a una strategia proattiva di resilienza operativa. Non si tratta più solo di avere abbastanza denaro per coprire i danni, ma di costruire sistemi che possano resistere, rispondere e riprendersi rapidamente.
Il DORA persegue quattro obiettivi strategici interconnessi e interdipendenti:
Per perseguire tali obiettivi si è reso necessario applicare il regolamento a una moltitudine di attori per settore che, quindi, si ritrovano oggi a doversi adeguare a nuove regole. Vediamo nel dettaglio di chi si tratta.
Campo di applicazione: chi deve rispettare il Regolamento DORA
Il Regolamento DORA ha un perimetro di applicazione estremamente ampio, coinvolgendo oltre 22.000 entità finanziarie in tutta Europa e i loro fornitori critici. L’approccio è inclusivo e mira a coprire l’intero ecosistema finanziario digitale. Ecco, nello specifico, gli attori coinvolti:
Il Regolamento DORA prevede alcune esenzioni limitate per le microimprese (meno di 10 dipendenti e fatturato inferiore a 2 milioni di euro) che beneficiano di un regime semplificato. Le banche centrali sono invece escluse dalle disposizioni dirette ma possono applicarle volontariamente.
Il DORA si articola in cinque pilastri fondamentali che definiscono il framework completo per la resilienza operativa digitale del settore finanziario europeo.
Il primo pilastro stabilisce i requisiti per un sistema di gestione del rischio ICT robusto e integrato. Le aziende finanziarie devono implementare un framework comprensivo che copra tutti gli aspetti della sicurezza informatica aziendale.
Il Consiglio di amministrazione assume la responsabilità diretta delle decisioni strategiche ICT e della supervisione dei rischi informatici. È richiesta l’istituzione di una funzione di controllo ICT indipendente, separata dalle funzioni operative per garantire un controllo efficace e privo di conflitti di interesse.
L’azienda deve creare un inventario completo e aggiornato di tutti i sistemi informatici, classificandoli in base alla loro criticità per le operazioni aziendali. I sistemi vengono categorizzati come “essenziali” (la cui interruzione comporterebbe il fermo delle attività) o “importanti” (che causerebbero significative difficoltà operative).
Il framework deve includere controlli di sicurezza tecnici e organizzativi: gestione delle identità e degli accessi, procedure di patch management, protezione perimetrale e di rete, sistemi di backup e recovery, piani di business continuity testati e aggiornati regolarmente.
Il secondo pilastro introduce procedure standardizzate a livello europeo per la classificazione, gestione e reportistica degli incidenti informatici.
Gli incidenti ICT devono essere classificati secondo una tassonomia unificata che considera gravità, tipologia e impatto sulle operazioni aziendali. Per gli incidenti più gravi, è previsto un sistema di segnalazione strutturato: notifica iniziale entro 4 ore dalla rilevazione, rapporti intermedi ogni 24 ore durante la gestione dell’incidente, e rapporto finale dettagliato entro 14 giorni dalla risoluzione.
Questa armonizzazione elimina le differenze tra i vari Stati membri, permettendo alle autorità europee di avere una visione d’insieme coerente dei rischi Cyber che interessano il settore finanziario e di coordinare efficacemente le risposte alle minacce transfrontaliere.
Il terzo pilastro definisce requisiti obbligatori per la verifica della resilienza dei sistemi ICT attraverso programmi di testing strutturati.
Tutte le entità finanziarie devono condurre annualmente test di base che includono vulnerability assessment, test di scenario, verifiche dei piani di business continuity e simulazioni di incidenti. Questi test servono a identificare vulnerabilità e punti deboli prima che possano essere sfruttati da attaccanti reali.
Le entità finanziarie di maggiore rilevanza sistemica sono inoltre soggette a Threat-Led Penetration Test (TLPT) ogni tre anni. Questi test avanzati simulano attacchi realistici condotti da team specializzati esterni, replicando le tecniche utilizzate da gruppi di hacker professionali per valutare la capacità dell’organizzazione di rilevare, contenere e rispondere ad attacchi sofisticati.
