{"id":7548,"date":"2025-01-19T17:01:11","date_gmt":"2025-01-19T17:01:11","guid":{"rendered":"https:\/\/www.consultingpb.com\/?p=7548"},"modified":"2025-01-19T17:09:02","modified_gmt":"2025-01-19T17:09:02","slug":"che-cose-il-digital-operational-resilience-act-dora","status":"publish","type":"post","link":"https:\/\/www.consultingpb.com\/en\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/","title":{"rendered":"Che cos’\u00e8 il Digital Operational Resilience Act (DORA)?"},"content":{"rendered":"\n

Intelligenza Artificiale (IA) e il suo Impatto:<\/strong>
<\/h3>\n\n\n\n

L’IA generativa<\/strong> si distingue per la sua abilit\u00e0 di creare contenuti originali come testo, immagini, audio o video, in base a specifiche richieste, evidenziando la sua natura proattiva e creativa rispetto ad altre forme di IA che si concentrano sull’analisi di dati esistenti. Questi modelli di apprendimento automatico, spesso basati su reti neurali profonde, vengono addestrati su grandi quantit\u00e0 di dati, imparando schemi e relazioni per poi generare nuovi contenuti simili a quelli su cui sono stati addestrati.<\/p>\n\n\n\n

Le applicazioni dell’IA generativa sono molto variegate, spaziando dalla creazione di articoli di notizie, poesie, e sceneggiature, fino a immagini artistiche, composizioni musicali e video, rendendola uno strumento potente in vari settori. Tra i numerosi strumenti di IA generativa, spiccano ChatGPT<\/strong> di OpenAI, noto per la sua capacit\u00e0 di generare testi simili a quelli umani; Gemini<\/strong> di Google, con funzionalit\u00e0 simili ma integrato nei servizi Google; e Midjourney<\/strong>, un programma che crea immagini da descrizioni testuali.<\/p>\n\n\n\n

Nel contesto lavorativo e personale, l’IA generativa trova impiego nel marketing, programmazione, design e consulenza, oltre che per la creazione di contenuti, l’apprendimento, l’assistenza personale e lo svago. Diversi studi sottolineano il suo potenziale nell’aumentare la produttivit\u00e0, soprattutto in compiti creativi o di sintesi. Tuttavia, la sua potenza solleva importanti questioni etiche e regolamentari, come la disinformazione, la violazione del diritto d’autore e la mancanza di trasparenza nelle decisioni, il che richiede normative come l’AI Act per un uso responsabile.<\/p>\n\n\n\n

L’AI Act<\/strong> mira a garantire uno sviluppo e un utilizzo dell’IA che siano tracciabili e comprensibili, richiedendo che gli utenti siano consapevoli di interagire con un sistema di IA e comprendano le sue potenzialit\u00e0 e i suoi limiti. Questo include l’obbligo per i fornitori di rendere pubblici i contenuti utilizzati per l’addestramento dei modelli, con l’Ufficio per l’IA che fornisce un modello per facilitare questa presentazione. Inoltre, il principio di trasparenza dell’AI Act si coordina con il GDPR<\/strong> (Regolamento Generale sulla Protezione dei Dati), assicurando che le informazioni sul trattamento dei dati personali siano fornite in modo chiaro e accessibile.<\/p>\n\n\n\n

Per quanto riguarda il settore finanziario<\/strong>, il Regolamento DORA<\/strong> impone un’autovalutazione del rispetto dei requisiti di sicurezza informatica entro il 30 aprile 2025, includendo strategie sui rischi di terze parti e test di resilienza operativa digitale. La Banca d’Italia svolge un ruolo chiave nel monitoraggio dell’applicazione del regolamento e nella partecipazione al forum di sorveglianza.<\/p>\n\n\n\n

Il tema delle competenze digitali<\/strong> \u00e8 centrale, con il G7 e il Rapporto Draghi che sottolineano la necessit\u00e0 di sviluppare queste competenze per affrontare le sfide dell’IA. Si promuove una collaborazione inclusiva tra governi, aziende e istituzioni formative per identificare le esigenze di competenze digitali e offrire programmi di riqualificazione. L’Europa deve superare il divario di laureati in ICT e STEM, creando un mercato del lavoro che attragga i talenti con retribuzioni adeguate e welfare.<\/p>\n\n\n\n

Infine, l’IA opera una disintermediazione<\/strong> spazio-temporale con implicazioni geo-economiche per individui e aziende, e la sostenibilit\u00e0 delle politiche dipende dalla capacit\u00e0 dei governi di coordinarsi tra iniziative e gestione dei dati, fornendo strumenti operativi a cittadini e imprese. Il PNRR<\/strong> \u00e8 indicato come strumento di supporto per la digitalizzazione, finanziando progetti per le smart city, la sanit\u00e0 digitale e la formazione sulle competenze digitali.<\/p>\n\n\n\n

Aspetti regolamentari e di sicurezza<\/strong><\/h3>\n\n\n\n

L’AI Act<\/strong> pone un forte accento sulla trasparenza<\/strong> e la spiegabilit\u00e0<\/strong> dei sistemi di intelligenza artificiale, con l’obiettivo di rendere l’IA affidabile ed eticamente valida. Questo si traduce nell’obbligo di informare gli utenti sulle capacit\u00e0 e i limiti dei sistemi di IA, oltre che sui loro diritti. L’articolo 4bis dell’AI Act prevede che i sistemi di IA siano sviluppati e utilizzati in modo da consentire un’adeguata tracciabilit\u00e0<\/strong> e spiegabilit\u00e0, rendendo gli esseri umani consapevoli di interagire con un sistema di IA. Questo principio \u00e8 strettamente coordinato con il GDPR<\/strong> (Regolamento Generale sulla Protezione dei Dati), che richiede che le informazioni sul trattamento dei dati personali siano fornite in modo chiaro<\/strong>, accessibile<\/strong> e comprensibile<\/strong>.<\/p>\n\n\n\n

I fornitori di sistemi di IA hanno l’obbligo di fornire al pubblico una sintesi dettagliata dei contenuti utilizzati per l’addestramento dei modelli, includendo le principali raccolte di dati, banche dati e archivi da cui provengono le informazioni. L’Ufficio per l’IA fornisce un template per facilitare questa presentazione, garantendo che l’utente finale sia in grado di comprendere l’output generato dal sistema e che tale output non risulti lesivo dei diritti di terzi.<\/p>\n\n\n\n

Il Regolamento DORA<\/strong> (Digital Operational Resilience Act) introduce importanti novit\u00e0 per il settore finanziario, in particolare per quanto riguarda la sicurezza informatica. Gli intermediari finanziari sono tenuti a effettuare un’autovalutazione del rispetto dei requisiti di sicurezza informatica entro il 30 aprile 2025<\/strong>. Questa autovalutazione deve includere:<\/p>\n\n\n\n

Le strategie dell’intermediario sui rischi di terza parte, sul rinnovo dei contratti con i fornitori di servizi ICT e sulla trasmissione del ROI.<\/p>\n\n\n\n

L’adattamento al DORA dei presidi e delle politiche interne.<\/p>\n\n\n\n

Le attivit\u00e0 e il programma dei test di resilienza operativa digitale.<\/p>\n\n\n\n

La verifica del sistema di gestione dei rischi ICT, che deve garantire la prevenzione e il rilevamento tempestivo di violazioni della riservatezza dei dati, la riduzione del rischio derivante dai cambiamenti ICT e la conformit\u00e0 al DORA del quadro di ICT change management<\/em> dell’intermediario.<\/p>\n\n\n\n

La Banca d’Italia<\/strong> svolge un ruolo centrale nella vigilanza<\/strong> sull’applicazione del Regolamento DORA, partecipando anche al forum di sorveglianza. L’autovalutazione, redatta di concerto tra le funzioni di controllo di secondo e terzo livello, deve essere approvata dall’organo di amministrazione. La Banca d\u2019Italia mira a misurare il raggiungimento dei principali obiettivi normativi e a prendere misure rispetto agli orientamenti da consolidare a livello sistemico. In generale, si prevede un riordino della complessiva disciplina di vigilanza alla luce delle previsioni del Regolamento DORA.<\/p>\n\n\n\n

lL Regolamento (UE) 2022\/2554<\/strong><\/h3>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n

Il Regolamento (UE) 2022\/2554<\/strong>, comunemente noto come DORA (Digital Operational Resilience Act)<\/strong>, segna un punto di svolta fondamentale nel quadro normativo europeo per il settore finanziario [1, 2]. Questo regolamento, pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022, \u00e8 entrato formalmente in vigore il 16 gennaio 2023 [3, 4], ma la sua piena applicazione \u00e8 fissata per il 17 gennaio 2025<\/strong> [3-7]. DORA nasce dalla crescente consapevolezza della necessit\u00e0 di rafforzare la resilienza operativa digitale<\/strong> delle entit\u00e0 finanziarie in un contesto di minacce informatiche sempre pi\u00f9 sofisticate e complesse [8-15].<\/p>\n\n\n\n

Il regolamento non si limita a indirizzare le sfide poste dalla trasformazione digitale del settore finanziario, ma mira anche a promuovere una maggiore armonizzazione<\/strong> delle linee guida sulla cybersicurezza [8, 16-18]. DORA si estende ben oltre gli istituti finanziari tradizionali, includendo anche i fornitori di servizi ICT<\/strong> che svolgono un ruolo essenziale nel funzionamento delle entit\u00e0 finanziarie [19-23]. Questa inclusione riconosce l’interdipendenza tra le istituzioni finanziarie e i loro fornitori di tecnologia, evidenziando la necessit\u00e0 di un approccio olistico alla gestione dei rischi digitali [24, 25].<\/p>\n\n\n\n

Il contesto e la genesi del DORA<\/strong><\/h3>\n\n\n\n

La genesi del DORA \u00e8 strettamente legata alla Digital Finance Strategy<\/strong> del 2020 e al FinTech Action Plan<\/strong> del 2018. Questi documenti evidenziano come la rapida digitalizzazione dei servizi finanziari abbia creato nuove opportunit\u00e0, ma anche nuove vulnerabilit\u00e0 e minacce per la stabilit\u00e0 del sistema finanziario. In particolare, l’aumento degli attacchi informatici e la crescente dipendenza dalle tecnologie dell’informazione e della comunicazione (ICT) hanno reso indispensabile un quadro normativo che garantisca la continuit\u00e0 operativa e la sicurezza<\/strong> delle infrastrutture digitali.<\/p>\n\n\n\n

Il regolamento DORA \u00e8 stato concepito per uniformare le regole<\/strong> sulla gestione dei rischi ICT e sulla resilienza informatica in tutto il settore finanziario dell’UE. In precedenza, le normative e le aspettative di vigilanza variavano notevolmente tra i diversi Stati membri, creando ostacoli al mercato unico dei servizi finanziari e rendendo pi\u00f9 difficile la gestione dei rischi transfrontalieri. DORA mira a colmare queste lacune, stabilendo un insieme comune di requisiti che tutte le entit\u00e0 finanziarie e i loro fornitori di servizi ICT devono rispettare.<\/p>\n\n\n\n

Obiettivi Principali del DORA<\/strong><\/h3>\n\n\n\n

Gli obiettivi principali del regolamento DORA possono essere sintetizzati come segue:<\/p>\n\n\n\n

Gestione del rischio ICT<\/strong><\/h3>\n\n\n\n

DORA introduce un quadro armonizzato per la governance del rischio ICT, in continuit\u00e0 con le linee guida dell’EBA. <\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Le entit\u00e0 finanziarie sono tenute a predisporre, monitorare e aggiornare un quadro solido per la gestione dei rischi informatici,<\/strong> con una strategia di resilienza operativa digitale. La responsabilit\u00e0 della gestione dei rischi informatici \u00e8 affidata a una funzione di controllo indipendente. Le aziende devono adottare un approccio proattivo alla gestione del rischio ICT, integrando strategie di gestione del rischio nella governance aziendale, identificando e mitigando i rischi potenziali derivanti dall’uso di tecnologie e infrastrutture ICT e monitorando continuamente i sistemi ICT per identificare vulnerabilit\u00e0.<\/p>\n\n\n\n

Responsabilit\u00e0 e Governance<\/strong><\/h3>\n\n\n\n

Il Regolamento DORA assegna all’organo di gestione<\/strong> delle entit\u00e0 finanziarie la responsabilit\u00e0 piena e ultima<\/strong> della gestione dei rischi ICT. Questa responsabilit\u00e0 si articola in diversi aspetti cruciali. L’organo di gestione deve innanzitutto definire e approvare una solida strategia di resilienza operativa digitale<\/strong>, un piano che garantisca la capacit\u00e0 dell’ente di prevenire, rispondere e riprendersi da incidenti informatici. Questa strategia deve essere completa, esaustiva e ben documentata<\/strong>, affrontando i rischi in modo rapido ed efficiente.<\/p>\n\n\n\n

Un altro compito fondamentale dell’organo di gestione \u00e8 quello di supervisionare la politica aziendale sull’uso di fornitori terzi di servizi ICT<\/strong>. Questa politica deve garantire che i fornitori rispettino standard di sicurezza elevati<\/strong>, con contratti che definiscano chiaramente le responsabilit\u00e0 e le misure di sicurezza necessarie. \u00c8 essenziale che gli accordi con i fornitori siano coerenti con le politiche di gestione dei rischi ICT, sicurezza delle informazioni e continuit\u00e0 operativa dell’ente.<\/p>\n\n\n\n

L’organo di gestione non si limita a definire le strategie, ma deve anche supervisionare e monitorare attivamente la loro implementazione<\/strong>, assicurando la gestione corretta degli accordi di esternalizzazione. Questo include la revisione periodica delle strategie per garantirne l’efficacia nel tempo, in risposta all’evoluzione delle minacce informatiche. Inoltre, \u00e8 importante che i membri dell’organo di gestione mantengano aggiornate le proprie conoscenze<\/strong> sui rischi ICT, in modo da poter comprendere e valutare l’impatto di questi rischi sulle operazioni dell’ente.<\/p>\n\n\n\n

