Punti chiave
- Panoramica sulla conformità DORA: Il Digital Operational Resilience Act (DORA) è un regolamento dell’UE (in vigore dal 2023) che standardizza i requisiti di cybersecurity, gestione del rischio ICT e resilienza digitale per le istituzioni finanziarie.
- Chi deve essere conforme al DORA: Il DORA si applica a un’ampia varietà di entità finanziarie dell’UE, tra cui banche, assicuratori, gestori patrimoniali, istituti di pagamento, sedi di trading, agenzie di rating del credito, piattaforme di crowdfunding, fornitori di servizi di cripto-asset e fornitori di servizi ICT di terzi.
- Requisiti chiave DORA:
- Gestione del rischio ICT: Identifica, riduci i rischi e monitora costantemente le minacce informatiche con controlli efficaci, crittografia e governance.
- Reportistica sugli incidenti: Stabilisci protocolli di reporting per comunicare tempestivamente con le autorità di regolamentazione, i clienti e le parti interessate.
- Test di resilienza: Valutazioni annuali delle vulnerabilità, test di penetrazione (TLPT) e valutazioni indipendenti delle difese digitali.
- Gestione del rischio di terzi: Supervisione continua dei fornitori, dei provider ICT e dei servizi in outsourcing.
- Condivisione delle informazioni: Collaborazione intersettoriale per condividere le informazioni sulle minacce e migliorare le difese.
- Vantaggi della conformità DORA: Aumenta la resilienza della cybersicurezza, riduce al minimo le interruzioni, migliora la trasparenza, crea fiducia con le autorità di regolamentazione, gli azionisti e i clienti e rafforza la stabilità del settore finanziario in tutta l’UE.
- Sfide per le PMI: La conformità può richiedere molte risorse; le piccole e medie imprese spesso si affidano a fornitori di servizi gestiti (MSP) o a piattaforme di gestione IT all-in-one per un’implementazione economicamente vantaggiosa.
- Passi per raggiungere la conformità:
- Esegui un’ analisi delle lacune di conformità per identificare i punti deboli.
- Progetta un quadro strutturato di gestione del rischio ICT con chiari ruoli di leadership.
- Sviluppa un solido piano di risposta agli incidenti e di continuità operativa.
- Verifica e allinea i contratti con i fornitori terzi con i requisiti DORA.
- Conduci test regolari di resilienza e monitora costantemente le prestazioni dei sistemi.
- Impatto globale: Il DORA integra le normative esistenti come il GDPR e il NIS2, creando un precedente per i quadri di resilienza operativa digitale a livello globale al di là dell’UE.
- Perché è importante: Poiché i cyberattacchi diventano sempre più sofisticati, il DORA garantisce che gli istituti finanziari siano più preparati, più trasparenti e più sicuri, riducendo i rischi sistemici e salvaguardando la fiducia dei clienti.
Poiché gli istituti finanziari si affidano sempre più alla tecnologia, migliorare la resilienza operativa e rafforzare la protezione dei dati diventa sempre più importante. Tali standard sono stabiliti da normative come il Digital Operational Resilience Act (DORA).
Questo articolo esamina la normativa DORA, i suoi requisiti principali e le modalità per ottenere la conformità del settore finanziario nell’UE. Per un rapido approfondimento visivo, dai un’occhiata alla nostra video-guida Che cos’è la conformità al Digital Operational Resilience Act (DORA)?
Che cos’è il Digital Operational Resilience Act (DORA)?
La legge sulla resilienza operativa digitale è un quadro completo che applica metodi di gestione del rischio per garantire la competenza delle istituzioni finanziarie dell’UE contro i cyberattacchi.
Prima della sua attuazione, le banche, le compagnie di assicurazione e i grandi investitori utilizzavano protocolli semplici ma poco rigorosi, come l’accantonamento di capitale per pagare le potenziali perdite, per prepararsi agli incidenti informatici. Inoltre, le normative pre-DORA esistenti variano tra gli Stati membri dell’UE, con conseguenti incoerenze.
Anche grazie all’entrata in vigore del DORA nell’Unione Europea nel 2023, i sistemi finanziari stanno compiendo uno sforzo più unificato e proattivo per difendere le proprie infrastrutture e risorse digitali dalle minacce online.
