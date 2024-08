La digitalizzazione del settore finanziario ha portato benefici significativi ma ha anche esposto le aziende a crescenti rischi tecnologici, inclusi attacchi informatici, interruzioni dei sistemi e guasti delle tecnologie dell’informazione e della comunicazione (ICT) dei fornitori terzi. Per garantire che le istituzioni finanziarie rimangano resilienti di fronte a queste minacce, il Digital Operational Resilience Act (DORA) dell’Unione Europea stabilisce requisiti dettagliati per proteggere i processi aziendali chiave delle istituzioni finanziarie basate nell’UE. Sebbene DORA si sovrapponga parzialmente ad altre normative (come BAIT e VAIT in Germania), è la prima regolamentazione di questo tipo a concentrarsi sulla resilienza digitale nell’ecosistema finanziario europeo.

Con l’avvicinarsi dell’entrata in vigore di DORA, il 17 gennaio 2025, McKinsey ha condotto un’indagine con le principali istituzioni finanziarie europee e fornitori chiave ICT per comprendere i loro progressi nel raggiungere la conformità a DORA. I risultati sono misti: la maggior parte delle istituzioni ha iniziato il percorso, ma molte dovranno fare di più per rispettare i propri obblighi nei tempi previsti.

Stato dell’implementazione di DORA

Le istituzioni finanziarie europee e i provider ICT hanno ancora tempo per allineare la propria capacità di resilienza ai requisiti di DORA, ma il tempo stringe. La survey di McKinsey rileva che il 94% delle istituzioni finanziarie è pienamente impegnato a comprendere i requisiti dettagliati della legislazione; la maggior parte lo fa attraverso un programma dedicato a DORA, con DORA come punto all’ordine del giorno del consiglio di amministrazione.

Alcune sfide specifiche includono:

Limitata chiarezza dell’ambito di applicazione di elementi chiave : Definizioni delle funzioni critiche o importanti (CIF) e dei fornitori di servizi ICT critici.

: Definizioni delle funzioni critiche o importanti (CIF) e dei fornitori di servizi ICT critici. Preoccupazione per i tempi di attuazione, considerando che il secondo di due lotti degli standard tecnici di regolamentazione (RTS) delle autorità di vigilanza europee sarà finalizzato solo a luglio 2024, e che alcuni requisiti regolamentari richiedono tempi di attuazione significativi.

Sfide e costi di implementazione

L’incertezza sull’ambito di applicazione ha portato a un aumento dei budget assegnati. Tipicamente, un’istituzione potrebbe aver destinato tra 5 e 15 milioni di euro per la strategia, la pianificazione, il design e l’attuazione del programma DORA, ma le stime iniziali per i costi di implementazione completa sono cinque-dieci volte superiori.

Per quanto riguarda le risorse allocate all’implementazione di DORA, circa il 40% delle istituzioni finanziarie e dei provider ICT dedica più di sette equivalenti a tempo pieno (FTE), mentre meno del 20% non ha ancora assegnato FTE dedicati. La gestione del programma è un aspetto cruciale nel processo di implementazione, ma secondo la ricerca di McKinsey il settore non ha raggiunto un approccio standardizzato.

Principi strategici per la conformità a DORA

Le migliori pratiche non si concentrano solo sulla conformità alla normativa, ma riflettono anche obiettivi aziendali più ampi. Alcune istituzioni leader ancorano i propri sforzi a quattro principi strategici: