Il Digital Operational Resilience Act (DORA) segna un cambiamento cruciale per la sicurezza informatica nel settore finanziario europeo, imponendo nuovi standard di resilienza operativa e gestione del rischio ICT. Ma il sistema bancario italiano è davvero pronto ad affrontare questa trasformazione?
Nell’articolo che condividiamo di seguito, Dharani Senthilkumar, Enterprise Analyst di ManageEngine, esplora opportunità e sfide legate all’implementazione di DORA in Italia. Tra rischi sistemici, nuove responsabilità dei fornitori ICT e il ruolo emergente dell’intelligenza artificiale nella compliance, il contributo fornisce una panoramica chiara e accessibile su un tema destinato a impattare profondamente l’intero comparto finanziario
Buona lettura!
Compliance o compromesso: il settore finanziario italiano è pronto per DORA?
Si stima che entro il 2026 i costi della criminalità informatica in Italia supereranno i 150 miliardi di euro. È una cifra impressionante che dimostra quanto la sicurezza informatica debba essere una priorità nazionale, sia nel settore pubblico sia in quello privato.
Con il suo grande volume di dati sensibili, il settore finanziario rischia di diventare un bersaglio frequente di rischi informatici sistemici. Inoltre, la crescente interconnessione tra settori amplifica le possibilità di effetti a cascata e di destabilizzazione del sistema finanziario italiano.
Negli ultimi anni, l’aumento dei rischi informatici e operativi ha afflitto paesi come l’Italia. Quando all’inizio di quest’anno importanti banche e aeroporti italiani sono stati presi di mira da hacker, il governo italiano ha intensificato le misure di sorveglianza e ha invitato le aziende a ricorrere a misure di sicurezza rigorose.
I tempi stanno cambiando. Oggi, gli istituti finanziari cercano soluzioni di sicurezza informatica più efficaci, anziché intervenire ex-post, pagando per gestire le conseguenze degli attacchi informatici. La resilienza di un’azienda si misura in base alla sua capacità di riprendersi dagli incidenti e ripristinare la normale operatività, il che richiede uno sforzo concertato anche in termini di resilienza digitale e operativa.
Che cos’è il Digital Operational Resilience Act dell’UE
Il settore finanziario italiano è sempre attento ai progressi tecnologici. Tuttavia, un rapporto della Banca d’Italia mostra che i rischi derivanti da incidenti operativi, di terze parti e informatici hanno creato un panorama volatile.
Il Digital Operational Resilience Act (DORA) è stato introdotto per rafforzare la sicurezza e contrastare i rischi informatici in tutta l’Unione Europea. L’obiettivo del DORA è proteggere centralmente gli istituti finanziari, integrando gli sforzi di misure esistenti come NIS2, la strategia europea per i dati, la GDPR e altre.
DORA sottolinea l’importanza di valutazioni simultanee del rischio, di una gestione strategica del rischio, di una maggiore consapevolezza dei dipendenti in materia di rischi e di test periodici per valutare le vulnerabilità informatiche, la capacità di segnalazione e di risposta. La legge delinea inoltre le modalità di gestione degli incidenti da parte dei fornitori terzi di servizi ICT, oltre a chiari accordi contrattuali attraverso stress test o penetration test.
DORA sottolinea inoltre l’importanza di un meccanismo unificato di segnalazione degli incidenti, a supporto della condivisione delle informazioni tra le entità finanziarie. Nel dicembre 2024, la Banca d’Italia ha rilasciato una dichiarazione ufficiale sulla propria partecipazione volontaria alla fase di simulazione condotta dalle autorità di vigilanza europee, nell’ambito del quadro di supervisione di DORA per la designazione dei fornitori terzi critici.
In generale, DORA promuove un approccio proattivo alla lotta agli incidenti informatici, sottolineando la necessità di gestire i rischi ICT.
