Introduzione al Tema
Il settore finanziario è sempre più dipendente dalle tecnologie dell'informazione e della comunicazione (ICT), e questa dipendenza crea vulnerabilità sistemiche che possono avere conseguenze catastrofiche per la stabilità finanziaria. DORA risponde a questa realtà creando un framework regolamentare armonizzato in tutta l'UE, sostituendo la frammentazione normativa precedente dove ogni Stato membro aveva approcci diversi alla resilienza operativa digitale.
L'obiettivo di DORA non è solo proteggere le singole istituzioni finanziarie, ma garantire la stabilità complessiva del sistema finanziario europeo. Gli incidenti cyber in istituzioni interconnesse possono propagarsi rapidamente attraverso il sistema, creando rischi sistemici. Per questo DORA adotta un approccio olistico che copre non solo la gestione del rischio ICT, ma anche gestione degli incidenti, testing di resilienza operativa, gestione del rischio di terze parti ICT, e condivisione di informazioni sulle minacce.
Per gli studi legali che assistono clienti del settore finanziario, DORA rappresenta un'area di competenza essenziale. La complessità del regolamento, le sue interazioni con altre normative come NIS2 e GDPR, e le implicazioni contrattuali nella gestione dei fornitori ICT creano numerose questioni legali. Inoltre, DORA introduce requisiti di governance che impattano board e senior management, rendendo necessaria consulenza legale qualificata per garantire la conformità.
Ambito di Applicazione e Entità Finanziarie Coperte
DORA si applica a un'ampia gamma di entità finanziarie: banche, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, crypto-asset service providers, gestori di fondi, compagnie assicurative e riassicurative, intermediari assicurativi, trading venues, depositari centrali, agenzie di rating del credito, e altri soggetti finanziari regolamentati. In totale, oltre 20 categorie di entità finanziarie sono esplicitamente incluse.
Una novità fondamentale è l'inclusione dei fornitori di servizi ICT di terze parti che forniscono servizi a entità finanziarie. Questi fornitori, se classificati come critici (Critical ICT Third-Party Service Providers), saranno soggetti a un regime di oversight diretto da parte delle autorità europee di supervisione finanziaria. Questo rappresenta un cambio radicale, portando fornitori di tecnologia che tradizionalmente non erano regolamentati sotto la supervisione delle autorità finanziarie.
La classificazione come fornitore critico dipende da diversi fattori: il numero e l'importanza sistemica delle entità finanziarie clienti, la dipendenza di queste entità dal fornitore, la difficoltà di sostituire il fornitore, e l'impatto potenziale sulla stabilità finanziaria in caso di failure del fornitore. I grandi cloud provider, i fornitori di servizi di pagamento, e altri provider di infrastrutture critiche rientreranno quasi certamente in questa categoria.
Aspetti Tecnici e Implementativi
DORA richiede alle entità finanziarie di implementare un framework completo di gestione del rischio ICT che copra tutti i sistemi informativi e le reti utilizzate. Questo framework deve essere basato sul rischio, proporzionato alla dimensione e al profilo di rischio dell'entità, e deve essere continuamente aggiornato per riflettere l'evoluzione delle minacce e delle tecnologie. L'identificazione e classificazione degli asset ICT, la valutazione del rischio, e l'implementazione di controlli appropriati sono elementi fondamentali.
La gestione degli incidenti relativi all'ICT richiede capacità di rilevamento rapido, classificazione accurata, e risposta efficace. DORA stabilisce categorie di incidenti e threshold specifici che determinano quando un incidente deve essere considerato major e notificato alle autorità. Gli incidenti major devono essere notificati entro tempistiche stringenti: notifica iniziale, notifiche intermedie durante la gestione, e report finale con analisi dettagliata. Le entità devono mantenere registri completi di tutti gli incidenti per analisi e reporting.
Il digital operational resilience testing è un requisito chiave di DORA. Le entità devono condurre testing regolare dei sistemi, delle procedure e dei controlli. Questo include vulnerability assessments, scanning, penetration testing, scenario-based testing, e per le entità più critiche, threat-led penetration testing (TLPT) avanzato che simula attacchi sofisticati da parte di attori motivati. I risultati dei test devono essere documentati, le vulnerabilità remediate, e i miglioramenti implementati.
Gestione del Rischio di Terze Parti ICT
Uno dei pilastri più innovativi di DORA è il framework dettagliato per la gestione del rischio di terze parti ICT. Le entità finanziarie devono mantenere un registro completo di tutti i contratti con fornitori ICT, incluse informazioni su funzioni esternalizzate, dati trattati, e criticità del servizio. Prima di stipulare contratti con fornitori ICT critici, deve essere condotta una due diligence approfondita che valuti la capacità del fornitore di rispettare gli standard di sicurezza e resilienza richiesti.