I fornitori di servizi TLPT devono possedere certificazioni specifiche e adeguate coperture assicurative. I risultati di tutti i test vengono integrati nei processi di vigilanza delle autorità competenti.
Il quarto pilastro rappresenta una delle maggiori innovazioni del DORA, riconoscendo l’importanza crescente dei fornitori di servizi ICT nell’ecosistema finanziario e i rischi sistemici che la loro concentrazione può comportare.
Le entità finanziarie devono rafforzare la gestione dei rapporti con i fornitori ICT attraverso contratti più dettagliati che specificano obblighi di sicurezza, meccanismi di controllo, procedure di audit, piani di exit strategy e criteri di performance. È inoltre necessario evitare eccessiva concentrazione su singoli fornitori per servizi critici, implementando strategie di diversificazione.
Per la prima volta a livello europeo, i fornitori ICT critici (principalmente grandi Cloud provider e fornitori di software essenziale) saranno soggetti a supervisione diretta da parte delle Autorità Europee di Vigilanza (European Supervisory Authorities, ESAs). Queste autorità potranno condurre ispezioni, richiedere informazioni, imporre misure correttive e applicare sanzioni direttamente ai fornitori critici, estendendo la vigilanza finanziaria al di fuori del perimetro tradizionale.
Il quinto pilastro promuove meccanismi di collaborazione volontaria tra le entità finanziarie per la condivisione di intelligence su minacce Cyber e best practice di sicurezza.
Le organizzazioni possono partecipare ad accordi di information sharing per scambiare informazioni anonimizzate su incidenti, indicatori di compromissione, tattiche e tecniche di attacco, vulnerabilità emergenti. Questo approccio collaborativo mira a creare un effetto di “immunità di gregge” digitale, dove la scoperta di una nuova minaccia da parte di un’organizzazione può proteggere preventivamente l’intero settore.
Tutte le attività di condivisione devono rispettare rigorosamente la normativa sulla protezione dei dati (GDPR) e gli obblighi di riservatezza. I dati condivisi sono limitati a indicatori tecnici e informazioni non sensibili, escludendo qualsiasi dato personale o informazione commerciale riservata.
Questo pilastro trasforma l’approccio settoriale alla Cybersecurity da una logica competitiva a una strategia collaborativa, riconoscendo che la sicurezza dell’intero ecosistema finanziario dipende dalla resilienza di ciascun partecipante.
La roadmap di implementazione del DORA prevede scadenze precise che le organizzazioni devono rispettare rigorosamente.
Il 16 gennaio 2023 è entrato in vigore il Regolamento base, seguito a dicembre 2024 dalla pubblicazione degli standard tecnici finali da parte delle ESAs. Il momento cruciale è arrivato il 17 gennaio 2025, quando DORA è diventato pienamente applicabile e tutte le disposizioni sono ora operative per le aziende soggette.
Luglio 2025 rappresenta un altro momento chiave: entro questa data le ESAs dovranno completare la designazione dei Critical Third-Party Providers e dare il via al regime di oversight sui fornitori critici. Questi fornitori inizieranno quindi a essere supervisionati direttamente dalle autorità europee.
Entro dicembre 2025 le aziende finanziarie dovranno aver completato il primo ciclo completo di test di resilienza previsti dal regolamento e presentare la prima reportistica annuale alle autorità competenti, dimostrando la loro compliance operativa.
Nel 2026 partiranno i primi TLPT obbligatori per le entità finanziarie identificate come critiche dalle autorità nazionali. Nello stesso anno è prevista una review intermedia dell’implementazione da parte della Commissione Europea per valutare l’efficacia del regolamento.
Il 2028 segnerà un momento di bilancio importante con la prima valutazione completa dell’efficacia del DORA da parte delle ESAs, che potrebbe portare a possibili aggiornamenti normativi basati sull’esperienza operativa maturata nei primi tre anni di applicazione.
Implementazione pratica: come mettersi in regola
L’implementazione del Regolamento DORA richiede un approccio strutturato che possiamo suddividere in quattro fasi principali.