A chi si applica il DORA?
Il Digital Operational Resilience Act si applica alle seguenti istituzioni dell’UE:
1. Servizi di pagamento e conti correnti
- Fornitori di servizi di informazione sui conti correnti (AISP): Raccolgono e gestiscono le informazioni sui conti di pagamento.
- Istituti di pagamento: Forniscono servizi di pagamento.
- Istituti di moneta elettronica (con quelli esenti): Emissione di moneta elettronica e report sulla trasparenza.
2. Investimenti e gestione patrimoniale
- Società di investimento: Offrono opportunità di gestione patrimoniale e di investimento.
- Società di gestione: Fondi di investimento principali.
- Gestori di fondi di investimento alternativi (GEFIA): Gestiscono hedge fund, private equity e altri fondi alternativi.
3. Assicurazioni e pensioni
- Compagnie di assicurazione e riassicurazione: Forniscono copertura assicurativa e di rischio.
- Intermediari assicurativi: Broker/agenti che vendono prodotti assicurativi.
- Istituti di previdenza professionale (IORP): Gestiscono le pensioni dei dipendenti.
- Istituti di previdenza: Offrono prodotti di previdenza.
4. Infrastruttura di mercato e trading
- Sedi di trading: Piattaforme per la compravendita di strumenti finanziari (mercati regolamentati, MTF, OTF).
- Controparti centrali (CCP): Riducono il rischio di controparte nelle transazioni.
- Depositari centrali di titoli (CSD): Detengono e trasferiscono titoli.
5. Dati, trasparenza e reporting
- Fornitori di servizi di reporting dei dati (DSRP): Effettuano report dei dati finanziari per la trasparenza.
- Repository di messa in sicurezza: Mantengono i registri della messa in sicurezza delle transazioni.
- Repository commerciali: Centralizzano e conservano i registri degli scambi per la supervisione normativa.
- Agenzie di rating del credito: Valutano la qualità del credito degli emittenti.
- Amministratori di benchmark critici: Definiscono i principi guida (per esempio LIBOR, EURIBOR).
6. Finanza alternativa e innovazione
- Fornitori di servizi di crowdfunding: Facilitano la raccolta di fondi pubblici.
- Fornitori di servizi di criptovaluta ed emittenti di token legati ad asset: Forniscono servizi di criptovaluta ed emettono token legati ad asset.
7. Tecnologia e outsourcing
- Fornitori di servizi ICT di terze parti: Forniscono servizi IT alle istituzioni finanziarie.
8. Prestito
- Prestatori di mutui: Forniscono prestiti garantiti da immobili.
Anche i fornitori di software di terze parti sono soggetti alle linee guida del DORA. Poiché gli MSP si intrecciano con i processi critici delle istituzioni finanziarie, qualsiasi forma di non conformità comporterà sanzioni “efficaci, proporzionate e dissuasive” e un impatto negativo sulla loro reputazione.
La conformità totale riduce al minimo le interruzioni delle operazioni e migliora gli standard di sicurezza informatica dell’organizzazione, rafforzando l’infrastruttura digitale dello stato finanziario generale dell’UE.
Requisiti fondamentali per la conformità al DORA
Gestione del rischio ICT
La legge sulla resilienza operativa digitale prevede l’identificazione, la riduzione del rischio e il monitoraggio continuo delle minacce presenti ed emergenti. Il primo passo è la gestione del rischio.
Controlla i privilegi degli utenti, mantieni i dati accurati e intatti e utilizza una crittografia di livello governativo per tenere tutto al sicuro. Queste misure (e i sistemi interni di salvaguardia delle informazioni) devono essere mantenute e ottimizzate da professionisti che possono essere ritenuti responsabili.
Reportistica sugli incidenti
Le istituzioni finanziarie devono sviluppare tempestivamente un proprio protocollo per la valutazione e la reportistica sugli incidenti.
Crea registri dettagliati degli incidenti e implementa solidi protocolli di risposta, valuta i risultati, mantieni canali adeguati con le autorità e riferisci in modo coerente a clienti e azionisti.
