DORA: resilienza digitale nel sistema finanziario italiano

DORA (Digital Operational Resilience) rappresenta il primo framework normativo europeo dedicato esclusivamente alla resilienza operativa digitale del settore finanziario. La sua implementazione risponde all'esigenza di standardizzare la gestione dei rischi ICT in un contesto dove la digitalizzazione sta trasformando i servizi finanziari.
Il decreto italiano non si limita a recepire passivamente la normativa europea, ma sostiene un approccio proporzionale che tiene conto delle specificità degli intermediari finanziari italiani. Questo principio di proporzionalità, elemento cardine dell'art. 4 DORA, consente di adattare i requisiti alle dimensioni, alla natura e alla complessità operativa di ciascun soggetto interessato.

Ambito di applicazione: chi sono i soggetti coinvolti

Il decreto definisce chiaramente che gli intermediari finanziari iscritti nell'albo ex art. 106 TUB saranno soggetti agli obblighi DORA a partire dal 1° gennaio 2027. Questa tempistica dilazionata rappresenta un elemento di particolare interesse, poiché consente agli operatori di prepararsi adeguatamente all'implementazione dei nuovi requisiti.
L'inclusione di Bancoposta nel perimetro applicativo estende significativamente la portata del decreto, considerando il ruolo strategico di questo operatore nel sistema dei pagamenti italiano. Per Bancoposta si applica il framework completo DORA, evidenziando l'attenzione del legislatore verso tutti i principali attori del settore finanziario.

I pilastri della resilienza digitale per gli intermediari finanziari

Quadro di gestione dei rischi ICT

Il cuore degli obblighi DORA per gli intermediari finanziari risiede nella possibilità di implementare un quadro semplificato per la gestione dei rischi informatici (art. 16 DORA). Questo framework, calibrato per le realtà di minori dimensioni, richiede:

• Procedure e politiche ICT proporzionate alle dimensioni e al profilo di rischio
• Strategie di protezione delle reti e dei sistemi informatici
• Misure ed azioni individuate nei paragrafi 1 e 2 dell'articolo 16 DORA.

La scelta del quadro semplificato riflette la consapevolezza del legislatore europeo che un approccio "one-size-fits-all" non sarebbe sostenibile per operatori con risorse limitate. Le società finanziarie ex art. 106 del TUB dovranno quindi valutare in fase di analisi se rientrano nei criteri per l'applicazione del quadro semplificato o se devono applicare il quadro completo di gestione dei rischi ICT previsto dagli articoli dal 5 al 15 del DORA.
Gestione degli incidenti ICT
Gli intermediari finanziari dovranno implementare processi strutturati per il rilevamento, la gestione e la segnalazione degli incidenti ICT (art. 17 DORA).

Questo processo deve includere:

• Indicatori di avvertimento precoce
• Categorizzazione degli incidenti per priorità e gravità
• Ruoli e responsabilità chiaramente definiti
• Piani di comunicazione per personale e stakeholder esterni
• Segnalazione degli incidenti principali alla direzione

La tempestività nella gestione degli incidenti diventa cruciale: l'obiettivo è identificare le cause principali per prevenire future occorrenze, assicurando il ripristino rapido dei servizi.
Classificazione e segnalazione degli incidenti
Il decreto introduce obblighi specifici per la classificazione degli incidenti ICT e delle minacce informatiche (art. 18 DORA).

I criteri includono:

• Numero di clienti interessati
• Durata dell'incidente
• Diffusione geografica
• Perdite di dati
• Impatto economico

La segnalazione dei gravi incidenti ICT alle autorità competenti segue un processo strutturato in fasi: notifica iniziale, aggiornamenti intermedi e rapporto finale. Questa procedura garantisce un monitoraggio continuo e la possibilità di interventi tempestivi da parte delle autorità di vigilanza. Anche in questo caso, in fase di analisi andranno analizzati i criteri indicati e andranno contestualizzati all’operatività dell’impresa al fine di implementare modelli di classificazione e processi di segnalazione adeguati.

Gestione dei rischi di terze parti

La gestione dei fornitori terzi di servizi ICT rappresenta uno degli aspetti più innovativi del framework DORA. Gli intermediari finanziari devono:

• Mantenere piena responsabilità del rispetto normativo
• Valutare i rischi prima della stipula dei contratti ICT
• Sviluppare strategie di uscita e piani di contingenza
• Mantenere un apposito registro di tutti gli accordi contrattuali ICT
• Comunicare annualmente alle autorità competenti informazioni sui nuovi accordi

Programma dei test di resilienza operativa

Gli intermediari finanziari (escluse le microimprese) devono implementare un programma robusto di test di resilienza operativa digitale (art. 24 DORA). Questo programma deve essere:
• Basato sul rischio e proporzionale alle vulnerabilità specifiche
• Condotto da parti indipendenti per evitare conflitti di interesse
• Comprensivo di procedure per affrontare i problemi identificati
• Eseguito almeno annualmente su tutti i sistemi critici ICT

Autorità di Vigilanza e regime sanzionatorio

Competenze delle Autorità

Il decreto attribuisce alla Banca d'Italia la vigilanza sui poteri relativi agli intermediari finanziari per gli aspetti DORA. Questo accentramento di competenze garantisce coerenza nell'applicazione e nell'interpretazione dei requisiti.
Le autorità competenti dispongono di poteri estesi, inclusa la possibilità di effettuare accessi e ispezioni presso i fornitori terzi di servizi ICT e di richiedere informazioni dettagliate sui sistemi e le procedure implementate.
Sistema Sanzionatorio
Il decreto introduce un regime sanzionatorio articolato che distingue tra violazioni più gravi e meno gravi. Per gli intermediari finanziari, le sanzioni variano da 30.000 euro fino al 10% del fatturato per le violazioni più gravi, mentre per quelle meno gravi si applica una sanzione fino al 7% del fatturato.
Particolarmente significativa è l'introduzione di sanzioni personali per gli esponenti aziendali, che possono arrivare fino a 5 milioni di euro per le violazioni più gravi, accompagnate dalla possibile interdizione della persona dalle funzioni di amministrazione, direzione e controllo.

Verso il 2027: preparazione e implementazione

L'entrata in vigore differita al 1° gennaio 2027 per gli intermediari finanziari offre un periodo di preparazione fondamentale.

Gli operatori dovranno:

1. Valutare l'infrastruttura ICT esistente rispetto ai requisiti DORA
2. Sviluppare procedure e politiche conformi al quadro normativo
3. Implementare sistemi di monitoraggio per la rilevazione degli incidenti
4. Rivedere i contratti con fornitori terzi per assicurare la conformità
5. Formare il personale sui nuovi obblighi e procedure

La sfida primaria sarà l'implementazione pratica di questi principali requisiti, che potrebbe richiedere investimenti in tecnologie, processi e competenze. Per gli operatori finanziari sarà cruciale farsi supportare nell’adeguamento da soggetti con esperienza già maturata in questi anni nei vari settori a cui si applica DORA, al fine di efficientare tempi e costi di intervento.
Gli intermediari finanziari che sapranno cogliere questa opportunità di trasformazione digitale non solo rispetteranno gli obblighi normativi, ma costruiranno un vantaggio competitivo sostenibile in un mercato sempre più digitalizzato e interconnesso.