Anche se alcune funzioni vengono esternalizzate, la responsabilit\u00e0 ultima<\/strong> rimane all’organo di gestione, che deve assicurare una supervisione adeguata. Questo significa che i leader aziendali sono responsabili dell’adozione di misure tecniche e organizzative<\/strong> per prevenire i rischi informatici e minimizzare l’impatto di eventuali incidenti. In altre parole, devono verificare che anche i fornitori ICT rispettino i requisiti del DORA.<\/p>\n\n\n\n

In sostanza, il DORA richiede un approccio proattivo e responsabile<\/strong> da parte dell’organo di gestione nella gestione dei rischi ICT. La mancata osservanza di questi obblighi pu\u00f2 comportare sanzioni severe<\/strong> per l’ente e per i suoi dirigenti.<\/p>\n\n\n\n

Funzione di controllo ICT<\/strong><\/h3>\n\n\n\n

Il Regolamento DORA stabilisce che le entit\u00e0 finanziarie, ad eccezione delle microimprese, devono affidare la gestione dei rischi informatici<\/strong> a una specifica funzione di controllo ICT<\/strong>. Questa funzione assume un ruolo cruciale nell’assicurare la resilienza operativa digitale dell’organizzazione, e deve operare con un adeguato livello di indipendenza<\/strong> per evitare conflitti di interesse.<\/p>\n\n\n\n

La normativa non impone una collocazione organizzativa rigida per questa funzione, riconoscendo le diverse strutture di governo societario e sistemi di controllo interno che caratterizzano le varie entit\u00e0 finanziarie. Ci\u00f2 significa che l’organizzazione ha una certa flessibilit\u00e0<\/strong> nel decidere come integrare questa funzione all’interno della propria struttura.<\/p>\n\n\n\n

Ecco le opzioni principali per la collocazione della funzione di controllo ICT<\/p>\n\n\n\n

Funzione Autonoma<\/strong>: l’entit\u00e0 pu\u00f2 scegliere di istituire una funzione di controllo ICT indipendente<\/strong>, con i requisiti tipici delle funzioni aziendali di controllo di secondo livello. Questa opzione sottolinea l’importanza della gestione del rischio ICT come area di controllo distinta.<\/p>\n\n\n\n

Integrazione con Funzioni di Risk Management e Compliance<\/strong>: in alternativa, i compiti della funzione di controllo ICT possono essere attribuiti alle funzioni di risk management e di compliance<\/strong>, qualora gi\u00e0 esistenti. Questa integrazione \u00e8 possibile se le due funzioni hanno ruoli, responsabilit\u00e0 e competenze che consentono di assorbire anche i compiti di controllo ICT.<\/p>\n\n\n\n

Affidamento a Strutture Esistenti<\/strong>: la funzione di controllo ICT pu\u00f2 essere svolta dalla struttura che si occupa della gestione del rischio<\/strong> o da quella che gestisce la conformit\u00e0. Questa opzione \u00e8 particolarmente rilevante quando le funzioni di risk management e di compliance sono affidate a un’unica struttura, in questo caso la funzione di controllo ICT pu\u00f2 essere integrata in quest’ultima.<\/p>\n\n\n\n

Indipendentemente dalla collocazione organizzativa scelta, \u00e8 fondamentale che la funzione di controllo ICT svolga efficacemente tutti i compiti assegnati per la gestione e la supervisione dei rischi ICT<\/strong> previsti dal framework DORA. Questa funzione \u00e8 essenziale per garantire una gestione efficace dei rischi informatici, supervisionando e verificando che le politiche, le procedure e i protocolli aziendali siano appropriati, per prevenire e mitigare le minacce cyber.<\/p>\n\n\n\n

\u00c8 importante sottolineare che la funzione di controllo ICT non pu\u00f2 essere affidata alla struttura che svolge la funzione di internal audit<\/strong>. Questa esclusione evidenzia la necessit\u00e0 di una separazione dei ruoli tra le funzioni di controllo, al fine di garantire una verifica indipendente e una gestione efficace dei rischi.<\/p>\n\n\n\n

La necessit\u00e0 di un quadro solido ed esaustivo<\/h3>\n\n\n\n

Le entit\u00e0 finanziarie devono strutturare, controllare e tenere aggiornato<\/strong> un sistema robusto per la gestione dei rischi informatici, una sorta di bussola<\/strong> che le guida nell’affrontare i pericoli digitali in modo rapido, efficiente e completo. Questo sistema \u00e8 fondamentale per la loro strategia di resilienza operativa digitale<\/strong>, che \u00e8 come un piano di sopravvivenza per il mondo digitale.<\/p>\n\n\n\n

Questo sistema, che possiamo immaginare come una mappa dettagliata<\/strong>, non \u00e8 solo un insieme di documenti da mettere in un cassetto, ma uno strumento attivo che permette di individuare e valutare i rischi<\/strong>, di adottare misure preventive<\/strong> e di gestire al meglio gli incidenti<\/strong> qualora si presentassero. \u00c8 un po’ come avere un sistema di allarme per la casa, che ti avvisa se c’\u00e8 un problema e ti aiuta a risolverlo.<\/p>\n\n\n\n

L’organo di gestione<\/strong> dell’entit\u00e0 finanziaria \u00e8 il responsabile principale<\/strong> di questo sistema, e deve fare in modo che sia efficace e sempre al passo con i tempi. Non basta quindi creare la mappa, bisogna anche controllare che funzioni<\/strong>, aggiornarla<\/strong> quando cambiano le minacce e verificare che chiunque la utilizzi la conosca bene<\/strong>.<\/p>\n\n\n\n

Questo sistema per la gestione dei rischi informatici deve permettere di classificare gli incidenti e le minacce<\/strong>, in modo da sapere come reagire in ogni situazione. \u00c8 come avere un manuale di istruzioni per ogni tipo di emergenza, che ti dice cosa fare e come farlo.<\/p>\n\n\n\n

Un aspetto cruciale di questo sistema \u00e8 la gestione dei rischi legati ai fornitori di servizi ICT<\/strong>, quei soggetti esterni a cui le entit\u00e0 finanziarie affidano una parte delle loro attivit\u00e0 digitali. \u00c8 necessario, quindi, identificare e classificare tutti i processi che dipendono da questi fornitori<\/strong> e prevedere nei contratti degli obblighi specifici<\/strong> per un controllo accurato. \u00c8 come scegliere un collaboratore fidato, di cui si conoscono le capacit\u00e0 e che si sa che seguir\u00e0 le regole.<\/p>\n\n\n\n

Il sistema di gestione dei rischi non \u00e8 un elemento isolato, ma si integra con la governance aziendale<\/strong> e supporta il consiglio di amministrazione, responsabile della supervisione generale. Questo significa che tutta l’organizzazione deve essere coinvolta<\/strong> nella gestione dei rischi informatici, non solo il team tecnico.<\/p>\n\n\n\n

In sostanza, questo sistema \u00e8 il pilastro<\/strong> su cui le entit\u00e0 finanziarie costruiscono la propria capacit\u00e0 di resistere agli attacchi informatici<\/strong>, e la sua corretta implementazione \u00e8 fondamentale per garantire la stabilit\u00e0 del sistema finanziario<\/strong> nel suo complesso. Questo sistema deve essere una guida dinamica<\/strong>, che si adatta ai cambiamenti e che permette di affrontare ogni rischio con la giusta preparazione.<\/p>\n\n\n\n

Strategia di resilienza operativa digitale<\/strong><\/h3>\n\n\n\n

Il sistema di gestione dei rischi informatici deve essere completo e lungimirante<\/strong>, includendo una strategia di resilienza operativa digitale<\/strong>, che \u00e8 come una polizza assicurativa<\/strong> per la continuit\u00e0 delle operazioni. Questa strategia \u00e8 il cuore pulsante di tutto il sistema, definendo in modo chiaro come l’entit\u00e0 finanziaria intende mantenere attive le sue funzioni vitali<\/strong> anche quando si verificano incidenti o interruzioni.<\/p>\n\n\n\n

Immagina questa strategia come un piano di emergenza<\/strong> dettagliato, che non solo descrive come reagire a un problema, ma anche come prepararsi al meglio<\/strong> per prevenirlo. Non si tratta solo di riparare i danni dopo che si sono verificati, ma di costruire un sistema resistente<\/strong> che possa sopportare gli urti e riprendersi rapidamente<\/strong>.<\/p>\n\n\n\n

La strategia di resilienza operativa digitale deve identificare chiaramente le funzioni essenziali<\/strong> dell’entit\u00e0 finanziaria, quelle attivit\u00e0 che sono indispensabili per il suo funzionamento<\/strong> e per la fornitura di servizi ai clienti. Per ogni funzione essenziale, la strategia deve definire obiettivi di ripristino<\/strong> (RTO) e punti di ripristino<\/strong> (RPO), ovvero quanto tempo<\/strong> pu\u00f2 passare prima che un servizio venga ripristinato e quanti dati<\/strong> si possono perdere in caso di incidente. \u00c8 come avere un piano di evacuazione dettagliato per un edificio, che indica le vie di fuga e i punti di raccolta.<\/p>\n\n\n\n

Questa strategia deve essere dinamica e flessibile<\/strong>, in grado di adattarsi ai cambiamenti<\/strong> nel panorama delle minacce informatiche e alle evoluzioni tecnologiche. Non pu\u00f2 essere un documento statico, ma deve essere revisionata e aggiornata regolarmente<\/strong>, tenendo conto delle nuove vulnerabilit\u00e0 e delle nuove tecnologie. \u00c8 un po’ come un allenamento costante per il corpo, che ti prepara a reagire meglio a qualsiasi sforzo.<\/p>\n\n\n\n

La strategia di resilienza operativa digitale deve anche considerare l’importanza dei test di resilienza<\/strong>, che sono come prove generali<\/strong> per verificare che il piano di emergenza funzioni davvero. Questi test, che includono simulazioni di attacchi e analisi di vulnerabilit\u00e0<\/strong>, permettono di identificare eventuali punti deboli nel sistema e di apportare miglioramenti prima che si verifichi un vero incidente.<\/p>\n\n\n\n

Inoltre, la strategia deve includere procedure chiare per la segnalazione degli incidenti<\/strong> alle autorit\u00e0 competenti e per la comunicazione con clienti e stakeholder, garantendo trasparenza e fiducia<\/strong> durante le fasi di crisi.. \u00c8 un po’ come avere un sistema di comunicazione efficace durante un’emergenza, che permette a tutti di rimanere informati e di sapere cosa fare.<\/p>\n\n\n\n

La strategia di resilienza deve essere integrata in tutti i processi aziendali<\/strong>, non come un’appendice separata, ma come parte integrante della cultura aziendale<\/strong>. Ci\u00f2 significa che tutti i dipendenti devono essere consapevoli dell’importanza della resilienza operativa<\/strong> e del loro ruolo nel garantirla.<\/p>\n\n\n\n

La strategia di resilienza operativa digitale \u00e8 la chiave per la continuit\u00e0 operativa<\/strong> dell’entit\u00e0 finanziaria nel mondo digitale. \u00c8 un processo continuo di preparazione, test e miglioramento<\/strong>, che permette di affrontare qualsiasi sfida<\/strong> con la giusta preparazione e determinazione. Non \u00e8 un semplice documento, ma un approccio proattivo<\/strong> per garantire che l’entit\u00e0 possa sempre fornire i propri servizi<\/strong> ai clienti, proteggere i propri dati<\/strong> e mantenere la fiducia<\/strong> nel sistema finanziario.<\/p>\n\n\n\n

mappare i propri sistemi ICT<\/strong><\/h3>\n\n\n\n

Le entit\u00e0 finanziarie devono strutturare, controllare e tenere aggiornato<\/strong> un sistema robusto per la gestione dei rischi informatici, una sorta di bussola<\/strong> che le guida nell’affrontare i pericoli digitali in modo rapido, efficiente e completo questo sistema \u00e8 fondamentale per la loro strategia di resilienza operativa digitale<\/strong>, che \u00e8 come un piano di sopravvivenza per il mondo digitale.<\/p>\n\n\n\n

Questo sistema, che possiamo immaginare come una mappa dettagliata<\/strong>, non \u00e8 solo un insieme di documenti da mettere in un cassetto, ma uno strumento attivo che permette di individuare e valutare i rischi<\/strong>, di adottare misure preventive<\/strong> e di gestire al meglio gli incidenti<\/strong> qualora si presentassero \u00e8 un po’ come avere un sistema di allarme per la casa, che ti avvisa se c’\u00e8 un problema e ti aiuta a risolverlo. L’organo di gestione<\/strong> dell’entit\u00e0 finanziaria \u00e8 il responsabile principale<\/strong> di questo sistema, e deve fare in modo che sia efficace e sempre al passo con i tempi.<\/p>\n\n\n\n

Non basta quindi creare la mappa, bisogna anche controllare che funzioni<\/strong>, aggiornarla<\/strong> quando cambiano le minacce e verificare che chiunque la utilizzi la conosca bene<\/strong> Questo sistema per la gestione dei rischi informatici deve permettere di classificare gli incidenti e le minacce<\/strong>, in modo da sapere come reagire in ogni situazione \u00e8 come avere un manuale di istruzioni per ogni tipo di emergenza, che ti dice cosa fare e come farlo. Un aspetto cruciale di questo sistema \u00e8 la gestione dei rischi legati ai fornitori di servizi ICT<\/strong>, quei soggetti esterni a cui le entit\u00e0 finanziarie affidano una parte delle loro attivit\u00e0 digitali \u00e8 necessario, quindi, identificare e classificare tutti i processi che dipendono da questi fornitori<\/strong> e prevedere nei contratti degli obblighi specifici<\/strong> per un controllo accurato. Il sistema di gestione dei rischi non \u00e8 un elemento isolato, ma si integra con la governance aziendale<\/strong> e supporta il consiglio di amministrazione, responsabile della supervisione generale. Questo significa che tutta l’organizzazione deve essere coinvolta<\/strong> nella gestione dei rischi informatici, non solo il team tecnico. In sostanza, questo sistema \u00e8 il pilastro<\/strong> su cui le entit\u00e0 finanziarie costruiscono la propria capacit\u00e0 di resistere agli attacchi informatici<\/strong>, e la sua corretta implementazione \u00e8 fondamentale per garantire la stabilit\u00e0 del sistema finanziario<\/strong> nel suo complesso questo sistema deve essere una guida dinamica<\/strong>, che si adatta ai cambiamenti e che permette di affrontare ogni rischio con la giusta preparazione.<\/p>\n\n\n\n

