Il Digital Operational Resilience Act (DORA) è in vigore da oltre un anno. Eppure, tra l’obbligo normativo e la reale capacità operativa di banche, intermediari finanziari ed enti pubblici, il divario rimane ampio. Ne abbiamo parlato con Antonio Burinato, direttore generale di Innovaway, che ha le idee molto chiare su dove stia il vero nodo del problema.
“Il problema non è la volontà di adeguarsi – esordisce Burinato -. È la difficoltà concreta di governare infrastrutture IT sempre più frammentate e complesse. La maggior parte delle organizzazioni non manca di intenzione: manca della capacità tecnologica di tradurre gli obblighi normativi in processi realmente sostenibili, che possano reggere la pressione operativa quotidiana che DORA implica”.
Il paradosso che frena la compliance
DORA impone alle organizzazioni di identificare, proteggere, rilevare, rispondere e ripristinare sistemi e servizi critici. Requisiti che richiedono visibilità costante e reattività immediata. Il guaio è che, proprio mentre la normativa alza l’asticella della resilienza, la complessità dei sistemi IT non smette di crescere.
“Le architetture moderne sono distribuite su cloud ibridi, affidate a decine di fornitori terzi, composte da microservizi che comunicano attraverso API – spiega Burinato -. Gli incidenti non sono più eventi isolati: si propagano rapidamente attraverso catene di dipendenze difficili da mappare. Il monitoraggio tradizionale, basato su alert isolati e intervento umano reattivo, diventa semplicemente inadeguato”.
Più agenti AI, più problemi?
La risposta del mercato è stata introdurre agenti AI specializzati: strumenti in grado di analizzare log di database, scrutare il traffico di rete, rilevare pattern di accesso anomali. Ma qui, secondo Burinato, emerge un secondo paradosso: più agenti si aggiungono, più si moltiplicano i silos informativi.
Per spiegarlo, il manager ricorre a uno scenario concreto e fin troppo familiare a chi opera in ambienti mission-critical. “Immaginiamo le 3:30 di notte. Un agente segnala un’anomalia nelle query di un database critico. Pochi istanti dopo, un secondo agente rileva traffico sospetto verso un data center. Un terzo identifica tentativi di accesso falliti da IP geograficamente dispersi. Risultato: tre alert, tre dashboard separate, un team già sotto pressione che deve rispondere nel rispetto delle finestre temporali DORA. Ogni minuto di ritardo nel capire il quadro complessivo può tradursi in danni operativi o sanzioni normative”.
La svolta è nell’orchestrazione, non nella quantità
La vera discontinuità, sostiene Burinato, non arriva dall’adozione di nuovi agenti AI, ma dal passaggio alla loro orchestrazione. “Non si tratta di aggiungere strumenti – precisa -. Si tratta di un cambio di paradigma: trasformare agenti isolati in un sistema collaborativo e intelligente, governato da un cervello centrale capace di gestire flussi di lavoro complessi end-to-end”.
In un sistema orchestrato, eventi provenienti da fonti diverse — sicurezza, infrastruttura, applicazioni — vengono connessi automaticamente. Il sistema identifica relazioni causa-effetto che sfuggirebbero all’analisi frammentata, contestualizza gli incidenti incrociando dati storici, configurazioni e dipendenze tra servizi, e genera raccomandazioni prioritizzate in base alla gravità tecnica, all’impatto operativo e ai requisiti normativi. Il tutto adattandosi dinamicamente all’evoluzione della situazione.
Cosa guadagna concretamente un’organizzazione soggetta a DORA
I vantaggi dell’orchestrazione nel contesto DORA vanno ben oltre l’efficienza operativa. Burinato ne elenca i principali.
Compliance automatizzata al reporting. “DORA impone la notifica degli incidenti IT entro tempistiche precise: poche ore per quelli gravi, 72 ore per quelli intermedi. Un sistema orchestrato classifica automaticamente gli incidenti, prepara la documentazione e attiva i flussi di escalation, riducendo il rischio di mancata conformità”
Visibilità end-to-end sulle dipendenze critiche. DORA richiede la mappatura dettagliata delle relazioni tra sistemi, servizi e fornitori terzi. L’orchestrazione mantiene questa mappa aggiornata in tempo reale e valuta l’impatto a cascata di ogni disservizio.
Testing di resilienza continuo e adattivo. Invece di simulazioni periodiche e statiche, il sistema implementa scenari di test dinamici che evolvono in base alle configurazioni reali, alle minacce emergenti e ai pattern di incidente osservati.
Riduzione degli RTO/RPO. Coordinando automaticamente le azioni di recovery e mobilitando le risorse senza ritardi decisionali, l’orchestrazione comprime i tempi di ripristino dei servizi critici.
Audit trail automatico e immutabile. Ogni azione e decisione viene registrata in modo strutturato, producendo la documentazione probatoria necessaria agli auditor — senza oneri aggiuntivi per i team operativi.
Rendere DORA sostenibile nel tempo
“L’orchestrazione degli agenti AI non è una risposta tattica all’ennesima normativa – conclude Burinato -. È la soluzione tecnologica che rende scalabile e sostenibile la complessità operativa richiesta da DORA, trasformando un corpus regolamentare articolato in processi automatizzati, tracciabili e continuamente migliorabili. Per le organizzazioni che vogliono essere davvero resilienti — e non solo formalmente compliant — la differenza tra agenti AI isolati e agenti AI orchestrati può essere la differenza tra il controllo e il caos”.