Il panorama finanziario europeo, sempre più dipendente dalle tecnologie dell’informazione e della comunicazione (ICT), affronta rischi operativi digitali crescenti, attacchi informatici, guasti e interruzioni da terze parti minacciano la stabilità e la fiducia, con l’interconnessione globale che amplifica tali rischi a livello sistemico.
In risposta, l’UE ha introdotto il Regolamento DORA (Digital Operational Resilience Act) (UE 2022/2554), per armonizzare e rafforzare la gestione del rischio ICT nel settore finanziario. Si tratta di una risposta concertata alle minacce transfrontaliere, che tenta di superare quadri normativi nazionali frammentati sul presupposto che un attacco in uno Stato membro può avere effetti a cascata in tutta l’Unione.
In Italia, il Decreto Legislativo 23/2025 è lo strumento nazionale per coordinare l’ordinamento interno con DORA, che si focalizza sull’interazione tra mandato europeo e applicazione nazionale, mirando a creare parità per le entità transfrontaliere, pur consentendo alle autorità nazionali di bilanciare l’adesione all’UE con le “specificità nazionali” e le priorità di vigilanza.
Di fatto, DORA si pone come un punto di riferimento normativo che crea un quadro unificato per la gestione dei rischi ICT nel settore finanziario, volto a garantire la continuità delle funzioni critiche e tutelare stabilità e integrità del mercato.
Il suo ambito include strategicamente i fornitori terzi e critici di servizi ICT, riconoscendo che la loro vulnerabilità può generare un rischio sistemico, e cerca di colmare le lacune normative esistenti, con l’imposizione di standard di resilienza coerenti lungo l’intera catena digitale, prevenendo interruzioni sistemiche e favorendo un ambiente finanziario più sicuro, pur comportando un maggiore onere per tali fornitori.
I principi cardine di DORA si articolano in cinque pilastri fondamentali, ciascuno progettato per rafforzare la capacità delle entità finanziarie di resistere, rispondere e recuperare da interruzioni operative digitali; segnatamente:
a) Gestione del rischio ICT: questo pilastro impone l’adozione di un quadro di gestione del rischio ICT documentato, in forza del quale le entità finanziarie devono identificare in modo proattivo rischi ICT rilevanti, misurarne l’impatto potenziale, implementare controlli adeguati per mitigarli e monitorarli costantemente. Un’attenzione specifica è posta sull’identificazione delle funzioni aziendali critiche e sulla mappatura degli asset ICT sottostanti che le supportano, inclusa la catena di fornitura in un processo continuo di valutazione e gestione del rischio funzionale a prioritizzare gli investimenti in sicurezza ed a mantenere un’immagine chiara della loro esposizione.
b) Gestione e segnalazione degli incidenti ICT: sono stabiliti requisiti puntuali per la gestione interna e la segnalazione degli incidenti ICT, inclusa la definizione di processi per la classificazione degli incidenti in base a criteri di gravità e impatto, e l’implementazione di procedure per la notifica tempestiva e coerente degli incidenti rilevanti alle autorità competenti con l’obiettivo di garantire che queste ultime ricevano informazioni accurate e standardizzate in modo rapido, facilitando una risposta coordinata e la comprensione del potenziale impatto sistemico, oltre a condurre analisi post-incidente per trarre insegnamenti e migliorare continuamente le proprie difese.
c) Test di resilienza operativa digitale: le entità finanziarie sono altresì obbligate a condurre test regolari della loro resilienza operativa digitale che vanno oltre le semplici verifiche di conformità, includendo esercizi basati su scenari per simulare attacchi e interruzioni reali. Per le entità di maggiori dimensioni o ritenute critiche, DORA introduce l’obbligo di eseguire test di penetrazione basati sulle minacce (TLPT); simulazioni avanzate di attacchi informatici condotte da “red teams” etici, progettate per replicare le tattiche, tecniche e procedure di attori di minaccia sofisticati.