Strategie di test e resilienza
Il DORA impone alle istituzioni finanziarie di testare annualmente le proprie difese digitali in tre modi: test avanzati di vulnerabilità sui sistemi di tecnologia dell’informazione e della comunicazione (ICT), valutazione indipendente dei punti deboli della propria infrastruttura e test di penetrazione guidati dalle minacce (TLPT) che simulino attacchi reali.
Ma non è tutto. L’organizzazione deve inoltre creare e conservare la documentazione relativa a queste prove, che dovrebbe includere le metodologie e i passi aggiuntivi compiuti per correggere i problemi nel tuo ecosistema digitale.
🛑 Identifica, valuta, riduci i rischi e correggi in modo proattivo le vulnerabilità dell’ambiente IT.
Leggi questa guida su come ridurre i rischi legati alle vulnerabilità.
Gestione del rischio di terzi
I fornitori terzi devono essere costantemente monitorati e valutati per garantire che rispettino i rigorosi requisiti del DORA.
Valuta ogni fornitore di terze parti in base alle capacità tecniche, al livello di sicurezza e ai piani di disaster recovery . Inoltre, i contratti con i terzi devono essere ineccepibili e tutti gli standard DORA devono essere applicati.
Condivisione di informazioni e cooperazione
DORA incoraggia i membri del settore finanziario a condividere tra loro le conoscenze sulle minacce informatiche in continua evoluzione. Le reti che condividono gli incidenti relativi alle nuove minacce informatiche e alle ultime metodologie dei malintenzionati sono fonti di informazioni preziose per i team IT e possono aiutare a prevenire problemi di reputazione che potrebbero avere un impatto sulle pubbliche relazioni. Per le statistiche di cybersecurity del 2025: Studi recenti suggeriscono che gli attori delle minacce sono in grado di penetrare nel 93% delle reti delle organizzazioni.
Quali sono i vantaggi della conformità al DORA?
La tecnologia è in rapida evoluzione, quindi DORA offre alle istituzioni finanziarie un’ulteriore linea di difesa contro le minacce sofisticate emergenti. La conformità ti tutela e apre la strada a una produttività ininterrotta, dando alla tua azienda quel vantaggio costante che le consente di rimanere ai vertici del mercato.
È stato inoltre dimostrato che le pratiche dei nuovi standard dell’UE funzionano bene per le aziende, creando fiducia con le autorità di regolamentazione, gli azionisti e i potenziali clienti. Uno studio del 2024 del Future Business Journal ha dimostrato che la trasparenza della cybersecurity ha avuto un impatto positivo sulle prestazioni delle banche e ha incoraggiato un maggior numero di banche a seguire l’esempio. In poche parole, la conformità al DORA offre ai clienti maggiore fiducia nella sicurezza del loro denaro.
Conformità al DORA: Le sfide più grandi
Se da un lato la conformità al DORA offre vantaggi alle istituzioni finanziarie, dall’altro l’implementazione di tali standard pone alcune sfide, soprattutto per le organizzazioni di piccole e medie dimensioni. L’adozione di misure di sicurezza conformi agli standard DORA richiede un notevole dispendio di risorse e di lavoro, che a volte le PMI non possono affrontare da sole a causa delle dimensioni e dei limiti di budget.
Per questo motivo, alcune di esse si rivolgono ai fornitori di servizi gestiti (MSP) per ottenere ulteriore assistenza, molti dei quali sono in grado di fornire supporto ICT senza costare una fortuna. Altre adottano strumenti di gestione all-in-one e convenienti per eliminare i problemi dell’IT a costi contenuti.
Passi per ottenere la conformità DORA
1. Effettua un’analisi delle lacune di conformità
In primo luogo, esegui un’analisi delle lacune confrontando ciò che hai già con ciò che vuoi ottenere attraverso gli standard DORA. Considera i risultati ricavati durante questa fase come un diagramma di Venn che ti aiuti a capire cosa manca nella tua struttura IT. Per farlo:
- Identifica il divario tra la tua struttura e le esigenze del DORA.
- Classifica le mancanze in base all’importanza.
- Crea piani d’azione tempestivi per affrontarli in modo efficace
2. Stabilisci un quadro di gestione del rischio ICT
Quindi, crea una struttura di gestione nella tua organizzazione e assegna ruoli chiari. Questo framework di sicurezza informatica di DORA dovrebbe permetterti di:
- Assegnare ruoli chiari nella struttura di leadership.
