Regolamento DORA: un approccio basato sul rischio

1. Introduzione

Il Digital Operational Resilience Act (DORA), pienamente applicabile dal 17 gennaio 2025, è un regolamento dell’Unione europea pensato per consolidare la capacità delle imprese finanziarie di resistere, reagire e adattarsi efficacemente agli incidenti informatici, rafforzando così la resilienza operativa nel contesto digitale.

Il Regolamento rappresenta una tappa fondamentale nel percorso di armonizzazione delle regole in materia di sicurezza ICT nel settore finanziario e si applica a una vasta gamma di soggetti, quali banche, assicurazioni, società di investimento, gestori di fondi e fornitori di servizi ICT critici.

2. Un cambio di prospettiva nella gestione del rischio

Il DORA introduce un’evoluzione significativa rispetto alla tradizionale gestione della sicurezza informatica: non si limita a prescrivere misure tecniche, ma promuove un approccio integrato e basato sul rischio, che mira a rendere le organizzazioni capaci non solo di proteggersi, ma anche di prevenire, assorbire e superare incidenti digitali complessi.

Questo approccio implica che la resilienza operativa non venga considerata un obiettivo statico, bensì un processo dinamico e continuo, da costruire su solide fondamenta organizzative, tecnologiche e culturali.

3. Approccio basato sul rischio: cosa significa?

Adottare una logica risk-based significa modulare le misure di resilienza digitale in funzione della natura, dimensione, complessità e livello di esposizione dell’organizzazione. Il DORA impone requisiti più stringenti alle entità sistemicamente rilevanti, prevedendo invece obblighi più proporzionati per gli operatori minori.

Tale approccio consente di evitare una regolamentazione “a taglia unica”, privilegiando soluzioni più aderenti alla realtà operativa degli enti. Inoltre, è richiesta una valutazione continua dei rischi, che consideri sia fattori tecnici sia elementi organizzativi e procedurali.

4. I cinque pilastri della resilienza digitale secondo il DORA

Il DORA si articola sulle seguenti aree di intervento fondamentali, da attuare secondo criteri di proporzionalità e coerenza con il profilo di rischio dell’organizzazione.

1. Gestione del rischio ICT, per cui gli enti devono adottare un quadro interno strutturato per identificare, valutare, monitorare e mitigare i rischi informatici.

2. Gestione e notifica degli incidenti ICT: è previsto l’obbligo di segnalare alle autorità competenti gli incidenti significativi, attraverso procedure standardizzate e tracciabili.

3. Test di resilienza operativa digitale: tra questi figurano test di vulnerabilità, simulazioni di scenario, esercitazioni table-top e – per gli operatori più critici – i TLPT (Threat-Led Penetration Testing), test avanzati condotti da team specializzati che simulano attacchi reali.

4. Rischi legati ai fornitori terzi di servizi ICT: gli enti devono assicurarsi che anche i fornitori critici rispettino adeguati standard di sicurezza, attraverso obblighi contrattuali, controlli e piani di continuità condivisi.

5. Condivisione delle informazioni: il regolamento incoraggia la cooperazione tra soggetti vigilati mediante lo scambio volontario di dati su minacce, vulnerabilità e incidenti.

5. Profili giuridici e organizzativi

Per i giuristi d’impresa e i professionisti della compliance, il DORA rappresenta una nuova area di impegno e specializzazione. Il Regolamento introduce obblighi formali di governance, tracciabilità e reportistica, che richiedono un allineamento costante tra funzioni ICT, risk management e legali.

In particolare, assumono rilievo la gestione dei contratti con fornitori ICT, la predisposizione delle policies interne di gestione del rischio digitale, la definizione di modelli di notifica verso le autorità nazionali ed europee, nonché il rispetto delle disposizioni transfrontaliere, in presenza di servizi digitali erogati da soggetti extra-UE.

6. Conclusioni

Il regolamento DORA segna una tappa decisiva verso un sistema finanziario europeo più sicuro e resiliente. L’adozione di un approccio basato sul rischio consente di calibrare gli obblighi normativi sulla base delle reali esposizioni e vulnerabilità delle singole entità, evitando appesantimenti inutili e rafforzando la resilienza complessiva del sistema. La sfida, ora, è tradurre i principi del Regolamento in azioni concrete, capaci di coniugare innovazione digitale, tutela degli utenti e solidità operativa. Per farlo, occorrono non solo strumenti tecnici, ma anche una governance consapevole e multidisciplinare, che sappia integrare sicurezza, rispetto normativo e strategia.