Il Regolamento DORA impone al settore finanziario europeo un framework unificato di gestione del rischio ICT, con applicazione diretta dal 17 gennaio 2025 e responsabilità estesa ai fornitori tecnologici terzi. La conformità non è più un requisito discrezionale di buona governance IT, ma un obbligo giuridico con conseguenze sanzionatorie, di supervisione e reputazionali.
Ambito di applicazione
Il Regolamento DORA (Digital Operational Resilience Act, UE 2022/2554) stabilisce requisiti uniformi di sicurezza ICT e resilienza operativa digitale per le entità finanziarie, ed è pienamente applicabile dal 17 gennaio 2025 in tutti gli Stati membri, senza necessità di recepimento nazionale. Trattandosi di un regolamento e non di una direttiva, l'applicazione è immediata e uniforme, senza margini interpretativi lasciati alla normativa domestica.
Il perimetro soggettivo comprende 21 categorie di entità finanziarie: banche, assicurazioni, società di investimento, istituti di pagamento, gestori di fondi, agenzie di rating, fornitori di servizi crypto, e i fornitori terzi di servizi ICT designati come critici, come cloud provider e software vendor del settore finanziario. Rientrano inoltre le entità di infrastruttura di mercato, tra cui sedi di negoziazione, repertori di dati sulle negoziazioni, controparti centrali e fornitori di servizi di segnalazione dati, nonché agenzie di rating del credito, amministratori di benchmark critici e fornitori di servizi di informazione sui conti.
Un elemento di rilievo per le organizzazioni non europee, i fornitori terzi di servizi ICT sono soggetti ai requisiti DORA quando servono entità finanziarie dell'UE, indipendentemente dalla sede legale del fornitore. Il criterio di applicabilità è dunque il destinatario del servizio, non la giurisdizione del fornitore. Una software house extra-UE che eroga una piattaforma di trading a un istituto europeo rientra pertanto nel perimetro, a prescindere dalla propria sede legale.
Rilevanza strategica e profilo di rischio
Il DORA introduce un elemento di discontinuità rispetto al quadro normativo precedente: i fornitori terzi critici sono soggetti a supervisione diretta da parte del Lead Overseer designato dalle ESA, segnando la prima volta che l'Unione Europea istituisce una supervisione di questa natura su questa scala. La responsabilità di conformità non è più mediata esclusivamente dall'entità finanziaria, il fornitore tecnologico, se classificato come critico, risponde direttamente alle autorità di vigilanza europee.
Il profilo sanzionatorio si articola su due livelli distinti. Per i fornitori ICT critici, il regolamento consente agli organi primari di sorveglianza di imporre sanzioni pari all'1% del turnover mondiale medio giornaliero registrato nell'anno finanziario precedente, con applicazione giornaliera per un massimo di sei mesi fino al raggiungimento della piena conformità. Per le entità finanziarie, il regolamento non fissa massimali sanzionatori uniformi: le sanzioni amministrative sono definite dalle autorità nazionali competenti, in Italia identificate in Banca d'Italia, Consob, IVASS e COVIP, con possibilità di misure interdittive e responsabilità personale del management.
A questo si aggiunge un profilo di esposizione reputazionale strutturale: l'articolo 54 richiede alle autorità competenti di pubblicare le decisioni che impongono sanzioni amministrative sui propri siti ufficiali, incluse informazioni sulla natura della violazione e sull'identità dei responsabili. La divulgazione pubblica delle non conformità rende il rischio regolatorio direttamente osservabile da clienti, controparti e mercato.
Il framework di adeguamento in cinque pilastri
Il Regolamento struttura la resilienza operativa digitale su cinque pilastri, che coprono l'intero ciclo di vita del rischio ICT.
Gestione del rischio ICT. Framework documentato comprendente identificazione e documentazione delle funzioni aziendali, risorse e dipendenze legate all'ICT, valutazione continua del rischio, misure di protezione e prevenzione, capacità di rilevamento e procedure di risposta e recupero.
Segnalazione degli incidenti ICT. Il requisito di notifica entro 4 ore impone una capacità operativa di classificazione e reporting testata, non solo documentata. Per gli incidenti a potenziale sistemico, le autorità coordinano le risposte tramite l'European Systemic Cyber Incident Coordination Framework (EU-SCICF).
Test di resilienza operativa digitale. L'Articolo 23 stabilisce l'obbligo di condurre test di penetrazione basati su minacce (TLPT) almeno ogni tre anni, estesi ai processi ICT che supportano funzioni e servizi critici, compresi quelli esternalizzati a un fornitore di servizi.
Gestione del rischio di terze parti ICT. È il pilastro a maggiore densità prescrittiva. È richiesto che gli enti finanziari tengano un registro delle informazioni relative agli accordi contrattuali con fornitori terzi di servizi ICT e comunichino alle autorità competenti, con cadenza almeno annuale, i nuovi contratti stipulati con fornitori ICT. I diritti e gli obblighi delle parti devono essere stabiliti per iscritto, con facoltà per le autorità competenti di sospendere o risolvere i contratti non conformi.
Condivisione delle informazioni sulle minacce. Unico pilastro non vincolante: la condivisione delle informazioni è incoraggiata ma non obbligatoria.
Un'obiezione ricorrente tra gli operatori di dimensioni minori riguarda la sostenibilità degli oneri richiesti. Il Regolamento prevede un correttivo strutturale, il principio di proporzionalità previsto dall'articolo 4 consente alle entità più piccole di applicare requisiti proporzionati a dimensione, profilo di rischio e complessità, e le microimprese e alcune categorie minori beneficiano di un regime semplificato. La proporzionalità modula l'intensità applicativa, non la sussistenza dell'obbligo: nessun soggetto in perimetro è esente.
Tempistiche e coordinamento con il quadro NIS2
Il Regolamento è pienamente vigente. Per le organizzazioni con percorsi di adeguamento non ancora completati, l'esposizione al rischio sanzionatorio e di supervisione è già attiva, non prospettica.
Per i gruppi societari che operano contemporaneamente nel perimetro finanziario e in settori regolati dalla Direttiva NIS2, si applica un criterio di prevalenza normativa definito: il DORA è un regolamento specifico per il settore finanziario e prevale sulla NIS2 in base al principio di specialità (lex specialis), fermo restando che un gruppo bancario con società non finanziarie può trovarsi a gestire entrambi i regimi. Poiché entrambe le normative richiedono gestione del rischio, notifica degli incidenti, responsabilità del management e formazione del personale, l'approccio raccomandato è un modello di governance unificato del rischio ICT, con applicazione normativa differenziata per singola entità giuridica del gruppo.
Conclusioni operative
La valutazione di adeguatezza non può fondarsi sull'implementazione formale delle misure tecniche richieste. Tre indicatori operativi definiscono lo stato reale di conformità: l'aggiornamento del registro dei fornitori ICT critici, la presenza nei contratti in essere delle clausole di audit e di way-out richieste dal Regolamento, e l'esistenza di un piano di rimedio effettivamente eseguito a valle dell'ultima simulazione TLPT. L'assenza di certezza su anche uno solo di questi tre punti configura un'esposizione non più solo tecnologica, ma di vigilanza diretta.
Vuoi verificare il tuo stato di conformità DORA?
Il team Compliance di Valuemate affianca le entità finanziarie e i fornitori ICT nella gestione del rischio, nel registro fornitori e nella preparazione ai test di resilienza.
Scopri il servizio