Il sistema di gestione dei rischi informatici deve essere completo e lungimirante<\/strong>, includendo una strategia di resilienza operativa digitale<\/strong>, che \u00e8 come una polizza assicurativa<\/strong> per la continuit\u00e0 delle operazioni questa strategia \u00e8 il cuore pulsante di tutto il sistema, definendo in modo chiaro come l’entit\u00e0 finanziaria intende mantenere attive le sue funzioni vitali<\/strong> anche quando si verificano incidenti o interruzioni. Immagina questa strategia come un piano di emergenza<\/strong> dettagliato, che non solo descrive come reagire a un problema, ma anche come prepararsi al meglio<\/strong> per prevenirlo non si tratta solo di riparare i danni dopo che si sono verificati, ma di costruire un sistema resistente<\/strong> che possa sopportare gli urti e riprendersi rapidamente<\/strong>. La strategia di resilienza operativa digitale deve identificare chiaramente le funzioni essenziali<\/strong> dell’entit\u00e0 finanziaria, quelle attivit\u00e0 che sono indispensabili per il suo funzionamento<\/strong> e per la fornitura di servizi ai clienti per ogni funzione essenziale, la strategia deve definire obiettivi di ripristino<\/strong> (RTO) e punti di ripristino<\/strong> (RPO), ovvero quanto tempo<\/strong> pu\u00f2 passare prima che un servizio venga ripristinato e quanti dati<\/strong> si possono perdere in caso di incidente. Questa strategia deve essere dinamica e flessibile<\/strong>, in grado di adattarsi ai cambiamenti<\/strong> nel panorama delle minacce informatiche e alle evoluzioni tecnologiche non pu\u00f2 essere un documento statico, ma deve essere revisionata e aggiornata regolarmente<\/strong>, tenendo conto delle nuove vulnerabilit\u00e0 e delle nuove tecnologie.<\/p>\n\n\n\n

La strategia di resilienza operativa digitale deve anche considerare l’importanza dei test di resilienza<\/strong>, che sono come prove generali<\/strong> per verificare che il piano di emergenza funzioni davvero. Questi test, che includono simulazioni di attacchi e analisi di vulnerabilit\u00e0<\/strong>, permettono di identificare eventuali punti deboli nel sistema e di apportare miglioramenti prima che si verifichi un vero incidente inoltre, la strategia deve includere procedure chiare per la segnalazione degli incidenti<\/strong> alle autorit\u00e0 competenti e per la comunicazione con clienti e stakeholder, garantendo trasparenza e fiducia<\/strong> durante le fasi di crisi. La strategia di resilienza deve essere integrata in tutti i processi aziendali<\/strong>, non come un’appendice separata, ma come parte integrante della cultura aziendale<\/strong> ci\u00f2 significa che tutti i dipendenti devono essere consapevoli dell’importanza della resilienza operativa<\/strong> e del loro ruolo nel garantirla. In sintesi, la strategia di resilienza operativa digitale \u00e8 la chiave per la continuit\u00e0 operativa<\/strong> dell’entit\u00e0 finanziaria nel mondo digitale \u00e8 un processo continuo di preparazione, test e miglioramento<\/strong>, che permette di affrontare qualsiasi sfida<\/strong> con la giusta preparazione e determinazione.<\/p>\n\n\n\n

Le entit\u00e0 finanziarie sono tenute a mappare i propri sistemi ICT<\/strong>, identificando e classificando le risorse e le funzioni critiche, e documentando le dipendenze tra risorse, sistemi, processi e fornitori. Questo processo di mappatura \u00e8 un elemento fondamentale per la gestione dei rischi ICT e per la resilienza operativa digitale. Le entit\u00e0 devono identificare, classificare e documentare<\/strong> tutte le funzioni aziendali<\/strong> correlate all’ICT, le risorse informative<\/strong> che supportano queste funzioni e le configurazioni<\/strong> e le interconnessioni<\/strong> del sistema ICT con sistemi interni ed esterni questo \u00e8 un passaggio essenziale per comprendere appieno la propria infrastruttura digitale. \u00c8 necessario individuare le risorse e le funzioni critiche<\/strong> per l’operativit\u00e0 dell’entit\u00e0, cio\u00e8 quelle attivit\u00e0 e quei sistemi che sono indispensabili per il suo funzionamento e per la fornitura di servizi ai clienti queste risorse e funzioni devono essere protette<\/strong> in modo particolare. Le entit\u00e0 devono documentare le dipendenze<\/strong> tra risorse, sistemi, processi e fornitori questo significa capire come i diversi elementi del sistema ICT sono collegati tra loro<\/strong> e come un problema in un punto pu\u00f2 propagarsi<\/strong> ad altre parti. Un aspetto cruciale \u00e8 l’identificazione e la documentazione dei processi che dipendono da fornitori terzi di servizi ICT. La mappatura dei sistemi ICT non \u00e8 un’attivit\u00e0 una tantum, ma un processo continuo<\/strong> le entit\u00e0 devono rivedere<\/strong> la classificazione delle risorse informative e qualsiasi documentazione pertinente almeno una volta all’anno<\/strong> e quando necessario. Inoltre, devono aggiornare regolarmente<\/strong> gli inventari relativi ai sistemi ICT.<\/p>\n\n\n\n

La mappatura \u00e8 strettamente correlata alla valutazione dei rischi<\/strong>. Identificare e classificare i sistemi e le risorse \u00e8 il primo passo per valutare le vulnerabilit\u00e0<\/strong>, le minacce informatiche<\/strong> e per determinare le misure di mitigazione necessarie. La mappatura deve includere tutti i processi dipendenti da fornitori terzi di servizi ICT e le interconnessioni con essi. Questo \u00e8 importante perch\u00e9 il DORA pone un forte accento sulla gestione dei rischi derivanti da terze parti<\/strong>, richiedendo che le entit\u00e0 finanziarie garantiscano che i propri fornitori rispettino standard di sicurezza adeguati le entit\u00e0 finanziarie devono quindi mantenere un registro di informazioni su tutti gli accordi contrattuali con fornitori di servizi ICT. La mappatura dei sistemi ICT \u00e8 funzionale alla definizione di una strategia di resilienza operativa digitale, che deve definire come l’entit\u00e0 intende garantire la continuit\u00e0 delle operazioni in caso di incidenti o interruzioni. Una mappatura accurata \u00e8 essenziale per identificare le funzioni essenziali e stabilire piani di ripristino efficaci. Le entit\u00e0 devono mantenere e aggiornare regolarmente un registro<\/strong> che contenga dati dettagliati su tutti i servizi ICT forniti da terzi e sui subappaltatori che supportano funzioni critiche o importanti questo registro, da presentare alle autorit\u00e0 competenti entro il 30 Aprile 2025, \u00e8 importante per valutare i rischi associati a questi fornitori e garantire la conformit\u00e0 con il DORA. In sintesi, la mappatura dei sistemi ICT \u00e8 un processo complesso<\/strong> e continuo<\/strong> che richiede alle entit\u00e0 finanziarie di avere una conoscenza approfondita<\/strong> della propria infrastruttura digitale questa attivit\u00e0 non \u00e8 solo un adempimento normativo, ma uno strumento essenziale per garantire la sicurezza<\/strong>, la continuit\u00e0 operativa<\/strong> e la resilienza<\/strong> dell’entit\u00e0 nel contesto digitale.<\/p>\n\n\n\n

Requisiti per l’armonizzazione<\/strong><\/h3>\n\n\n\n

Il regolamento DORA introduce requisiti specifici per l’armonizzazione del processo di gestione del rischio ICT, con l’obiettivo di garantire una visione completa, end-to-end<\/strong>, dei processi aziendali. Questo significa che le entit\u00e0 finanziarie non dovranno pi\u00f9 considerare la sicurezza informatica come una funzione isolata, ma come un elemento integrato in tutte le attivit\u00e0 e i processi aziendali. L’approccio armonizzato mira a creare un framework comune<\/strong> per la gestione del rischio ICT in tutto il settore finanziario dell’UE, superando la frammentazione delle normative nazionali preesistenti.<\/p>\n\n\n\n

In pratica, il DORA richiede che le aziende adottino una prospettiva olistica<\/strong> sulla gestione dei rischi ICT. Questo implica non solo la protezione delle infrastrutture tecnologiche, ma anche la comprensione di come i processi aziendali dipendono da tali infrastrutture e come i rischi informatici possono influenzare la capacit\u00e0 di un’azienda di fornire servizi. L’obiettivo \u00e8 di creare un sistema in cui la sicurezza informatica sia parte integrante di ogni decisione aziendale, non un mero adempimento normativo.<\/p>\n\n\n\n

Per implementare questo approccio armonizzato, le aziende devono identificare, valutare e mitigare i rischi associati all’uso delle tecnologie ICT<\/strong>. Questo include la mappatura delle risorse ICT, la valutazione delle vulnerabilit\u00e0, e l’implementazione di misure di protezione e di prevenzione. Inoltre, le aziende devono sviluppare strategie di risposta agli incidenti<\/strong> e di ripristino<\/strong> delle operazioni, al fine di minimizzare l’impatto di eventuali attacchi informatici.<\/p>\n\n\n\n

Un elemento chiave dell’armonizzazione \u00e8 la definizione di standard comuni<\/strong> per la classificazione degli incidenti e delle minacce informatiche, nonch\u00e9 per la segnalazione di tali eventi alle autorit\u00e0 competenti. Ci\u00f2 permette di creare un sistema di monitoraggio<\/strong> e di allerta precoce<\/strong> pi\u00f9 efficace, in cui le aziende possono condividere informazioni e collaborare per prevenire gli attacchi e mitigarne gli effetti.<\/p>\n\n\n\n

Il DORA mira anche ad armonizzare la gestione dei rischi legati ai fornitori di servizi ICT<\/strong>, imponendo obblighi contrattuali specifici per garantire un adeguato livello di sicurezza e protezione dei dati. Questo aspetto \u00e8 particolarmente importante, dato che molte aziende del settore finanziario esternalizzano servizi ICT, creando una catena di dipendenze che pu\u00f2 aumentare i rischi. Di conseguenza, il DORA impone alle aziende di controllare non solo le proprie infrastrutture, ma anche quelle dei loro fornitori, soprattutto quelli considerati critici.<\/p>\n\n\n\n

In sintesi, i requisiti per l’armonizzazione del processo di gestione del rischio ICT previsti dal DORA rappresentano un cambiamento di paradigma<\/strong> per il settore finanziario. Non si tratta solo di adottare nuove tecnologie o procedure, ma di integrare la sicurezza informatica in modo strutturale nei processi aziendali, creando un sistema pi\u00f9 resiliente e in grado di adattarsi rapidamente alle minacce. Questo cambiamento richiede un impegno da parte di tutti gli attori coinvolti, dalle grandi istituzioni finanziarie ai piccoli fornitori di servizi ICT, per garantire che l’intero ecosistema finanziario sia in grado di affrontare le sfide della digitalizzazione.<\/p>\n\n\n\n

Approccio Proattivo alla Gestione del Rischio:<\/strong><\/h3>\n\n\n\n

Le aziende devono adottare un approccio basato sui rischi<\/strong> per la gestione della rete e dell’infrastruttura, il che implica una visione proattiva<\/strong> e non reattiva della sicurezza informatica. <\/p>\n\n\n\n

Questo approccio richiede l’identificazione e la valutazione dei rischi specifici per ogni azienda, in base alla propria dimensione, tipologia di attivit\u00e0 e profilo di rischio. Non si tratta quindi di applicare le stesse soluzioni di sicurezza a tutte le aziende, ma di personalizzare le misure in base alle esigenze specifiche. <\/p>\n\n\n\n

Questo approccio basato sul rischio \u00e8 fondamentale per ottimizzare le risorse<\/strong> e concentrare gli sforzi sulle aree pi\u00f9 critiche. L’approccio implica l’implementazione di politiche complete per la gestione delle vulnerabilit\u00e0<\/strong>. Queste politiche devono includere procedure dettagliate per l’identificazione, la valutazione e la correzione delle vulnerabilit\u00e0 nei sistemi e nelle applicazioni. Ci\u00f2 significa non solo installare patch e aggiornamenti, ma anche effettuare test di penetrazione<\/strong> regolari per individuare potenziali punti deboli. Le politiche devono essere dinamiche<\/strong>, ovvero aggiornate regolarmente in base alle nuove minacce e alle nuove vulnerabilit\u00e0 scoperte.<\/p>\n\n\n\n

Il monitoraggio continuo<\/strong> dei sistemi ICT \u00e8 un elemento cruciale di questo approccio. Le aziende non possono permettersi di impostare le misure di sicurezza e poi dimenticarsene. \u00c8 necessario un monitoraggio costante per identificare vulnerabilit\u00e0<\/strong> e segnali di possibili incidenti. Questo monitoraggio deve essere automatizzato<\/strong> per quanto possibile, utilizzando strumenti in grado di rilevare anomalie nel traffico di rete, accessi non autorizzati e altre attivit\u00e0 sospette. Un monitoraggio continuo consente una risposta rapida ed efficace<\/strong>, riducendo al minimo i danni causati da un attacco informatico. Il monitoraggio continuo \u00e8 fondamentale per proteggere i dati e i servizi da violazioni della riservatezza e altre minacce informatiche.<\/p>\n\n\n\n

Il sistema di gestione dei rischi ICT deve garantire che le politiche, le procedure, i protocolli e gli strumenti<\/strong> consentano di prevenire o rilevare tempestivamente violazioni alla riservatezza dei dati e dei servizi. Questo significa che le aziende devono mettere in atto tutte le misure di sicurezza necessarie<\/strong> per proteggere le informazioni sensibili, inclusa la crittografia<\/strong> dei dati, l’autenticazione multi-fattore, il controllo degli accessi e altre misure di protezione. Inoltre, le aziende devono essere in grado di rilevare tempestivamente qualsiasi violazione<\/strong> della sicurezza, utilizzando strumenti di monitoraggio e di analisi dei log. Infine, il sistema di gestione dei rischi ICT deve anche consentire di ridurre il rischio<\/strong> derivante dai cambiamenti ICT. <\/p>\n\n\n\n

Questo significa che le aziende devono valutare attentamente l’impatto di qualsiasi cambiamento nella loro infrastruttura ICT, prima di implementarlo. Ci\u00f2 include l’adozione di un rigoroso quadro di gestione delle modifiche, nonch\u00e9 test e procedure di rollback in caso di problemi. L’obiettivo \u00e8 quello di garantire che qualsiasi cambiamento nel sistema ICT non introduca nuove vulnerabilit\u00e0 o comprometta la sicurezza delle informazioni.<\/p>\n\n\n\n

Le aziende devono adottare un approccio proattivo<\/strong> e basato sui rischi per la gestione della sicurezza informatica, con un focus sul monitoraggio continuo e sulla prevenzione, il rilevamento tempestivo e la riduzione del rischio. Questo approccio richiede l’implementazione di politiche complete per la gestione delle vulnerabilit\u00e0, strumenti di monitoraggio avanzati, e procedure di gestione delle modifiche per garantire che le aziende siano in grado di proteggere le proprie informazioni e infrastrutture da qualsiasi minaccia informatica.<\/p>\n\n\n\n

Valutazione e mitigazione dei rischi<\/strong><\/h3>\n\n\n\n

Le organizzazioni devono condurre una valutazione approfondita dei rischi potenziali<\/strong> derivanti dall’uso di tecnologie e infrastrutture ICT, un processo che va oltre la semplice identificazione delle vulnerabilit\u00e0 tecniche e che richiede un’analisi dettagliata delle possibili conseguenze per l’attivit\u00e0 aziendale. Questa valutazione deve considerare non solo le minacce esterne, come gli attacchi informatici e i malware, ma anche i rischi interni, come gli errori umani, la perdita di dati e i guasti dei sistemi. \u00c8 fondamentale adottare un approccio basato sul rischio<\/strong>, personalizzando le misure di sicurezza in base alle specifiche esigenze e al profilo di rischio di ogni organizzazione, tenendo conto della sua dimensione, tipologia di attivit\u00e0 e delle risorse a disposizione. La valutazione del rischio deve essere un processo continuo, non un’attivit\u00e0 una tantum, poich\u00e9 le minacce informatiche evolvono costantemente e nuove vulnerabilit\u00e0 vengono scoperte regolarmente. Per affrontare efficacemente tali rischi, le organizzazioni devono implementare una serie di misure di mitigazione<\/strong>, che possono includere controlli di sicurezza tecnici, come firewall, sistemi di rilevamento delle intrusioni, crittografia e autenticazione a pi\u00f9 fattori, ma anche controlli organizzativi, come politiche di sicurezza, formazione del personale e piani di risposta agli incidenti. Queste misure devono essere scelte e implementate in base ai risultati della valutazione del rischio, con l’obiettivo di ridurre la probabilit\u00e0 che un incidente informatico si verifichi e di minimizzarne l’impatto se dovesse accadere.<\/p>\n\n\n\n

\u00c8 imperativo documentare in modo accurato e dettagliato le minacce informatiche<\/strong> identificate e le azioni intraprese per mitigare i rischi associati. Questa documentazione deve includere la descrizione delle minacce, la loro classificazione in base alla gravit\u00e0 e all’impatto potenziale, e le misure di sicurezza implementate per prevenirle, rilevarle e risponderle. La classificazione degli incidenti, basata su criteri definiti dal regolamento DORA, \u00e8 essenziale per stabilire le priorit\u00e0 di risposta e allocare le risorse in modo efficiente. Questa documentazione non \u00e8 solo uno strumento per la gestione interna dei rischi, ma anche un elemento fondamentale per dimostrare la conformit\u00e0 alle normative e per agevolare la comunicazione con le autorit\u00e0 competenti. La documentazione deve essere costantemente aggiornata<\/strong>, riflettendo le nuove minacce, le nuove vulnerabilit\u00e0 e le modifiche al sistema di sicurezza. Inoltre, la classificazione deve essere utilizzata per assegnare ruoli e responsabilit\u00e0<\/strong> al personale interno e per elaborare piani di comunicazione per gli stakeholder interessati, inclusi i membri del consiglio di amministrazione. La documentazione dettagliata delle minacce, delle azioni di mitigazione e delle classificazioni degli incidenti fornisce una visione completa della postura di sicurezza di un’organizzazione, consentendo di identificare le aree di miglioramento e di rafforzare la resilienza operativa digitale. In sostanza, la documentazione e la classificazione non sono semplici obblighi formali, ma strumenti essenziali<\/strong> per una gestione efficace dei rischi informatici e per la protezione delle informazioni e dei sistemi aziendali.<\/p>\n\n\n\n

In aggiunta a quanto sopra, l’importanza di un monitoraggio continuo<\/strong> non pu\u00f2 essere sottovalutata, in quanto permette di identificare tempestivamente vulnerabilit\u00e0 e segnali di potenziali incidenti. Questo monitoraggio deve essere attivo e proattivo, e non semplicemente reattivo a eventi gi\u00e0 accaduti. \u00c8 necessario utilizzare strumenti di monitoraggio avanzati per identificare anomalie nel traffico di rete, accessi non autorizzati e altre attivit\u00e0 sospette. La combinazione di una solida valutazione dei rischi, di una documentazione e classificazione accurate, e di un monitoraggio continuo consente di creare un sistema di gestione dei rischi ICT robusto ed efficace<\/strong>, in grado di proteggere l’organizzazione dalle minacce informatiche in continua evoluzione. Questo approccio, quindi, non \u00e8 solo una serie di procedure, ma una cultura della sicurezza<\/strong> che deve essere adottata e promossa a tutti i livelli dell’organizzazione, con un supporto attivo del consiglio di amministrazione e della leadership.<\/p>\n\n\n\n

Gestione del rischio di terze parti<\/mark><\/strong><\/h3>\n\n\n\n

Le entit\u00e0 finanziarie devono identificare, classificare e documentare<\/strong> in modo esaustivo tutti i processi che dipendono da fornitori terzi di servizi ICT, un’operazione che richiede una mappatura precisa di ogni interdipendenza e una comprensione profonda di come questi servizi si integrano nelle operazioni aziendali. <\/p>\n\n\n\n

Questa identificazione non si limita ai servizi erogati direttamente dal fornitore, ma si estende a tutta la catena di fornitura, compresi eventuali subappaltatori, poich\u00e9 ogni anello della catena potrebbe rappresentare una potenziale vulnerabilit\u00e0. La documentazione deve includere una descrizione dettagliata dei servizi forniti, del loro impatto sulle funzioni aziendali critiche, della localizzazione dei fornitori e dei subappaltatori e delle misure di sicurezza adottate da ciascuno di essi. La classificazione dei processi in base alla loro criticit\u00e0 \u00e8 essenziale per stabilire le priorit\u00e0 di monitoraggio e di gestione del rischio, garantendo che le risorse siano allocate in modo efficiente. Questo processo di identificazione e documentazione deve essere continuo e dinamico<\/strong>, riflettendo i cambiamenti nella catena di fornitura, le nuove tecnologie adottate e l’evoluzione delle minacce informatiche.<\/p>\n\n\n\n

Il regolamento DORA impone la previsione di obblighi contrattuali<\/strong> rigorosi che garantiscano un monitoraggio adeguato<\/strong> delle attivit\u00e0 svolte dai fornitori di servizi ICT, in particolare per quei servizi che svolgono una funzione critica per l’attivit\u00e0 dell’entit\u00e0 finanziaria. Questi obblighi contrattuali devono specificare chiaramente le responsabilit\u00e0 del fornitore in termini di sicurezza, disponibilit\u00e0, integrit\u00e0 e riservatezza dei dati, prevedendo inoltre meccanismi di controllo e di audit che consentano all’entit\u00e0 finanziaria di verificare la conformit\u00e0 agli standard concordati. I contratti devono anche definire chiaramente le procedure da seguire in caso di incidenti informatici, inclusi i tempi di risposta, le responsabilit\u00e0 per eventuali danni e le misure di ripristino dei servizi. <\/p>\n\n\n\n

Un aspetto fondamentale \u00e8 la previsione di strategie di uscita<\/strong> ben definite, che stabiliscano le modalit\u00e0 per la cessazione del contratto e il trasferimento dei dati e dei servizi a un altro fornitore in modo sicuro e senza interruzioni. Le entit\u00e0 finanziarie non possono contrattare con fornitori che non siano in grado di soddisfare questi requisiti, e le autorit\u00e0 competenti hanno il potere di sospendere o terminare i contratti non conformi. La negoziazione dei contratti<\/strong> deve essere un processo accurato e scrupoloso, volto a tutelare gli interessi dell’entit\u00e0 finanziaria e a garantire la resilienza operativa digitale.<\/p>\n\n\n\n

Le entit\u00e0 finanziarie devono considerare diversi fattori<\/strong> durante la valutazione dei contratti con i fornitori di servizi ICT, andando oltre il semplice aspetto economico. La tipologia di servizi ICT<\/strong> critici o importanti forniti \u00e8 un elemento fondamentale da valutare, cos\u00ec come la localizzazione dei fornitori e dei subappaltatori<\/strong>, poich\u00e9 la giurisdizione in cui operano pu\u00f2 avere implicazioni sulla protezione dei dati e sulla conformit\u00e0 alle normative. <\/p>\n\n\n\n

Un altro aspetto cruciale \u00e8 la lunghezza della catena di subappalto<\/strong>, poich\u00e9 una catena troppo lunga e complessa aumenta il rischio di vulnerabilit\u00e0 e rende pi\u00f9 difficile il controllo della sicurezza. Le entit\u00e0 finanziarie devono anche valutare la concentrazione del rischio<\/strong>, evitando di affidare troppe funzioni critiche a un singolo fornitore o a un piccolo gruppo di fornitori, poich\u00e9 questo potrebbe creare un punto di fallimento sistemico. La due diligence<\/strong>, descritta qui sotto, \u00e8 un passaggio fondamentale per una valutazione completa e approfondita di tutti questi fattori.<\/p>\n\n\n\n

Prima di stipulare contratti di outsourcing o subappalto, \u00e8 richiesta un’attenta due diligence<\/strong> per valutare l’affidabilit\u00e0 dei fornitori, un’indagine che va oltre la semplice verifica delle certificazioni e che deve considerare la loro capacit\u00e0 operativa e finanziaria<\/strong>. L’analisi della solidit\u00e0 finanziaria del fornitore \u00e8 essenziale per assicurarsi che sia in grado di fornire i servizi in modo continuativo e di far fronte a eventuali imprevisti. La capacit\u00e0 operativa del fornitore, intesa come la sua competenza tecnica, la sua esperienza nel settore e la sua infrastruttura tecnologica, \u00e8 altrettanto importante. <\/p>\n\n\n\n

La due diligence deve anche verificare la conformit\u00e0 del fornitore alle normative vigenti in materia di protezione dei dati e di sicurezza informatica, nonch\u00e9 le sue politiche di gestione del rischio e di risposta agli incidenti. Un aspetto cruciale \u00e8 la valutazione della capacit\u00e0 del fornitore di garantire diritti di accesso e audit<\/strong> lungo tutta la catena di subappalto, permettendo all’entit\u00e0 finanziaria di verificare la conformit\u00e0 agli standard di sicurezza. La due diligence non \u00e8 un’attivit\u00e0 isolata, ma un processo continuo di valutazione e monitoraggio che deve essere ripetuto periodicamente per assicurare la costante affidabilit\u00e0 dei fornitori.<\/p>\n\n\n\n

L’identificazione, la documentazione, la valutazione e la due diligence dei fornitori di servizi ICT sono processi interconnessi e fondamentali<\/strong> per la gestione del rischio e la resilienza operativa digitale delle entit\u00e0 finanziarie. <\/p>\n\n\n\n

Questi processi non sono semplici adempimenti normativi, ma elementi cruciali per la protezione delle informazioni e dei sistemi aziendali<\/strong>, per la tutela degli interessi dei clienti<\/strong> e per la stabilit\u00e0 del sistema finanziario<\/strong> nel suo complesso. Le entit\u00e0 finanziarie devono investire le risorse necessarie<\/strong> per implementare questi processi in modo efficace e per garantire che siano costantemente aggiornati e adattati alle nuove sfide del panorama digitale.<\/p>\n\n\n\n

Principio di proporzionalit\u00e0<\/strong><\/h3>\n\n\n\n

Il DORA, il regolamento europeo sulla resilienza operativa digitale, adotta un approccio risk-based<\/strong>, il che significa che le misure di gestione del rischio ICT non sono standardizzate, ma devono essere personalizzate in base alle specifiche caratteristiche di ciascuna entit\u00e0 finanziaria. Questo approccio considera diversi fattori, tra cui le dimensioni dell’entit\u00e0<\/strong>, il tipo di attivit\u00e0<\/strong> che svolge e il suo profilo di rischio<\/strong> complessivo. Un’entit\u00e0 di grandi dimensioni, con operazioni complesse e un’elevata esposizione al rischio informatico, dovr\u00e0 adottare misure di sicurezza pi\u00f9 rigorose e sofisticate rispetto a un’entit\u00e0 pi\u00f9 piccola con attivit\u00e0 meno rischiose. La valutazione del rischio deve quindi essere un processo continuo e dinamico, che si adatta all’evoluzione del panorama delle minacce informatiche e ai cambiamenti interni all’entit\u00e0 finanziaria. \u00c8 fondamentale che le organizzazioni non si limitino ad applicare misure di sicurezza generiche, ma che analizzino attentamente i propri specifici rischi<\/strong> e che implementino soluzioni su misura, garantendo cos\u00ec una protezione efficace e proporzionata.<\/p>\n\n\n\n

Per le piccole entit\u00e0 finanziarie<\/strong>, il DORA prevede un quadro semplificato<\/strong> per la gestione del rischio ICT. Questo quadro semplificato riconosce che le piccole entit\u00e0 potrebbero non avere le stesse risorse e competenze delle grandi organizzazioni e quindi, si adatta alle loro capacit\u00e0 e necessit\u00e0. Questo non significa che le piccole entit\u00e0 possano trascurare la sicurezza informatica, ma che possono adottare un approccio pi\u00f9 leggero e meno oneroso, pur mantenendo un livello adeguato di protezione. <\/p>\n\n\n\n