Alcune delle sfide associate a DORA
L’attuale situazione del settore finanziario italiano è relativamente stabile. Sebbene le restrizioni commerciali derivanti dai recenti dazi del governo statunitense abbiano un potenziale impatto sull’affidabilità creditizia di consumatori e operatori di mercato, l’attivazione del buffer di rischio sistemico da parte della Banca d’Italia contribuisce a stabilizzare il sistema bancario nazionale. Tuttavia, permangono tensioni dovute a numerosi fattori, in particolare rischi operativi e minacce informatiche.
Analogamente alle sfide che le organizzazioni affrontano nell’attuazione di altri obblighi di conformità, DORA presenta anche sfide specifiche: vincoli di bilancio, sovrapposizione di quadri normativi esistenti e requisiti di analisi approfonditi, solo per citarne alcuni. In effetti, la revisione complessiva delle pratiche di gestione ICT esistenti di un istituto finanziario è un processo tedioso, ma questo requisito essenziale di DORA si tradurrà in un miglioramento della sicurezza.
DORA è ancora più snello nel promuovere la resilienza rispetto ai quadri normativi esistenti nell’UE. Raggiungere l’elevato livello di resilienza operativa richiesto dalla normativa richiederà molto tempo e attenzione da parte dei decisori strategici di un’organizzazione.
Le prospettive per l’Italia
A marzo 2025 il Governatore della Banca d’Italia Fabio Panetta ha pubblicamente sottolineato l’importanza della trasformazione digitale nel settore bancario. Il nuovo piano strategico ha individuato investimenti in tecnologia con il supporto dell’intelligenza artificiale e altri fattori chiave per innovare i processi interni.
Le opportunità commerciali, di investimento e di riduzione degli attriti all’interno dell’UE sono molte e importanti. Dando priorità a questo aspetto, Panetta ha affrontato la necessità di essere attrezzati per affrontare qualsiasi sfida futura e investire in tecnologie per dare impulso all’economia italiana. Ha inoltre sottolineato l’importanza di fare affidamento sul talento del Paese per dare vita alle sue priorità strategiche.
L’integrazione dell’AI nelle organizzazioni finanziarie rappresenta un’opportunità per rivoluzionare il funzionamento dei sistemi e puntare a ottenere risultati migliori. La Banca d’Italia ha annunciato un progetto in collaborazione con SG REFORM e l’OCSE. Il progetto mira a promuovere l’AI e a identificare opportunità e rischi del suo utilizzo nel mercato finanziario italiano.
Se implementata in modo ponderato, l’AI può semplificare notevolmente gli sforzi di compliance con DORA. Poiché la gestione del rischio di terze parti ICT è un’area chiave, il monitoraggio costante dell’ambiente ICT, sostenuto da analisi predittive, aiuta le aziende a identificare e persino a rispondere alle minacce, riducendo al minimo le discontinuità. La normativa è ampia, quindi l’intervento dell’AI nella revisione dei contratti, nell’individuazione dei dettagli mancanti e nella mappatura dei termini con i requisiti di conformità è in grado di ridurre significativamente il lavoro manuale.
Gli italiani stanno accelerando la transizione verso i pagamenti contactless, la gestione patrimoniale digitalizzata e opzioni di e-commerce semplificate. Data la presenza di numerose interconnessioni tra i sistemi, una lieve interruzione delle operazioni di un’organizzazione finanziaria può avere ripercussioni molto ampie. Per facilitare operazioni più fluide per le organizzazioni, DORA sottolinea l’importanza di una valutazione coerente delle operazioni e del rischio. Dal punto di vista di un’organizzazione finanziaria, la tutela dei dati e della fiducia dei clienti è in cima alla lista delle priorità. Insieme ad altre normative UE, se correttamente rispettate dalle aziende, DORA rafforzerà il livello di sicurezza degli istituti finanziari italiani.
di Dharani Senthilkumar, Enterprise Analyst, ManageEngine