- Valutare i rischi che incidono sulle operazioni (per esempio ransomware, guasti di sistema ecc.).
- Creare strategie per ridurre i rischi noti (per esempio firewall, accesso con privilegi minimi, unità crittografate).
- Coordinarsi in modo diretto con la risposta agli incidenti e il disaster recovery.
- Monitorare e rivedere i casi passati e i criteri attuali, man mano che emergono nuove minacce.
3. Sviluppa un solido piano di risposta agli incidenti
Gli imprevisti accadono e devi essere pronto ad affrontarli 24 ore su 24, 7 giorni su 7. Ecco cosa ti serve secondo il DORA:
- Definisci gli incidenti in base alla gravità e alla frequenza.
- Delinea i passaggi in modo chiaro, in modo che i partner interni ed esterni possano affrontare e contenere gli incidenti, riducendo i rischi.
- Delega i ruoli nella preparazione a eventuali incidenti futuri.
- Sviluppa misure di continuità aziendale per ripristinare i dati e rimettere rapidamente in funzione i sistemi.
- Esegui regolarmente esercitazioni/simulazioni per verificare la necessità di eventuali miglioramenti necessari. Per approfondire maggiormente, consulta la guida Elenco di controllo della sicurezza IT, per proteggere la tua azienda.
4. Collabora con fornitori terzi per verificare la conformità
Fai ricerche sui fornitori terzi che impieghi, per garantire la totale conformità al DORA. Ecco come:
- Assicurati che il tuo fornitore segua le best practice sulla sicurezza e sui criteri di protezione dei dati.
- Incorpora gli standard di conformità DORA nei contratti dell’organizzazione. Per ulteriori informazioni al riguardo, raccomandiamo la lettura della nostra guida sui Contratti per servizi gestiti per MSP .
- Monitora costantemente le prestazioni attraverso audit.
- Collabora per risolvere le lacune della tua infrastruttura.
- Mantieni una linea di comunicazione aperta.
Leggi questa guida → Come scegliere un fornitore di servizi IT affidabile
5. Test e monitoraggio regolari della resilienza
Testa la resilienza delle misure di sicurezza dei tuoi sistemi attraverso simulazioni:
- Esegui test di sicurezza annuali.
- Valuta le vulnerabilità dei sistemi ogni 4 mesi.
- Utilizza il TLPT per simulare attacchi reali.
- Monitora costantemente le prestazioni, la disponibilità e la sicurezza del sistema durante i test.
- Analizza i risultati per identificare i punti deboli e i modi per migliorare.
- Rivedi e intensifica i protocolli di sicurezza, i piani di ripristino e la risposta agli incidenti.
Come il DORA influenzerà il futuro della conformità del settore finanziario
DORA integra gli standard e i regolamenti già esistenti nell’UE, come il Regolamento generale in materia di protezione dei dati (GDPR) e la direttiva sulla sicurezza NIS2, al fine di migliorare l’integrità digitale complessiva del settore finanziario.
Questo importante passo verso migliori standard di resilienza operativa probabilmente ispirerà altri Paesi al di fuori dell’UE ad adottare principi simili, come il GDPR, che stabilisce un precedente a livello mondiale per la regolamentazione dei dati e la sicurezza operativa.
Allineandosi su quadri di sicurezza nuovi e solidi come il DORA, i Paesi possono promuovere una comunità mondiale più sana e meglio equipaggiata per affrontare le odierne minacce digitali.
Il tuo percorso di conformità al DORA
Il DORA impone standard di gestione del rischio più severi per le banche e le altre società finanziarie dell’Unione Europea. Il quadro di riferimento del DORA richiede la formazione di una leadership per la gestione del rischio ICT, una reportistica rapida e affidabile sugli incidenti, l’esecuzione di test coerenti, la valutazione di fornitori terzi e la condivisione delle informazioni.
Le grandi istituzioni finanziarie sono la linfa vitale dell’economia e, sebbene gli incidenti possano accadere, è un dovere ridurre al minimo il rischio. Seguire il DORA garantisce alla tua organizzazione meccanismi di controllo più efficaci, misure di sicurezza informatica di primissimo livello e molto altro, quindi inizia oggi stesso il tuo percorso vero la conformità.