Al contrario, per i sistemi di pagamento<\/strong>, il DORA prevede un quadro pi\u00f9 intenso<\/strong>, con requisiti di sicurezza pi\u00f9 stringenti. <\/p>\n\n\n\n

Questo perch\u00e9 i sistemi di pagamento sono considerati infrastrutture critiche del sistema finanziario e quindi sono soggetti a rischi particolarmente elevati, che richiedono misure di protezione rafforzate. Il regolamento DORA stabilisce quindi un sistema di tutele variabili<\/strong>, modulato in base alle diverse tipologie di soggetti e alle loro specifiche esposizioni al rischio digitale, riconoscendo che non esiste un’unica soluzione valida per tutti e che \u00e8 necessario adattare le misure di sicurezza alle diverse realt\u00e0. <\/p>\n\n\n\n

Questo approccio differenziato garantisce che tutte le entit\u00e0 finanziarie, indipendentemente dalle loro dimensioni e tipologia di attivit\u00e0, siano protette da minacce informatiche in modo efficace e proporzionato, promuovendo la resilienza operativa digitale dell’intero sistema finanziario europeo.<\/p>\n\n\n\n

La segnalazione degli incidenti<\/h3>\n\n\n\n

Il Regolamento DORA introduce un sistema armonizzato per la segnalazione degli incidenti ICT<\/strong> che rappresenta un cambiamento significativo rispetto alle pratiche precedenti, andando oltre la mera gestione del rischio ICT e focalizzandosi invece sulla risposta agli incidenti. <\/p>\n\n\n\n

Questo sistema non si limita a identificare i potenziali rischi informatici, ma stabilisce anche procedure precise per la classificazione, la registrazione, la gestione e la notifica degli incidenti e delle minacce informatiche<\/strong>. L’obiettivo primario \u00e8 quello di garantire che le entit\u00e0 finanziarie siano in grado di rispondere in modo rapido ed efficace a qualsiasi evento che possa compromettere la loro operativit\u00e0 digitale, riducendo al minimo l’impatto negativo<\/strong> e consentendo una ripresa operativa tempestiva. Questo approccio proattivo alla gestione degli incidenti \u00e8 fondamentale per proteggere l’integrit\u00e0 del sistema finanziario e la fiducia dei clienti<\/strong>.<\/p>\n\n\n\n

La classificazione degli incidenti \u00e8 un elemento cruciale del sistema di segnalazione del DORA, richiedendo alle entit\u00e0 finanziarie di definire criteri chiari per distinguere gli incidenti in base alla loro gravit\u00e0 e impatto<\/strong>. Questi criteri devono tener conto di diversi fattori, tra cui il numero e la rilevanza dei clienti o delle controparti finanziarie interessate<\/strong>, la durata dell’incidente<\/strong>, le perdite di dati<\/strong> e l’impatto sulla disponibilit\u00e0, autenticit\u00e0, integrit\u00e0 e riservatezza dei dati<\/strong>. Una classificazione accurata \u00e8 essenziale per assegnare le risorse appropriate alla gestione dell’incidente e per comunicare in modo efficace con le autorit\u00e0 competenti.<\/p>\n\n\n\n

La registrazione degli incidenti richiede la creazione di un registro dettagliato di tutti gli eventi di sicurezza informatica<\/strong>, in modo da avere una visione completa e aggiornata della situazione. Questo registro deve includere tutte le informazioni rilevanti sull’incidente, inclusi la sua natura, la sua gravit\u00e0, le cause, le misure adottate per risolverlo e l’impatto sull’operativit\u00e0 dell’entit\u00e0. La gestione degli incidenti<\/strong> richiede l’implementazione di procedure interne per identificare, contenere, recuperare e riparare i sistemi e i dati colpiti, riducendo al minimo i danni e garantendo una rapida ripresa delle operazioni. Queste procedure devono definire con chiarezza i ruoli e le responsabilit\u00e0 del personale interno<\/strong>, prevedere piani di comunicazione per gli stakeholder interessati, inclusi i membri del Consiglio di Amministrazione.<\/p>\n\n\n\n

La notifica degli incidenti \u00e8 un aspetto cruciale del DORA, che impone alle entit\u00e0 finanziarie di segnalare tempestivamente gli incidenti gravi alle autorit\u00e0 competenti<\/strong>, fornendo informazioni dettagliate sulla loro natura, cause e impatto. Il regolamento prevede una segnalazione obbligatoria per gli incidenti gravi<\/strong>, e su base volontaria<\/strong> per le minacce informatiche significative. Questo scambio di informazioni \u00e8 fondamentale per le autorit\u00e0 di vigilanza per monitorare la situazione, individuare eventuali tendenze e adottare le misure necessarie per prevenire incidenti futuri. La notifica degli incidenti non \u00e8 un semplice adempimento burocratico, ma un elemento chiave per la protezione del sistema finanziario nel suo complesso. Gli intermediari devono utilizzare la piattaforma Infostat per le segnalazioni, adottando il formato standardizzato previsto dalla Commissione europea.<\/p>\n\n\n\n

Il sistema armonizzato di segnalazione degli incidenti introdotto dal DORA non \u00e8 solo un insieme di regole e procedure, ma un approccio integrato alla sicurezza informatica<\/strong> che permette alle entit\u00e0 finanziarie di gestire gli incidenti in modo proattivo, minimizzando i danni e garantendo la continuit\u00e0 operativa. Questo sistema contribuisce a creare un ambiente finanziario pi\u00f9 sicuro, resiliente e affidabile per tutti i partecipanti.<\/p>\n\n\n\n

Obblighi di comunicazione e risposta<\/strong>:<\/h3>\n\n\n\n

Il Regolamento DORA richiede che le entit\u00e0 finanziarie non solo gestiscano gli incidenti ICT internamente, ma che comunichino in modo efficace con tutti gli stakeholder coinvolti e interessati, partendo dalla consapevolezza che la fiducia e la trasparenza sono essenziali per la resilienza del sistema finanziario. <\/p>\n\n\n\n

Pertanto le aziende devono stabilire piani di comunicazione dettagliati per informare adeguatamente<\/strong> tutti i soggetti interessati, in caso di incidenti ICT, a partire dai membri del Consiglio di Amministrazione<\/strong>, che hanno un ruolo fondamentale nella supervisione e nella gestione dei rischi aziendali. Questi piani devono prevedere canali di comunicazione chiari e rapidi, con informazioni aggiornate e precise sull’incidente, le sue cause e le azioni che si stanno intraprendendo per risolverlo. Una comunicazione tempestiva e trasparente con il Consiglio di Amministrazione permette una valutazione accurata della situazione e una risposta coordinata per mitigare gli impatti negativi sull’azienda.<\/p>\n\n\n\n

La comunicazione non si limita agli organi di governance interna, ma si estende anche agli utenti e ai clienti, che sono direttamente colpiti dagli incidenti. Il regolamento DORA prevede che le aziende debbano informare tempestivamente i clienti<\/strong> e gli utenti nel caso in cui l’incidente abbia avuto o possa avere un impatto sui loro interessi finanziari<\/strong>. <\/p>\n\n\n\n

Questa comunicazione deve essere chiara, comprensibile e deve fornire tutte le informazioni necessarie per permettere ai clienti di proteggere i loro interessi e di prendere le decisioni pi\u00f9 appropriate. La trasparenza nei confronti dei clienti \u00e8 fondamentale per mantenere la fiducia e la credibilit\u00e0 dell’entit\u00e0 finanziaria ed evitare una crisi di reputazione in caso di incidenti.<\/p>\n\n\n\n

Oltre alla comunicazione, le entit\u00e0 finanziarie devono predisporre procedure efficaci per mitigare l’impatto degli incidenti e garantire che i servizi tornino operativi e sicuri in modo tempestivo<\/strong>. <\/p>\n\n\n\n

Queste procedure devono includere passaggi dettagliati per l’identificazione, il contenimento, l’eliminazione e il recupero dei sistemi e dei dati interessati, prevedendo un piano di ripristino rapido e ordinato per minimizzare le perdite e garantire la continuit\u00e0 operativa. Il ripristino deve seguire una precisa valutazione dei rischi e deve mirare al ripristino completo della sicurezza del sistema, proteggendo i dati e le informazioni da future vulnerabilit\u00e0. Le aziende devono implementare un piano di risposta agli incidenti<\/strong> che sia completo e ben documentato, includendo i ruoli, le responsabilit\u00e0, le procedure di escalation, la comunicazione interna ed esterna e il piano di ripristino completo.<\/p>\n\n\n\n

La gestione degli incidenti secondo il DORA non \u00e8 un processo isolato, ma un ciclo continuo di comunicazione, risposta e miglioramento<\/strong> che coinvolge tutti gli attori interessati e che si basa sulla trasparenza, sulla responsabilit\u00e0 e sulla cooperazione per proteggere il sistema finanziario e garantire la fiducia dei clienti. Le aziende devono considerare gli incidenti non solo come un rischio da gestire, ma anche come un’opportunit\u00e0 per imparare e rafforzare la loro resilienza cibernetica. In altre parole, le aziende non possono limitarsi a reagire agli incidenti, ma devono mettere in atto tutte le misure necessarie per prevenire, individuare, gestire e rispondere in modo efficace a qualsiasi potenziale minaccia, informando in modo chiaro e tempestivo tutti gli stakeholder coinvolti.<\/p>\n\n\n\n

Condivisione delle Informazioni<\/strong>:<\/h3>\n\n\n\n

Il DORA, consapevole dell’importanza della collaborazione per contrastare le minacce informatiche sempre pi\u00f9 sofisticate, promuove attivamente la condivisione volontaria di informazioni a livello europeo<\/strong>, creando un sistema in cui l’intero settore finanziario pu\u00f2 beneficiare dell’esperienza e della conoscenza collettiva. Questa condivisione di informazioni non \u00e8 un obbligo, ma un’opportunit\u00e0 che il regolamento offre alle entit\u00e0 finanziarie per rafforzare le proprie difese<\/strong> e per contribuire alla sicurezza dell’intero ecosistema finanziario. L’idea centrale \u00e8 che attraverso lo scambio di informazioni sulle minacce informatiche, le organizzazioni possano imparare sia dai propri incidenti che da quelli subiti da altre entit\u00e0<\/strong>.<\/p>\n\n\n\n

Il DORA incoraggia quindi le entit\u00e0 finanziarie a partecipare attivamente ad accordi e iniziative per la condivisione di informazioni sulle minacce<\/strong>, creando una rete di sicurezza collettiva. Questi accordi possono assumere forme diverse, come piattaforme online, forum di discussione o gruppi di lavoro, e devono permettere una comunicazione rapida e sicura delle informazioni pertinenti. Attraverso la condivisione, le entit\u00e0 finanziarie possono essere informate tempestivamente<\/strong> su nuove tipologie di attacchi, vulnerabilit\u00e0 di sistemi e software, e tattiche utilizzate dai cybercriminali. Questo permette a ciascuna entit\u00e0 di adattare le proprie difese<\/strong> in modo proattivo, anticipando le minacce anzich\u00e9 reagire a eventi gi\u00e0 accaduti. La condivisione di informazioni non si limita alle minacce esterne, ma riguarda anche gli incidenti interni, per imparare dagli errori e rafforzare le proprie procedure di risposta.<\/p>\n\n\n\n

\u00c8 fondamentale sottolineare che la condivisione di informazioni deve avvenire nel pieno rispetto della privacy e della protezione dei dati personali. Il DORA richiede che le informazioni condivise siano protette in conformit\u00e0 con le linee guida pertinenti<\/strong>, come il Regolamento generale sulla protezione dei dati (GDPR). Ci\u00f2 significa che le entit\u00e0 finanziarie devono adottare misure tecniche e organizzative adeguate per garantire la riservatezza, l’integrit\u00e0 e la disponibilit\u00e0 delle informazioni condivise<\/strong>, evitando qualsiasi violazione della privacy dei clienti e di terzi. La condivisione di informazioni deve essere un’attivit\u00e0 sicura e trasparente, in cui tutti i partecipanti si sentano tutelati e protetti.<\/p>\n\n\n\n

il DORA riconosce che la collaborazione e la condivisione di informazioni sono essenziali per la resilienza operativa digitale<\/strong> del settore finanziario. Attraverso un sistema di condivisione volontaria di informazioni, le entit\u00e0 finanziarie possono prevenire meglio gli attacchi informatici, rispondere in modo pi\u00f9 efficace agli incidenti e limitare rapidamente la diffusione dei rischi informatici<\/strong>, proteggendo l’intero sistema finanziario da potenziali contagi attraverso i canali finanziari. La condivisione delle informazioni \u00e8 quindi un elemento chiave per la creazione di un ambiente finanziario pi\u00f9 sicuro e resiliente, in cui tutti gli attori lavorano insieme per contrastare le minacce cyber. La trasparenza, la responsabilit\u00e0 e la cooperazione sono i valori fondamentali di questo approccio integrato alla sicurezza informatica del settore finanziario.<\/p>\n\n\n\n

Ruolo delle Autorit\u00e0 Competenti<\/strong><\/h3>\n\n\n\n

Il Regolamento DORA prevede che le autorit\u00e0 competenti<\/strong> svolgano un ruolo cruciale nella gestione degli incidenti ICT, non solo ricevendo le segnalazioni dalle entit\u00e0 finanziarie, ma anche fornendo feedback e indicazioni<\/strong> per migliorare la loro resilienza operativa. Questo feedback \u00e8 fondamentale per aiutare le entit\u00e0 a comprendere la gravit\u00e0 e le implicazioni degli incidenti, identificare le vulnerabilit\u00e0<\/strong> e implementare le misure correttive necessarie per prevenire futuri eventi simili. L’interazione tra le autorit\u00e0 e le entit\u00e0 finanziarie \u00e8 quindi un processo dinamico e collaborativo, volto a rafforzare la sicurezza dell’intero sistema.<\/p>\n\n\n\n