d) Gestione del rischio ICT di terze parti: riconoscendo la crescente dipendenza del settore finanziario dai fornitori di servizi ICT esterni, il regolamento introduce un quadro rigoroso per la gestione dei rischi associati a tali dipendenze obbligando le entità finanziarie a condurre una due diligence approfondita sui fornitori, negoziare requisiti contrattuali specifici che includano clausole su audit, sicurezza dei dati, strategie di uscita e continuità del servizio. Inoltre, i fornitori terzi critici saranno soggetti a una supervisione diretta da parte di un “Lead Overseer”, tipicamente una delle Autorità Europee di Vigilanza (AEV), che valuterà la loro resilienza e stabilità per mitigare il rischio sistemico derivante da un’interruzione di un singolo fornitore che serve molteplici istituzioni finanziarie.
e) Condivisione delle informazioni: DORA incoraggia e facilita lo scambio di informazioni e intelligence sulle minacce informatiche e sulle vulnerabilità tra le entità finanziarie. Questo pilastro promuove una difesa collettiva, consentendo alle istituzioni di apprendere dalle esperienze altrui e di rafforzare proattivamente le proprie difese contro minacce emergenti. La condivisione delle informazioni avviene attraverso meccanismi come comunità di fiducia e piattaforme di intelligence sulle minacce, contribuendo a costruire una maggiore consapevolezza situazionale e una risposta più efficace a livello di settore.
Sembra opportuno sottolineare che DORA, essendo un Regolamento UE, è direttamente vincolante in tutti gli Stati membri, sebbene le autorità nazionali mantengano un ruolo determinante nella supervisione e nelle specifiche implementazioni ed in effetti il Decreto Legislativo 23/2025 designa le autorità competenti (Banca d’Italia e CONSOB), impone sanzioni e integra DORA nella vigilanza nazionale.
In buona sostanza, il quadro normativo descritto rafforza la governance, assegnando la responsabilità ultima per il rischio ICT direttamente all’organo di gestione rendendo esiziale che consigli di amministrazione e dirigenti comprendano i rischi digitali, integrando la resilienza ICT nella strategia aziendale e allocando risorse adeguate.
Una tale responsabilità eleva il rischio ICT a livello di imperativo strategico e di governance, richiedendo il coinvolgimento attivo della leadership senior trasformando la resilienza ICT in un dovere fiduciario, spingendo a investimenti significativi in infrastrutture, sicurezza e talenti con la conseguenza che le metriche di resilienza ICT diverranno standard nelle agende dei CDA, promuovendo un approccio integrato alla gestione del rischio.
La gestione degli incidenti ICT dovrà essere standardizzata attraverso un quadro procedurale ben definito attraverso la definizione chiara dei ruoli e delle responsabilità per la gestione degli incidenti, la creazione di piani di risposta agli incidenti dettagliati e l’implementazione di un sistema di notifica tempestiva che assicuri che le autorità competenti, come la Banca d’Italia e la CONSOB, siano informate senza indugio in caso di eventi significativi. Parallelamente, dovranno essere implementate solide procedure interne per il contenimento, l’analisi forense, il ripristino e l’analisi post-mortem degli incidenti, al fine di trarre lezioni e migliorare continuamente la resilienza.
Sarà infine fondamentale rafforzare la due diligence e il monitoraggio costante dei fornitori ICT terzi critici attraverso una valutazione approfondita delle capacità di sicurezza e della resilienza dei fornitori prima della stipula del contratto, l’implementazione di clausole contrattuali che garantiscano l’allineamento con i requisiti del Regolamento, e un monitoraggio continuo delle loro prestazioni e della loro conformità.
La resilienza dovrà essere incorporata nei processi operativi quotidiani, dalla progettazione dei sistemi alla gestione del ciclo di vita dei servizi, e dovrà essere sostenuta da un’adeguata governance che garantisca la responsabilità e il monitoraggio continuo delle iniziative di resilienza. Solo attraverso un approccio integrato sarà possibile garantire una protezione efficace contro le minacce informatiche in continua evoluzione e assicurare la continuità delle operazioni essenziali.
La scadenza del 17 gennaio 2025 è critica ed è necessario un approccio proattivo.
Avv. Giuseppe Serafini
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