L’assessment completo è il punto di partenza: fare l’inventario di tutti i sistemi IT, mappare i processi attuali di gestione del rischio, catalogare tutti i fornitori ICT e i contratti esistenti. È come fare una radiografia completa della situazione attuale.
La gap analysis segue confrontando lo stato attuale con i requisiti DORA per identificare cosa manca. È essenziale prioritizzare le azioni basandosi sui rischi più critici e sulle “vittorie facili” (azioni ad alto impatto ma a basso sforzo).
Il design del framework richiede di sviluppare le nuove policy, definire la struttura organizzativa, progettare i processi operativi e pianificare l’architettura tecnologica target.
Parallelamente, è necessario impostare una governance di progetto con steering committee, PMO dedicato, gruppi di lavoro specializzati e budget allocato per garantire il successo dell’implementazione.
Il deployment tecnologico prevede l’installazione di nuovi strumenti di sicurezza, sistemi di monitoraggio, soluzioni di backup e ambienti per i test di resilienza.
Il rollout operativo include la pubblicazione delle nuove policy, la formazione del personale, la rinegoziazione dei contratti con i fornitori e l’implementazione dei nuovi processi di incident management.
La gestione quotidiana richiede monitoraggio continuo degli incidenti, raccolta di threat intelligence, tracking della compliance e assessment periodici dei fornitori.
Il miglioramento continuo si basa sulla raccolta delle lezioni apprese, aggiornamento delle procedure, benchmarking con le best practice del settore e adattamento all’evoluzione delle minacce.
Come consuetudine quando si parla di nuovi regolamenti da adottare, entra in gioco anche un sistema di sanzioni pensato per chi non si adegua alle nuove regole. Il Regolamento DORA non fa eccezione e prevede quindi un regime sanzionatorio severo e armonizzato per garantire l’effettiva compliance delle entità soggette, variabile a seconda della tipologia dell’attore coinvolto.
Le sanzioni variano da multe di decine di migliaia di euro per violazioni minori fino al 10% del fatturato annuale per le violazioni più gravi. Oltre alle sanzioni pecuniarie, le autorità possono imporre misure correttive immediate, limitazioni operative, cambi nel management o, nei casi estremi, la sospensione della licenza.
I fornitori critici supervisionati direttamente dalle autorità europee possono ricevere sanzioni fino all’1% del fatturato mondiale giornaliero, applicabile per un massimo di 6 mesi consecutivi. Per un grande Cloud provider, questo può significare decine di milioni di euro.
Una delle novità più significative è l’introduzione della responsabilità personale dei dirigenti. Gli amministratori e i manager possono essere sanzionati personalmente, subire l’inabilitazione temporanea da ruoli dirigenziali o affrontare conseguenze legali in caso di negligenza grave.
Il futuro della finanza digitale europea
Questo regolamento segna l’inizio di una nuova era per il settore finanziario europeo. Non si tratta solo di una nuova normativa da rispettare, ma di un cambio di mentalità che trasforma la Cybersecurity da costo necessario a vantaggio competitivo.
Il DORA è solo l’inizio. L’Europa sta costruendo il framework più avanzato al mondo per la resilienza digitale del settore finanziario. Nei prossimi anni vedremo l’integrazione di AI, quantum computing e altre tecnologie emergenti nel framework di resilienza, possibili estensioni di principi simili ad altri settori critici dell’economia, e altri Paesi che potrebbero adottare standard simili.
Le organizzazioni che eccellono nell’implementazione del DORA oggi saranno i leader della finanza digitale europea di domani. Non si tratta solo di evitare sanzioni, ma di costruire le fondamenta per il successo nell’economia digitale del futuro.
Il Regolamento DORA trasforma una sfida normativa in un’opportunità strategica. Le aziende che lo abbracciano con visione e determinazione non solo raggiungeranno la compliance, ma si posizioneranno come protagonisti della nuova finanza digitale europea.
Contenuti suggeriti dell’Osservatorio Cybersecurity & Data Protection