Le autorit\u00e0 competenti, inoltre, non operano in isolamento<\/strong>, ma sono parte di una rete di scambio di informazioni che coinvolge diverse istituzioni e autorit\u00e0. Il DORA stabilisce che le autorit\u00e0 competenti possano condividere dettagli pertinenti degli incidenti con altre istituzioni<\/strong>, come le Autorit\u00e0 europee di vigilanza (ESA), la Banca Centrale Europea (BCE) e i punti di contatto designati ai sensi della direttiva (UE) 2016\/1148. Questa condivisione di informazioni \u00e8 essenziale per garantire una comprensione completa e tempestiva delle minacce a livello europeo<\/strong>, per coordinare le risposte a incidenti transfrontalieri e per evitare che una singola vulnerabilit\u00e0 possa propagarsi in tutto il sistema finanziario. La rapidit\u00e0 e l’efficacia nello scambio di informazioni<\/strong> tra le autorit\u00e0 competenti sono fondamentali, soprattutto in caso di attacchi su larga scala con potenziali conseguenze sistemiche.<\/p>\n\n\n\n

Un altro aspetto importante del ruolo delle autorit\u00e0 competenti \u00e8 la vigilanza continua<\/strong> sull’entit\u00e0 finanziaria che si avvale di servizi ICT prestati da fornitori terzi. Questa attivit\u00e0 di vigilanza \u00e8 fondamentale per monitorare i rischi associati all’esternalizzazione di funzioni essenziali o importanti<\/strong> e per garantire che le entit\u00e0 finanziarie rispettino gli obblighi del DORA anche quando utilizzano servizi forniti da terzi. Le autorit\u00e0 competenti non si limitano a ricevere segnalazioni di incidenti, ma monitorano attivamente le relazioni contrattuali<\/strong> e le pratiche di gestione del rischio delle entit\u00e0, anche in relazione ai loro fornitori ICT.<\/p>\n\n\n\n

Le Autorit\u00e0 di vigilanza europee (ESA)<\/strong>, infine, svolgono un ruolo di coordinamento e di analisi a livello europeo. Le ESA raccolgono e analizzano le notifiche di incidenti ICT<\/strong> provenienti dalle autorit\u00e0 competenti degli Stati membri, pubblicando statistiche aggregate e anonimizzate per fornire una panoramica delle minacce e delle vulnerabilit\u00e0<\/strong> a livello di Unione. Inoltre, le ESA emettono avvisi e producono statistiche<\/strong> per supportare le valutazioni delle minacce e delle vulnerabilit\u00e0 ICT, permettendo alle entit\u00e0 finanziarie di essere informate e pronte ad affrontare le sfide di cybersecurity. Questo lavoro di analisi e coordinamento a livello europeo \u00e8 essenziale per comprendere le tendenze delle minacce informatiche e per migliorare la capacit\u00e0 di risposta e resilienza dell’intero settore finanziario<\/strong>. Le ESA hanno anche il compito di stabilire, pubblicare e aggiornare annualmente l’elenco dei fornitori terzi di servizi ICT critici a livello di Unione.<\/p>\n\n\n\n

Il DORA prevede un sistema complesso e integrato<\/strong> in cui le autorit\u00e0 competenti non sono semplici destinatari di segnalazioni, ma attori chiave nella prevenzione, nella gestione e nella risposta agli incidenti ICT. Le autorit\u00e0 svolgono un ruolo di supervisione continua, di scambio di informazioni e di analisi delle minacce a livello nazionale ed europeo<\/strong>, contribuendo a creare un ambiente finanziario pi\u00f9 sicuro e resiliente. Il loro lavoro \u00e8 fondamentale per garantire che il settore finanziario sia in grado di affrontare le sfide poste dalla digitalizzazione e dalla crescente sofisticazione degli attacchi informatici.<\/strong><\/p>\n\n\n\n

Sanzioni<\/strong>:<\/h3>\n\n\n\n

Il Regolamento DORA, nel suo intento di rafforzare la resilienza operativa digitale del settore finanziario, prevede un sistema sanzionatorio rigoroso<\/strong> per garantire il rispetto degli obblighi imposti, con conseguenze finanziarie rilevanti per le entit\u00e0 che non si adeguano alle normative. La mancata segnalazione di incidenti informatici gravi<\/strong> o la non conformit\u00e0 ai requisiti del regolamento possono infatti comportare sanzioni amministrative pecuniarie significative<\/strong>, dimostrando l’importanza attribuita alla sicurezza informatica nel contesto finanziario europeo. Le istituzioni finanziarie che non rispettano le regole stabilite dal DORA possono incorrere in multe fino a 10 milioni di euro oppure al 5% del loro fatturato annuo totale<\/strong>. Questa doppia modalit\u00e0 di calcolo delle sanzioni, con un tetto massimo espresso sia in valore assoluto che in percentuale sul fatturato, assicura che le sanzioni siano proporzionali alle dimensioni e alla capacit\u00e0 finanziaria dell’entit\u00e0 sanzionata. L’ammontare delle sanzioni \u00e8 quindi tale da rappresentare un serio deterrente per le entit\u00e0 finanziarie, incoraggiandole ad investire in sicurezza informatica e nella conformit\u00e0 al DORA.<\/p>\n\n\n\n

\u00c8 importante sottolineare che le sanzioni non sono solo una conseguenza della non conformit\u00e0, ma rappresentano anche un meccanismo per garantire la stabilit\u00e0 e l’integrit\u00e0 del sistema finanziario<\/strong>. L’obiettivo del DORA \u00e8 quello di creare un ambiente finanziario pi\u00f9 sicuro e resiliente, in cui le entit\u00e0 siano in grado di prevenire, rispondere e recuperare rapidamente da incidenti informatici. Le sanzioni, in questo contesto, hanno lo scopo di scoraggiare comportamenti negligenti o irresponsabili<\/strong> che potrebbero mettere a rischio la stabilit\u00e0 del sistema e la fiducia dei consumatori.<\/p>\n\n\n\n

Le autorit\u00e0 competenti, designate da ciascuno Stato membro dell’UE, hanno il compito di vigilare sul rispetto del DORA<\/strong> e di imporre sanzioni in caso di violazioni. I criteri specifici per il calcolo delle sanzioni sono stabiliti dalle autorit\u00e0 competenti, con la possibilit\u00e0 di richiedere alle entit\u00e0 finanziarie di adottare misure di sicurezza specifiche<\/strong> e di correggere le vulnerabilit\u00e0 riscontrate. Le autorit\u00e0 possono anche imporre sanzioni amministrative, e in alcuni casi penali, alle entit\u00e0 che non si conformano ai requisiti del DORA. Ci\u00f2 significa che ogni Stato membro pu\u00f2 decidere autonomamente sulle penalit\u00e0 da applicare, purch\u00e9 rispettino i limiti stabiliti dal regolamento europeo. Inoltre, i fornitori di servizi ICT critici, designati dalla Commissione Europea, sono direttamente supervisionati dalle autorit\u00e0 di vigilanza europee (ESA) e sono anch\u2019essi soggetti a sanzioni pecuniarie in caso di non conformit\u00e0. I fornitori di servizi ICT critici possono essere multati fino all’1% del loro fatturato medio giornaliero mondiale<\/strong> dell’anno precedente, con multe che possono essere applicate ogni giorno per un massimo di sei mesi fino a quando non raggiungono la conformit\u00e0. Questo aspetto sottolinea come la responsabilit\u00e0 non ricada solo sulle entit\u00e0 finanziarie, ma anche sui loro fornitori di servizi ICT, con un approccio alla sicurezza informatica che riguarda l’intera catena di fornitura del settore finanziario.<\/p>\n\n\n\n

L’impianto sanzionatorio del DORA \u00e8 severo e strutturato per garantire la conformit\u00e0 alle normative sulla resilienza operativa digitale<\/strong>. Le multe elevate<\/strong>, la supervisione continua da parte delle autorit\u00e0 competenti e la responsabilit\u00e0 estesa anche ai fornitori di servizi ICT, creano un sistema di incentivi e controlli che mira a proteggere il settore finanziario dalle minacce informatiche. Le entit\u00e0 finanziarie e i fornitori di servizi ICT devono quindi adottare un approccio proattivo alla gestione dei rischi informatici, consapevoli che la non conformit\u00e0 al DORA pu\u00f2 comportare conseguenze finanziarie significative e un danno alla propria reputazione<\/strong>.<\/p>\n\n\n\n

Il principio di proporzionalit\u00e0<\/strong><\/h3>\n\n\n\n

Il Regolamento DORA introduce il principio di proporzionalit\u00e0<\/strong> come elemento chiave per l’applicazione delle misure di sicurezza e degli adempimenti richiesti alle entit\u00e0 finanziarie, riconoscendo che non tutte le organizzazioni operano con la stessa scala o lo stesso livello di rischio. Questo significa che le misure di sicurezza e gli obblighi imposti non sono uniformi<\/strong>, ma variano in base alle caratteristiche specifiche di ogni entit\u00e0 finanziaria, tenendo conto delle loro dimensioni, del loro profilo di rischio complessivo, nonch\u00e9 della natura, della portata e della complessit\u00e0 dei loro servizi, delle loro attivit\u00e0 e della loro operativit\u00e0<\/strong>.<\/p>\n\n\n\n

Le entit\u00e0 finanziarie pi\u00f9 piccole, come le microimprese, possono beneficiare di un quadro semplificato<\/strong> per la gestione dei rischi ICT, con adempimenti meno onerosi rispetto a quelli richiesti per le grandi banche o gli istituti finanziari complessi. Questo approccio consente di evitare di imporre oneri eccessivi a realt\u00e0 pi\u00f9 piccole che potrebbero avere difficolt\u00e0 a sostenere i costi e la complessit\u00e0 di sistemi di sicurezza sofisticati.<\/p>\n\n\n\n

Al contrario, le entit\u00e0 finanziarie con un profilo di rischio pi\u00f9 elevato, come i sistemi di pagamento<\/strong>, possono essere soggette a requisiti pi\u00f9 stringenti e ad un livello di controllo maggiore. Questo perch\u00e9 una loro vulnerabilit\u00e0 potrebbe avere un impatto significativo sulla stabilit\u00e0 del sistema finanziario. L’obiettivo \u00e8 quello di garantire che le misure di sicurezza siano sempre adeguate al livello di rischio effettivo, senza imporre oneri sproporzionati alle entit\u00e0 con rischi minori.<\/p>\n\n\n\n

Il principio di proporzionalit\u00e0 si applica anche alla gestione del rischio di terze parti ICT<\/strong>, dove il livello di controllo e le garanzie contrattuali richieste ai fornitori di servizi sono commisurate all’importanza dei servizi forniti e al rischio che essi comportano per l’entit\u00e0 finanziaria. Inoltre, la frequenza dei test di resilienza operativa digitale, inclusi i test di penetrazione basati sulle minacce, \u00e8 determinata in base al profilo di rischio dell’entit\u00e0 finanziaria.<\/p>\n\n\n\n

Il principio di proporzionalit\u00e0 \u00e8 fondamentale per garantire un’applicazione efficace e sostenibile del DORA<\/strong>, permettendo di adattare gli obblighi alle diverse realt\u00e0 del settore finanziario e garantendo che le risorse siano allocate in modo efficiente per una maggiore sicurezza e resilienza. L’obiettivo \u00e8 di creare un quadro normativo che sia al contempo rigoroso e flessibile, capace di proteggere il sistema finanziario senza soffocare l’innovazione e la crescita delle aziende pi\u00f9 piccole.<\/p>\n\n\n\n

I test di penetrazione basati sulle minacce (Threat-Led Penetration Test – TLPT)<\/strong><\/h3>\n\n\n\n

Il Regolamento DORA introduce l’obbligo per alcune entit\u00e0 finanziarie di effettuare test avanzati di penetrazione basati su minacce (Threat-Led Penetration Test – TLPT)<\/strong>, con una cadenza almeno triennale. Questi test non sono semplici verifiche di routine, ma vere e proprie simulazioni di attacchi informatici reali, progettate per mettere alla prova la capacit\u00e0 di difesa e risposta dell’entit\u00e0 in condizioni di stress elevato. L’obiettivo principale di questi test \u00e8 quello di valutare in modo approfondito la resilienza operativa digitale<\/strong> dell’organizzazione, ossia la sua capacit\u00e0 di mantenere inalterate le proprie funzioni operative, di adattarsi a situazioni avverse e di ripristinare rapidamente i sistemi dopo un incidente informatico.<\/p>\n\n\n\n

I TLPT sono quindi uno strumento fondamentale per identificare le vulnerabilit\u00e0 e le debolezze<\/strong> dei sistemi ICT, consentendo alle entit\u00e0 finanziarie di adottare misure correttive tempestive e di migliorare le proprie strategie di cybersecurity. Questi test devono essere condotti da soggetti esterni e qualificati, in conformit\u00e0 all’articolo 27 del DORA, garantendo cos\u00ec un’analisi obiettiva e indipendente delle difese dell’entit\u00e0. La scelta di affidarsi a soggetti esterni \u00e8 pensata per evitare conflitti di interesse e per ottenere una valutazione pi\u00f9 accurata della reale esposizione al rischio informatico.<\/p>\n\n\n\n

I risultati dei TLPT non sono solo un feedback interno per le entit\u00e0 finanziarie, ma sono anche uno strumento di supervisione per le autorit\u00e0 competenti<\/strong>. Infatti, gli esiti di questi test vengono integrati nei processi di vigilanza e contribuiscono alla valutazione complessiva della solidit\u00e0 e della sicurezza delle entit\u00e0. In questo modo, le autorit\u00e0 di vigilanza possono monitorare il livello di conformit\u00e0 delle entit\u00e0 finanziarie agli standard di sicurezza del DORA e possono intervenire tempestivamente nel caso in cui vengano riscontrate gravi carenze. L’approccio del DORA mira a spostare l’attenzione dalla semplice prevenzione degli attacchi alla capacit\u00e0 di ripresa e adattamento dell’intero sistema finanziario.<\/p>\n\n\n\n

La frequenza almeno triennale dei TLPT sottolinea l’importanza di un monitoraggio continuo e di un miglioramento costante<\/strong> della sicurezza informatica. Il panorama delle minacce informatiche \u00e8 in continua evoluzione e nuovi attacchi vengono sviluppati di continuo, perci\u00f2 \u00e8 fondamentale che le entit\u00e0 finanziarie si sottopongano a test regolari per assicurarsi che le loro difese siano sempre aggiornate ed efficaci. L’approccio risk-based<\/em> del DORA implica che la frequenza dei test e la loro intensit\u00e0 debbano essere commisurate al profilo di rischio di ogni singola entit\u00e0, tenendo conto delle sue dimensioni, della complessit\u00e0 delle sue attivit\u00e0 e dell’importanza sistemica dei suoi servizi.<\/p>\n\n\n\n