I contratti con fornitori ICT devono includere clausole specifiche richieste da DORA: diritti di audit, obblighi di notifica degli incidenti, obblighi di cooperazione con le autorità, diritti di terminazione in caso di non conformità, e requisiti di sicurezza dettagliati. Per i fornitori critici, le clausole contrattuali devono riflettere gli standard più elevati. La negoziazione di questi contratti con grandi provider tecnologici che tipicamente utilizzano contratti standard può essere complessa.
Il monitoraggio continuo dei fornitori è obbligatorio. Le entità devono verificare regolarmente che i fornitori mantengano i livelli di servizio e sicurezza concordati, gestire proattivamente i rischi emergenti, e avere piani di exit strategy per gestire la terminazione o il cambio di fornitori critici. La concentrazione su pochi fornitori dominanti (come i grandi cloud provider) crea rischi di concentrazione che devono essere attivamente gestiti e mitigati.
Governance e Responsabilità del Management
DORA impone responsabilità chiare sull'organo di gestione delle entità finanziarie. Il board è responsabile ultimo della resilienza operativa digitale e deve approvare, supervisionare e essere accountable per l'implementazione del framework di gestione del rischio ICT. I membri del board devono avere competenze sufficienti per comprendere e challenge le proposte del management, e devono ricevere reporting regolare su rischi ICT, incidenti, risultati dei test, e conformità.
Le funzioni di controllo interno - internal audit, risk management, compliance - devono avere competenze specifiche su rischi ICT e resilienza operativa digitale. L'internal audit deve verificare periodicamente l'adeguatezza ed efficacia del framework di gestione del rischio ICT. La funzione di risk management deve integrare i rischi ICT nel framework complessivo di risk management dell'entità, assicurando che siano considerati con la stessa attenzione dei rischi finanziari tradizionali.
Per le entità più grandi e complesse, DORA richiede la designazione di una o più funzioni con responsabilità specifiche per la gestione del rischio ICT, con adeguata seniority, autorità e risorse. Queste funzioni devono avere indipendenza sufficiente per challenge il business e escalare concerns al board senza filtri. La tendenza di alcune organizzazioni a sottodimensionare queste funzioni o posizionarle troppo in basso nella gerarchia è incompatibile con i requisiti di DORA.
Condivisione di Informazioni sulle Minacce Cyber
DORA incoraggia esplicitamente la condivisione di intelligence sulle minacce cyber tra entità finanziarie. Le entità possono scambiare informazioni su vulnerabilità, minacce, indicatori di compromissione, e best practices per la resilienza. Questa condivisione può avvenire attraverso community specifiche del settore, piattaforme di threat intelligence, o accordi bilaterali, sempre nel rispetto della normativa su concorrenza e protezione dati.
Le autorità europee di supervisione finanziaria faciliteranno questa condivisione creando framework e piattaforme dedicati. L'obiettivo è creare una situational awareness collettiva che permetta al settore di rispondere più rapidamente alle minacce emergenti. Attacchi che colpiscono un'istituzione potrebbero essere precursori di campagne più ampie, e la condivisione tempestiva di informazioni permette ad altre istituzioni di prepararsi e difendersi.
Tuttavia, la condivisione di informazioni solleva questioni delicate. Le istituzioni finanziarie possono essere riluttanti a condividere informazioni su incidenti o vulnerabilità per timore di danni reputazionali o competitive disadvantage. DORA cerca di bilanciare questi concerns creando un framework che protegge le informazioni condivise dall'uso improprio, ma la cultura della segretezza radicata in molte istituzioni richiederà tempo per evolversi verso maggiore trasparenza e collaborazione.
Conclusioni e Prospettive Future
L'entrata in vigore di DORA a gennaio 2025 segna una milestone fondamentale nella regolamentazione della resilienza cyber del settore finanziario europeo. Le istituzioni finanziarie devono completare la loro readiness entro quella data, il che richiede investimenti significativi in tecnologie, processi, competenze e governance. Le autorità di supervisione stanno sviluppando gli standard tecnici di attuazione e le linee guida che dettaglieranno ulteriormente i requisiti.
DORA interagisce con altre normative europee come NIS2, creando sia sfide che opportunità. Per le istituzioni finanziarie soggette a entrambe, è essenziale identificare le sovrapposizioni e implementare un approccio integrato alla conformità. Fortunatamente, molti requisiti sono allineati, e un solido framework di gestione del rischio ICT può servire entrambe le normative evitando duplicazioni.
Nel medio termine, DORA potrebbe diventare un modello per altre giurisdizioni e settori. L'approccio comprensivo alla resilienza operativa digitale, l'attenzione alla gestione del rischio di terze parti, e l'oversight sui fornitori tecnologici critici rappresentano innovazioni che potrebbero essere replicate in altri contesti. Le istituzioni finanziarie europee che implementano efficacemente DORA acquisiranno un vantaggio competitivo non solo in termini di resilienza, ma anche come benchmark di best practices globali.
.svg){kind=icon}
