Il 17 gennaio 2025 è una data che segna una svolta per il settore finanziario europeo. Con l’entrata in vigore del regolamento europeo Digital Operational Resilience Act (DORA), le istituzioni finanziarie dello spazio economico europeo e i loro fornitori di servizi ICT sono chiamati a un cambiamento epocale: costruire un’architettura digitale capace di resistere a eventi critici e garantire la continuità operativa. Il settore finanziario è spinto da crescenti aspettative per servizi in tempo reale e comunicazioni digitali multicanale, soprattutto dai millennials. Per ottimizzare costi e scalabilità e per sfruttare anche innovazioni come AI e Generative AI, le istituzioni adottano infrastrutture cloud di terze parti, ampliando però la superficie d’attacco cyber oltre i confini tradizionali.
A pochi giorni dall’entrata in vigore, DORA si conferma non solo un insieme di requisiti tecnici, ma un nuovo modello di resilienza operativa. La trasformazione digitale, da una lato offre nuove opportunità di business, dall’altro ha creato interdipendenze fra gli attori economici del mondo finanziario e fra questi e i loro fornitori ICT che amplificano il rischio sistemico nel settore finanziario. Questo regolamento affronta tali rischi per proteggere il sistema e i cittadini europei.
Un impatto trasversale e immediato
La normativa interessa direttamente oltre 20.000 entità finanziarie nell’Area Economica Europea (EEA), inclusi banche, assicurazioni e operatori dei mercati dei capitali, oltre ai fornitori critici di servizi ICT.
Per molti, però, la strada per la conformità appare ancora in salita. Secondo la European Security Technologies and Strategies Survey 2024 di IDC, condotta a maggio del 2024, quasi la metà degli intervistati (49%) dichiarava di non aver ancora intrapreso azioni significative per adeguarsi a DORA, mentre il 14% non era nemmeno a conoscenza della normativa. E in un’indagine IDC condotta a ottobre 2024 (IDC Financial Insights Survey 2024, October 2024) emerge che solo 1 istituzione finanziaria su 4 si dichiarava pronta per la conformità con i dettami regolamentari di DORA in merito al coinvolgimento della board room e alla chiara definizione dei ruoli e delle responsabilità, mentre solo un ulteriore 36% ha dichiarato che sarebbe stata compliant per la scadenza di gennaio 2025, quindi il 40% degli intervistati ha dichiarato che non sarebbe stato conforme per tempo. Questi dati evidenziano un’urgenza: non solo per colmare le lacune regolamentari, ma anche per costruire una strategia di resilienza che garantisca stabilità in un contesto economico sempre più complesso e digitalizzato.
Armonizzazione e supervisione: due principi chiave di DORA
Tra le innovazioni introdotte, DORA si distingue per la volontà di assicurarsi che i dettami regolamentari siano coerenti fra i vari Paesi e che la supervisione della conformità ricada tanto sulle istituzioni finanziare quanto sui fornitori ICT a supporto delle funzioni critiche. Portare direttamente questi attori, sinora non regolamentati, sotto la supervisione diretta delle autorità di vigilanza finanziare rappresenta un significativo cambiamento di paradigma. I due principi guida possono essere così sintetizzati:
Armonizzazione regolamentare: Unifica i dettami regolamentari per oltre 20.000 imprese nell’EEA, e elimina discrepanze normative tra Stati membri grazie a un regolamento direttamente applicabile, semplificando il quadro normativo, per le imprese multinazionali.
Supervisione diretta dei fornitori ICT: Per la prima volta, i fornitori critici, come quelli cloud, sono sottoposti alla supervisione delle autorità europee di vigilanza finanziaria (EBA, ESMA, EIOPA) per ridurre il rischio sistemico derivante dalla dipendenza tecnologica.
DORA prevede un framework per una collaborazione più stretta fra istituzioni finanziarie e i partner ICT, garantendo una robustezza operativa end-to-end. Per i partner ICT, DORA non rappresenta solo un nuovo onere normativo, ma un’opportunità per rafforzare le relazioni con i clienti ed esplorare nuove opportunità di business, poiché le istituzioni finanziarie devono condurre ricerche di mercato e individuare soluzioni alternative per ogni funzione critica.
Una sfida di governance e mercato
DORA impone alle istituzioni finanziarie una gestione più rigorosa del rischio operativo e della governance dei fornitori terzi. Per mitigare il rischio sistemico il regolamento europeo definisce 5 pilastri a cui ricondurre i vari requisiti di conformità
- Gestione del rischio ICT
- Gestione, classificazione e segnalazione obbligatorie degli incidenti legati all’ICT
- Test di resilienza operativa digitale
- Gestione del rischio ICT derivante da terze parti
- Condivisione volontaria delle informazioni
Inoltre, le istituzioni finanziarie devono definire strategie di uscita chiare per mitigare il rischio sistemico nel caso di problemi operativi con un partner ICT esistente, identificando e selezionando soluzioni e fornitori alternativi per garantire il trasferimento senza interruzioni dei servizi critici, ove necessario.
Molti dei requisiti di DORA non sono nuovi per le grandi istituzioni, in particolare per le banche significative soggette al Meccanismo di Vigilanza Unico (SSM) della BCE, ma rappresentano una novità per altri enti finanziari soggetti alla normativa, tuttavia il principio di proporzionalità resta applicabile. L’impatto di DORA è comunque ampio, come evidenziato dall’indagine IDC, secondo cui il 38% degli intervistati indica i test di resilienza operativa digitale come la sfida maggiore, mentre il 33% segnala la gestione del rischio legato a terze parti ICT come un ostacolo significativo.
La gestione del rischio coinvolge nuovi attori oltre alle funzioni di controllo delle istituzioni finanziarie
DORA impone una gestione più rigorosa della governance dei fornitori terzi, ampliando il coinvolgimento interno nella gestione del rischio. Non solo l’IT, ma anche l’ufficio acquisti assume un ruolo chiave, come indicato nel regolamento e nei relativi standard tecnici.
Le istituzioni finanziarie devono modernizzare i processi di procurement per garantire una valutazione continua dei fornitori in termini di performance, conformità normativa e resilienza. DORA richiede anche l’integrazione di clausole specifiche nei contratti esistenti e futuri, il monitoraggio tramite un registro dei fornitori ICT e, se necessario, il coinvolgimento dei fornitori critici in test di penetrazione per individuare vulnerabilità.
Secondo un’indagine IDC di ottobre 2024, solo il 50% delle istituzioni finanziarie si sarebbe detto pronto a gennaio 2025 con la mappa delle funzioni critiche e dei relativi fornitori ICT. È quindi plausibile che l’ufficio acquisti diventi parte attiva del Sistema di Controlli Interni di Conformità, affiancando l’ICT Governance nel supporto alle funzioni di compliance e risk management.
Un’opportunità per il sistema finanziario
DORA, pur introducendo complessità, può catalizzare un cambiamento positivo. Rafforzare la resilienza digitale migliora sicurezza operativa e fiducia di investitori e clienti. Per i fornitori ICT, la conformità diventa un vantaggio competitivo, aprendo nuove opportunità di business.
Questo regolamento segna l’inizio di un percorso verso un sistema finanziario più resiliente e interconnesso, dove istituzioni e partner tecnologici che sfrutteranno questa opportunità guideranno un nuovo paradigma di innovazione e sicurezza.