Oltre ai TLPT, il DORA prevede anche altri tipi di test, come simulazioni di attacchi, analisi di vulnerabilit\u00e0 e valutazioni della resilienza delle infrastrutture. Questi test, insieme ai TLPT, contribuiscono a costruire una cultura della sicurezza informatica che va oltre la semplice conformit\u00e0 formale e che punta ad un miglioramento continuo delle difese e della capacit\u00e0 di risposta di tutto il settore finanziario. Le entit\u00e0 finanziarie devono quindi documentare i risultati dei test e utilizzarli per migliorare continuamente i propri controlli di sicurezza e per adeguare le proprie politiche di gestione del rischio informatico. L\u2019obiettivo \u00e8 quello di sviluppare un approccio proattivo, capace di anticipare le minacce e di garantire la continuit\u00e0 operativa anche in caso di incidenti informatici.<\/p>\n\n\n\n

Il registro degli accordi contrattuali <\/strong><\/h3>\n\n\n\n

Il registro degli accordi contrattuali con i fornitori di servizi ICT<\/strong> rappresenta uno strumento fondamentale nel quadro normativo del DORA, un pilastro per una gestione efficace del rischio informatico nel settore finanziario. Questo registro non \u00e8 un semplice elenco di contratti, ma un vero e proprio database dinamico e dettagliato<\/strong>, dove ogni entit\u00e0 finanziaria deve documentare minuziosamente tutti gli accordi stipulati con fornitori terzi per l’utilizzo di servizi ICT<\/strong>. L’obiettivo \u00e8 quello di avere una panoramica completa e aggiornata delle dipendenze esterne<\/strong> in ambito tecnologico, elemento essenziale per una corretta valutazione dei rischi e per la garanzia della resilienza operativa digitale.<\/p>\n\n\n\n

Il DORA, infatti, richiede che ogni entit\u00e0 finanziaria mantenga e aggiorni costantemente questo registro, sia a livello aziendale che a livello consolidato. Questo significa che le informazioni devono essere facilmente accessibili e sempre pronte per essere consultate dalle autorit\u00e0 di vigilanza o da altri soggetti interni ed esterni coinvolti nella gestione del rischio. Non si tratta solo di registrare i contratti, ma anche di classificarli in base alla loro importanza e criticit\u00e0<\/strong>, distinguendo tra quelli che riguardano funzioni essenziali o importanti e quelli che riguardano funzioni secondarie.<\/p>\n\n\n\n

Le informazioni che devono essere incluse nel registro sono estremamente dettagliate e vanno ben oltre i semplici dati identificativi del fornitore e del contratto. Il registro deve contenere una descrizione precisa dei servizi ICT forniti<\/strong>, specificando la loro natura, la loro portata e il loro impatto sull’operativit\u00e0 dell’entit\u00e0 finanziaria. Inoltre, \u00e8 necessario identificare i subappaltatori<\/strong> coinvolti nella fornitura dei servizi, mappando l’intera catena di fornitura e valutando i rischi connessi alla dipendenza da terzi. In questo modo, si crea una visione chiara e trasparente della complessa rete di interconnessioni che caratterizza l’ecosistema digitale del settore finanziario.<\/p>\n\n\n\n

Un altro aspetto cruciale del registro \u00e8 la documentazione di tutti gli aspetti rilevanti per la gestione del rischio<\/strong>, come i livelli di servizio, le procedure di sicurezza, i piani di continuit\u00e0 operativa e le clausole contrattuali relative alla risoluzione delle controversie. Questo permette alle entit\u00e0 finanziarie di avere un controllo pi\u00f9 stringente sui fornitori di servizi ICT e di garantire che essi rispettino gli standard di sicurezza e di resilienza richiesti dal DORA. Il registro, inoltre, deve includere i punti di contatto<\/strong> presso il fornitore per la gestione degli incidenti e delle emergenze, garantendo una comunicazione rapida ed efficace in caso di problemi.<\/p>\n\n\n\n

Il DORA ha l’obiettivo di creare uno standard europeo per questo registro<\/strong>, in modo da facilitare il monitoraggio e la supervisione da parte delle autorit\u00e0 competenti. Le Autorit\u00e0 Europee di Vigilanza (AEV) sono incaricate di definire un modello standard per il registro, stabilendo i formati, i modelli e le procedure che devono essere seguiti da tutte le entit\u00e0 finanziarie. Questo modello standardizzato \u00e8 fondamentale per consentire alle autorit\u00e0 di vigilanza di valutare rapidamente i rischi associati ai fornitori terzi e per garantire che le entit\u00e0 rispettino i requisiti del DORA. Nonostante ci\u00f2, una recente bocciatura da parte della Commissione Europea ha evidenziato alcune criticit\u00e0, in particolare riguardo all’utilizzo del LEI (identificatore di entit\u00e0 giuridica) rispetto all’EUID (identificatore unico europeo), sollevando preoccupazioni sulla gestione delle informazioni e sull’aggravio degli oneri di segnalazione per le entit\u00e0 finanziarie.<\/p>\n\n\n\n

L’implementazione e la tenuta di questo registro non sono semplici adempimenti burocratici, ma rappresentano un elemento chiave per la gestione proattiva del rischio ICT e per la garanzia della resilienza operativa digitale<\/strong>. Il registro \u00e8 un punto di riferimento per le entit\u00e0 finanziarie nel momento in cui devono decidere se affidare a terzi delle funzioni critiche e importanti, fornendo loro una visione d’insieme della struttura dei rischi e delle dipendenze<\/strong>. \u00c8 uno strumento indispensabile per una gestione consapevole e responsabile dei rischi derivanti dall’utilizzo di servizi ICT forniti da terzi.<\/p>\n\n\n\n

L’autovalutazione<\/strong><\/h3>\n\n\n\n

Il regolamento DORA (Digital Operational Resilience Act) \u00e8 un’iniziativa dell’Unione Europea per rafforzare la resilienza operativa digitale del settore finanziario e si inserisce in un pi\u00f9 ampio quadro normativo europeo che include anche la Direttiva NIS 2 e la Direttiva CER, tutte volte a potenziare la capacit\u00e0 di resistenza delle aziende europee nel contesto cyber. Il DORA si applica a una vasta gamma di entit\u00e0 finanziarie<\/strong>, e anche ai fornitori di servizi ICT che operano per il settore finanziario.<\/p>\n\n\n\n

Il regolamento entrer\u00e0 pienamente in vigore il 17 gennaio 2025<\/strong>, con la conseguente abrogazione di alcune normative secondarie della Banca d’Italia in materia di esternalizzazione di servizi ICT a supporto di FEI (Funzioni Essenziali o Importanti), che non saranno pi\u00f9 applicabili dal 17 gennaio 2025. Per esempio, dal 17 gennaio 2025, gli intermediari dovranno informare tempestivamente la Banca d’Italia<\/strong> prima di stipulare contratti per servizi ICT a supporto di FEI, e dovranno segnalare i gravi incidenti ICT e le minacce informatiche<\/strong> significative alla Banca d’Italia. La segnalazione degli incidenti ICT e delle minacce informatiche seguir\u00e0 un nuovo schema di notifica definito dal regolamento delegato (UE) 2024\/1772.<\/p>\n\n\n\n

Un aspetto centrale del DORA \u00e8 la gestione dei rischi ICT nelle attivit\u00e0 esternalizzate<\/strong> e richiede alle entit\u00e0 finanziarie di tenere un registro dettagliato<\/strong> di tutti gli accordi contrattuali per l’utilizzo di servizi ICT forniti da terzi. Il registro deve contenere informazioni precise sui servizi forniti, i subappaltatori e altri aspetti rilevanti per la gestione del rischio. Inoltre, il DORA introduce obblighi pi\u00f9 stringenti<\/strong> per la gestione dei rischi di cybersecurity legati all’esternalizzazione dei servizi ICT, con particolare attenzione alla continuit\u00e0 operativa.<\/p>\n\n\n\n

Un altro elemento importante introdotto dal regolamento \u00e8 l’autovalutazione<\/strong>, che la Banca d’Italia ha richiesto agli intermediari direttamente vigilati. Entro il 30 aprile 2025, gli intermediari devono completare e comunicare alla Banca d’Italia un’autovalutazione sul rispetto dei requisiti del DORA, redatta con il supporto delle funzioni di controllo di secondo e terzo livello e approvata dall’organo di amministrazione. L’obiettivo di questa autovalutazione \u00e8 consentire all’Autorit\u00e0 di misurare il raggiungimento degli obiettivi normativi<\/strong> e di consolidare gli orientamenti a livello sistemico.<\/p>\n\n\n\n

Il DORA introduce anche un impianto sanzionatorio<\/strong> complesso e completo per le violazioni degli adempimenti, con multe che possono raggiungere il 5% del fatturato annuo totale o 10 milioni di euro. Questo sottolinea l’importanza per le entit\u00e0 finanziarie di adeguarsi tempestivamente ai requisiti del regolamento e di garantire una gestione efficace dei rischi legati all’utilizzo di servizi ICT forniti da terzi.<\/p>\n\n\n\n

Inoltre, il DORA si allinea con la Digital Finance Strategy<\/strong> e con il principio di proporzionalit\u00e0, che richiede di valutare la conformit\u00e0 agli obblighi legali caso per caso in base alle specifiche caratteristiche di ogni entit\u00e0 finanziaria. Il regolamento conferma un approccio cross-settoriale<\/strong> e orientato al rischio<\/strong>, basato su pochi principi generali da declinare in modo specifico a seconda delle peculiarit\u00e0 dei diversi ambiti finanziari. Il DORA non \u00e8 applicabile esclusivamente agli istituti finanziari, ma anche ai fornitori ICT, che dovranno adempiere agli obblighi imposti.<\/p>\n\n\n\n

Il principio di trasparenza<\/strong>, previsto anche dall’AI Act, \u00e8 centrale per il DORA, con l’obiettivo di garantire che i sistemi di intelligenza artificiale siano tracciabili, spiegabili e comprensibili per gli utenti finali, proteggendo i diritti fondamentali. L’interconnessione tra attivit\u00e0 interne ed esternalizzate \u00e8 fondamentale nel contesto dei mercati globalizzati e il regolamento mira a garantire che i fornitori di servizi ICT rispettino gli standard di sicurezza e di resilienza richiesti.<\/p>\n\n\n\n

Le Autorit\u00e0 europee di vigilanza (ESAs)<\/strong><\/h3>\n\n\n\n

l’Autorit\u00e0 bancaria europea (EBA), l’Autorit\u00e0 europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) e l’Autorit\u00e0 europea degli strumenti finanziari e dei mercati (ESMA), svolgono un ruolo fondamentale<\/strong> nel contesto del regolamento DORA, non limitandosi alla mera definizione di standard tecnici ma partecipando attivamente alla supervisione e al monitoraggio del sistema finanziario. Queste autorit\u00e0 hanno il compito di elaborare gli standard tecnici di regolamentazione (RTS)<\/strong> e gli standard tecnici di implementazione (ITS)<\/strong>, che definiscono i requisiti specifici che le entit\u00e0 finanziarie e i fornitori di servizi ICT devono rispettare. Questi standard sono essenziali per l’applicazione pratica del regolamento DORA e coprono vari aspetti come la classificazione degli incidenti ICT, i test di resilienza operativa digitale e la gestione dei rischi di terze parti.<\/p>\n\n\n\n

In particolare, le ESAs hanno il compito di identificare i fornitori di servizi ICT considerati critici<\/strong> per il settore finanziario dell’UE, basandosi su criteri specifici come l’impatto sistemico sulla stabilit\u00e0 finanziaria, il numero di entit\u00e0 finanziarie che dipendono dal fornitore e la dipendenza delle entit\u00e0 finanziarie dai servizi del fornitore per funzioni critiche. Una volta identificati, questi fornitori sono soggetti alla supervisione diretta<\/strong> di un’autorit\u00e0 di vigilanza capofila (lead overseer), designata dalle ESAs. Il lead overseer ha il compito di valutare se il fornitore ICT critico dispone di regole, procedure e meccanismi adeguati per gestire i rischi informatici<\/strong> che potrebbero esporre le entit\u00e0 finanziarie. Le ESAs, tramite il Comitato congiunto, sviluppano inoltre standard tecnici per specificare gli elementi che un’entit\u00e0 finanziaria deve valutare quando subappalta servizi ICT per funzioni essenziali.<\/p>\n\n\n\n

Le ESAs, attraverso un Oversight Forum<\/strong>, presentano annualmente una relazione al Parlamento europeo, al Consiglio e alla Commissione sull’applicazione delle disposizioni relative alla supervisione dei fornitori ICT critici. Questo forum svolge un ruolo di coordinamento, contribuendo a garantire che la supervisione sia coerente e uniforme in tutta l’Unione Europea.<\/p>\n\n\n\n

Un aspetto fondamentale del ruolo delle ESAs \u00e8 la gestione della segnalazione degli incidenti ICT<\/strong>. Infatti, le ESAs hanno il compito di stabilire il contenuto dei report relativi agli incidenti ICT e la notifica delle minacce informatiche significative, nonch\u00e9 i termini entro cui le entit\u00e0 finanziarie devono segnalare questi eventi alle autorit\u00e0 competenti. Le ESAs garantiscono anche la coerenza tra i requisiti per la segnalazione degli incidenti previsti dal DORA e quelli della direttiva (UE) 2022\/2555 (NIS 2). Le segnalazioni degli incidenti vengono raccolte e analizzate dalle ESAs a livello europeo, per consentire una comprensione pi\u00f9 ampia e completa delle minacce informatiche che colpiscono il settore finanziario.<\/p>\n\n\n\n

Infine, \u00e8 importante sottolineare che le ESAs hanno pubblicato uno statement il 4 dicembre 2024<\/strong> per richiamare l’attenzione degli operatori di mercato sulla prima applicazione del regolamento DORA<\/strong>. Questo statement sottolinea l’importanza della preparazione all’entrata in vigore del regolamento e evidenzia come non sia previsto un periodo transitorio, e che le entit\u00e0 finanziarie devono essere pronte a rispettare i requisiti dal 17 gennaio 2025, data di inizio applicazione del DORA. Entro i primi mesi del 2025 le entit\u00e0 finanziarie devono avere pronti i registri aggiornati sugli accordi contrattuali con i fornitori ICT, che saranno trasmessi dalle autorit\u00e0 competenti alle ESAs entro il 30 aprile 2025. I fornitori ICT critici devono valutare la propria operativit\u00e0 rispetto ai requisiti del DORA, e la prima designazione dei CTPPs \u00e8 prevista nella seconda met\u00e0 del 2025.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Le tempistiche di applicazione del DORA:<\/strong> <\/h3>\n\n\n\n

Il Regolamento DORA, entrato in vigore il 16 gennaio 2023<\/strong>, prevede un periodo di transizione per consentire alle entit\u00e0 finanziarie e ai fornitori di servizi ICT di adeguarsi alle nuove disposizioni, con l’applicazione effettiva a partire dal 17 gennaio 2025<\/strong>. Questo intervallo di tempo ha permesso ai soggetti interessati di prepararsi per la piena conformit\u00e0 al regolamento, che diventer\u00e0 obbligatoria dal 17 gennaio 2025<\/strong>. La data del 17 gennaio 2025 segna un punto di svolta per il settore finanziario, con l’implementazione di requisiti stringenti in materia di resilienza operativa digitale.<\/p>\n\n\n\n

Durante questo periodo di transizione, le autorit\u00e0 di vigilanza europee (ESAs) hanno continuato a definire e pubblicare gli standard tecnici (RTS e ITS)<\/strong> necessari per l’applicazione pratica del DORA. Il 17 gennaio 2024<\/strong> \u00e8 stato pubblicato il primo lotto di RTS e ITS, seguito dal secondo lotto il 17 luglio 2024<\/strong>, fornendo cos\u00ec ulteriori dettagli operativi per la conformit\u00e0. Questo processo continuo di chiarimenti normativi evidenzia la complessit\u00e0 del DORA e la necessit\u00e0 di un approccio proattivo da parte delle entit\u00e0 coinvolte.<\/p>\n\n\n\n

Il 4 dicembre 2024<\/strong>, le ESAs hanno emesso un comunicato per richiamare l’attenzione sull’importanza della preparazione alla piena applicazione del DORA e per sottolineare che non \u00e8 previsto alcun periodo transitorio<\/strong>. Entro i primi mesi del 2025, le entit\u00e0 finanziarie devono aver predisposto i registri aggiornati degli accordi contrattuali con i fornitori di servizi ICT, da trasmettere alle autorit\u00e0 competenti entro il 30 aprile 2025<\/strong>, le quali a loro volta li invieranno alle ESAs. A partire dal 17 gennaio 2025, gli intermediari devono anche segnalare tempestivamente alla Banca d’Italia eventuali accordi contrattuali previsti per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti e devono notificare i gravi incidenti ICT.<\/p>\n\n\n\n

Il periodo di transizione ha permesso alle aziende di condurre un’analisi del divario (gap analysis) per valutare se le misure di sicurezza esistenti soddisfano i requisiti del regolamento, consentendo loro di pianificare le azioni necessarie per raggiungere la piena conformit\u00e0 entro il termine stabilito. Dal 17 gennaio 2025<\/strong>, le entit\u00e0 finanziarie e i fornitori di servizi ICT critici dovranno essere pienamente conformi al DORA, pena l’applicazione di sanzioni amministrative e, in alcuni casi, penali. Il rispetto delle tempistiche previste dal DORA \u00e8 quindi fondamentale per garantire la stabilit\u00e0 e la sicurezza del settore finanziario europeo e per evitare potenziali impatti negativi derivanti dalla non conformit\u00e0 al regolamento.<\/p>\n\n\n\n

La sovrapposizione con altre normative<\/strong><\/h3>\n\n\n\n

Il Regolamento DORA<\/strong> si colloca in un contesto normativo europeo complesso e interconnesso, che include anche la Direttiva NIS2<\/strong> e il Regolamento GDPR<\/strong>, con l’obiettivo di rafforzare la resilienza operativa digitale e la sicurezza informatica nel settore finanziario. Il DORA \u00e8 specificamente concepito per il settore finanziario<\/strong> e stabilisce requisiti uniformi<\/strong> per la sicurezza delle reti e dei sistemi informativi che supportano i processi aziendali delle entit\u00e0 finanziarie. La Direttiva NIS2, invece, ha una portata pi\u00f9 ampia, interessando diversi settori essenziali e importanti, ma il DORA prevale sulla NIS2 per le entit\u00e0 finanziarie<\/strong>. Ci\u00f2 significa che le entit\u00e0 finanziarie devono conformarsi alle disposizioni del DORA<\/strong> in materia di gestione dei rischi ICT, segnalazione degli incidenti e test di resilienza operativa, anzich\u00e9 a quelle della NIS2<\/strong>. Il DORA, infatti, \u00e8 considerato un atto giuridico settoriale specifico rispetto alla NIS2 per le entit\u00e0 finanziarie. Il DORA \u00e8 stato creato per armonizzare le linee guida sulla cybersicurezza<\/strong> nel settore finanziario, tenendo conto del mutevole scenario delle minacce informatiche, e per eliminare le disparit\u00e0 normative<\/strong> tra i vari Stati membri dell’UE.<\/p>\n\n\n\n

Il GDPR<\/strong>, che si concentra sulla protezione dei dati personali, si interseca con il DORA in quanto entrambi i regolamenti mirano a garantire un elevato livello di sicurezza nel trattamento dei dati. Anche se il GDPR ha un campo di applicazione pi\u00f9 ampio, il DORA pone particolare attenzione ai rischi informatici<\/strong> che possono compromettere la sicurezza dei sistemi informatici e di rete delle entit\u00e0 finanziarie. La gestione del rischio di terze parti<\/strong> \u00e8 un punto di contatto tra il DORA e il GDPR, poich\u00e9 le entit\u00e0 finanziarie devono assicurarsi che anche i fornitori di servizi ICT, che trattano dati personali, rispettino le normative sulla protezione dei dati. Il DORA, in particolare, impone che i contratti<\/strong> con i fornitori di servizi ICT includano obblighi contrattuali<\/strong> che garantiscano un adeguato monitoraggio delle attivit\u00e0 svolte dai suddetti fornitori sui servizi tecnologici che ricoprono una funzione critica per il servizio erogato dal soggetto finanziario interessato.<\/p>\n\n\n\n

Nonostante le diverse aree di intervento, DORA, NIS2 e GDPR sono tutti diretti a rafforzare la resilienza digitale<\/strong> e la sicurezza informatica nel contesto europeo. Sebbene possano verificarsi sovrapposizioni<\/strong> tra i tre regolamenti, \u00e8 importante evitare duplicazioni di adempimenti<\/strong> e sfruttare al meglio le sinergie, per cui le autorit\u00e0 competenti devono collaborare per garantire una supervisione coordinata e coerente. Il DORA, in particolare, consolida e aggiorna la gestione dei rischi nel settore ICT e la gestione dei rischi informatici<\/strong> nei servizi finanziari, allineandosi agli obiettivi del GDPR. La trasparenza<\/strong>, sia nell’ambito dell’AI Act che del DORA, \u00e8 un principio guida, garantendo che i sistemi, compresi quelli di IA, siano comprensibili e tracciabili, in modo da proteggere i diritti degli utenti e promuovere un ambiente digitale sicuro e responsabile. L’applicazione coordinata di queste normative \u00e8 fondamentale per costruire un ecosistema finanziario pi\u00f9 sicuro e resiliente<\/strong> in Europa.<\/p>\n\n\n\n

Il DORA si basa anche su linee guida preesistenti come quelle dell’EBA in materia di outsourcing, ma introduce un regime di supervisione europeo<\/strong> sui fornitori ICT critici. L’obiettivo \u00e8 quello di creare un quadro normativo armonizzato a livello europeo<\/strong>, assicurando che tutte le entit\u00e0 finanziarie adottino misure adeguate per proteggere l’integrit\u00e0 e la sicurezza del sistema finanziario dell’UE.<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Intelligenza Artificiale (IA) e il suo Impatto: L’IA generativa si distingue per la sua abilit\u00e0 di creare contenuti originali come testo, immagini, audio o video, in base a specifiche richieste, evidenziando la sua natura proattiva e creativa rispetto ad altre forme di IA che si concentrano sull’analisi di dati esistenti. Questi modelli di apprendimento automatico, […]<\/p>\n","protected":false},"author":2,"featured_media":7564,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[44,1],"tags":[],"class_list":["post-7548","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diritto-rovescio","category-non-categorizzato"],"yoast_head":"\nChe cos'\u00e8 il Digital Operational Resilience Act (DORA)? - PB Consulting<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Che cos'\u00e8 il Digital Operational Resilience Act (DORA)?\" \/>\n<meta property=\"og:description\" content=\"Intelligenza Artificiale (IA) e il suo Impatto: L’IA generativa si distingue per la sua abilit\u00e0 di creare contenuti originali come testo, immagini, audio o video, in base a specifiche richieste, evidenziando la sua natura proattiva e creativa rispetto ad altre forme di IA che si concentrano sull’analisi di dati esistenti. Questi modelli di apprendimento automatico, […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/\" \/>\n<meta property=\"og:site_name\" content=\"PB Consulting\" \/>\n<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/alberto.bozzo.9\" \/>\n<meta property=\"article:published_time\" content=\"2025-01-19T17:01:11+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-01-19T17:09:02+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2025\/01\/DXWhTZF9TVK3X-F0fBe7qw.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1024\" \/>\n\t<meta property=\"og:image:height\" content=\"1024\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"Alberto Bozzo\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Alberto Bozzo\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"72 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/\",\"url\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/\",\"name\":\"Che cos'\u00e8 il Digital Operational Resilience Act (DORA)? - PB Consulting\",\"isPartOf\":{\"@id\":\"https:\/\/www.consultingpb.com\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2025\/01\/DXWhTZF9TVK3X-F0fBe7qw.webp\",\"datePublished\":\"2025-01-19T17:01:11+00:00\",\"dateModified\":\"2025-01-19T17:09:02+00:00\",\"author\":{\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\"},\"breadcrumb\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/#primaryimage\",\"url\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2025\/01\/DXWhTZF9TVK3X-F0fBe7qw.webp\",\"contentUrl\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2025\/01\/DXWhTZF9TVK3X-F0fBe7qw.webp\",\"width\":1024,\"height\":1024},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.consultingpb.com\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Che cos’\u00e8 il Digital Operational Resilience Act (DORA)?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.consultingpb.com\/#website\",\"url\":\"https:\/\/www.consultingpb.com\/\",\"name\":\"PB Consulting\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.consultingpb.com\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\",\"name\":\"Alberto Bozzo\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"caption\":\"Alberto Bozzo\"},\"sameAs\":[\"https:\/\/www.consultingpb.com\/\",\"https:\/\/www.facebook.com\/alberto.bozzo.9\",\"https:\/\/www.instagram.com\/ab_dirittorovescio\/\",\"https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/\"],\"url\":\"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Che cos'\u00e8 il Digital Operational Resilience Act (DORA)? - PB Consulting","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/","og_locale":"en_US","og_type":"article","og_title":"Che cos'\u00e8 il Digital Operational Resilience Act (DORA)?","og_description":"Intelligenza Artificiale (IA) e il suo Impatto: L’IA generativa si distingue per la sua abilit\u00e0 di creare contenuti originali come testo, immagini, audio o video, in base a specifiche richieste, evidenziando la sua natura proattiva e creativa rispetto ad altre forme di IA che si concentrano sull’analisi di dati esistenti. Questi modelli di apprendimento automatico, […]","og_url":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/","og_site_name":"PB Consulting","article_author":"https:\/\/www.facebook.com\/alberto.bozzo.9","article_published_time":"2025-01-19T17:01:11+00:00","article_modified_time":"2025-01-19T17:09:02+00:00","og_image":[{"width":1024,"height":1024,"url":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2025\/01\/DXWhTZF9TVK3X-F0fBe7qw.webp","type":"image\/webp"}],"author":"Alberto Bozzo","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Alberto Bozzo","Est. reading time":"72 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/","url":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/","name":"Che cos'\u00e8 il Digital Operational Resilience Act (DORA)? - PB Consulting","isPartOf":{"@id":"https:\/\/www.consultingpb.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/#primaryimage"},"image":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/#primaryimage"},"thumbnailUrl":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2025\/01\/DXWhTZF9TVK3X-F0fBe7qw.webp","datePublished":"2025-01-19T17:01:11+00:00","dateModified":"2025-01-19T17:09:02+00:00","author":{"@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50"},"breadcrumb":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/#primaryimage","url":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2025\/01\/DXWhTZF9TVK3X-F0fBe7qw.webp","contentUrl":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2025\/01\/DXWhTZF9TVK3X-F0fBe7qw.webp","width":1024,"height":1024},{"@type":"BreadcrumbList","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/che-cose-il-digital-operational-resilience-act-dora\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.consultingpb.com\/en\/"},{"@type":"ListItem","position":2,"name":"Che cos’\u00e8 il Digital Operational Resilience Act (DORA)?"}]},{"@type":"WebSite","@id":"https:\/\/www.consultingpb.com\/#website","url":"https:\/\/www.consultingpb.com\/","name":"PB Consulting","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.consultingpb.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Person","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50","name":"Alberto Bozzo","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","caption":"Alberto Bozzo"},"sameAs":["https:\/\/www.consultingpb.com\/","https:\/\/www.facebook.com\/alberto.bozzo.9","https:\/\/www.instagram.com\/ab_dirittorovescio\/","https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/"],"url":"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/"}]}},"_links":{"self":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/7548","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/comments?post=7548"}],"version-history":[{"count":2,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/7548\/revisions"}],"predecessor-version":[{"id":7562,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/7548\/revisions\/7562"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/media\/7564"}],"wp:attachment":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/media?parent=7548"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/categories?post=7548"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/tags?post=7548"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}