Il settore finanziario ha subito oltre 20.000 attacchi informatici in due decenni, con perdite cumulate superiori a 12 miliardi di dollari, secondo il Fondo Monetario Internazionale (FMI). Lo stesso organismo avverte nel suo Global Financial Stability Report del 2024 che l'entità delle perdite estreme si è più che quadruplicata dal 2017, raggiungendo i 2,5 miliardi di dollari. In questo contesto nasce il Regolamento DORA, in vigore dal 17 gennaio 2025: una norma europea concepita proprio per evitare che un guasto nei sistemi informatici e di comunicazione (ICT) si trasformi in una crisi sistemica capace di travolgere l'intero sistema finanziario.
Se la vostra organizzazione è una banca, una compagnia assicurativa, una società di gestione, un istituto di pagamento o un fornitore tecnologico che presta servizi a uno di questi soggetti, la conformità a DORA non è più facoltativa. Questa guida spiega che cos'è la norma, a chi si applica, i suoi cinque pilastri, le date e le scadenze da segnare in rosso sul calendario e una tabella di marcia pratica per arrivare preparati.
Che cos'è il Regolamento DORA e perché è importante per il settore finanziario
Il Regolamento DORA — acronimo di Digital Operational Resilience Act — è il Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio, del 14 dicembre 2022, sulla resilienza operativa digitale del settore finanziario. A differenza di una direttiva, che ciascuno Stato membro deve recepire nella propria legislazione nazionale, un regolamento è direttamente applicabile in tutti i paesi dell'Unione Europea. Ciò significa che dal 17 gennaio 2025 i suoi obblighi sono esigibili in egual misura in Spagna, Germania, Francia o Italia, senza margine di interpretazione locale che ne attenui la portata.
La logica di DORA è semplice da enunciare e impegnativa da attuare: la stabilità di un ente finanziario non dipende più soltanto dalla sua solvibilità o liquidità, ma anche dalla sua capacità di resistere, rispondere e riprendersi dagli incidenti legati alle ICT. Un attacco ransomware che paralizzi i sistemi di pagamento, un'interruzione prolungata del provider cloud che ospita il core bancario o un guasto a cascata di un fornitore critico possono avere un impatto sistemico paragonabile a quello di una crisi di capitale.
I dati confermano questa preoccupazione. L'agenzia europea per la cybersecurity ENISA ha analizzato 488 incidenti informatici notificati pubblicamente che hanno colpito il settore finanziario europeo tra gennaio 2023 e giugno 2024, secondo il suo rapporto Threat Landscape: Finance Sector pubblicato nel febbraio 2025. Le banche sono risultate le entità più colpite, concentrando il 46% degli incidenti (301 casi). La conclusione regolamentare è diretta: la resilienza digitale deve essere gestita con lo stesso rigore di qualsiasi altro rischio finanziario.
DORA armonizza e innalza l'asticella in tutta l'UE. Prima della sua entrata in vigore, i requisiti di cybersecurity erano distribuiti in linee guida settoriali, raccomandazioni di supervisori nazionali e norme frammentate. Ora esiste un quadro unico, vincolante e vigilato dalle Autorità di Vigilanza Europee (le ESA: EBA per le banche, EIOPA per le assicurazioni ed ESMA per i mercati).
A chi si applica DORA: enti finanziari e fornitori ICT critici
Il perimetro del Regolamento DORA è deliberatamente ampio. Non si limita alle grandi banche: copre praticamente tutto l'ecosistema finanziario regolamentato e, per la prima volta con carattere vincolante, si estende anche ai fornitori tecnologici che prestano servizi a tali enti.
Enti finanziari nel perimetro di applicazione
DORA si applica, tra gli altri, alle seguenti categorie di enti finanziari:
- Enti creditizi (banche) e istituti di pagamento.
- Imprese di investimento e società di gestione di fondi.
- Imprese di assicurazione e riassicurazione, e intermediari assicurativi.
- Istituti di moneta elettronica e prestatori di servizi per le cripto-attività.
- Infrastrutture di mercato: depositari centrali di titoli, controparti centrali e sedi di negoziazione.
- Fornitori di servizi di crowdfunding e agenzie di rating del credito.
Il principio di proporzionalità modula l'intensità degli obblighi: le microimprese e determinati enti di piccole dimensioni applicano un regime semplificato di gestione del rischio ICT, mentre gli enti di grandi dimensioni e sistemici sono soggetti all'insieme completo dei requisiti, incluse le prove avanzate di penetrazione.
Fornitori terzi di ICT: la grande novità
L'elemento più innovativo di DORA è l'estensione dello sguardo ai fornitori terzi di servizi ICT: aziende di software, servizi gestiti, data center e, in particolare, i grandi provider di cloud computing. La dipendenza del settore finanziario da un ristretto numero di hyperscaler cloud è proprio uno dei rischi di concentrazione che la norma intende presidiare.
Per i fornitori considerati critici, DORA crea una figura inedita: il fornitore terzo critico di ICT (CTPP, dall'acronimo inglese), sottoposto alla supervisione diretta di un supervisore principale designato tra le ESA. Nel novembre 2025, le Autorità di Vigilanza Europee hanno pubblicato, tramite il loro Joint Committee, il primo elenco ufficiale di 19 fornitori terzi di ICT critici designati ai sensi dell'articolo 31 del Regolamento. Ciascuno di essi ricade sotto la supervisione di un'autorità principale — EBA, EIOPA o ESMA — dotata di poteri di ispezione, richiesta di informazioni e irrogazione di sanzioni.
E le sanzioni hanno peso. Ai sensi dell'articolo 35 del Regolamento DORA, il supervisore principale può imporre a un fornitore critico penalità periodiche fino all'1% del fatturato giornaliero medio mondiale del fornitore per ogni giorno di inadempimento, per un massimo di sei mesi. Per un hyperscaler globale, quella percentuale giornaliera si traduce in cifre che nessun consiglio di amministrazione può ignorare.
La conseguenza pratica per gli enti finanziari è chiara: la responsabilità non si esternalizza. Anche delegando servizi critici a terzi, si rimane responsabili nei confronti del proprio supervisore per la resilienza dell'intera catena. Per questo la gestione contrattuale e dei rischi dei fornitori ICT è diventata un'area prioritaria, strettamente connessa al lavoro di automazione e controllo che affrontiamo nei nostri servizi di automazione della conformità per fintech.
Quali sono i 5 pilastri del Regolamento DORA?
Il Regolamento DORA si struttura attorno a cinque pilastri che, nel loro insieme, coprono il ciclo completo della resilienza operativa digitale: prevenire, rilevare, rispondere, recuperare e imparare. Conoscerli è il primo passo per tradurre la norma in un piano di lavoro concreto.
| Pilastro | Articoli | Obiettivo centrale |
|---|---|---|
| 1. Gestione del rischio ICT | Artt. 5-16 | Quadro di governance, identificazione, protezione e ripristino dai rischi ICT |
| 2. Gestione e segnalazione degli incidenti ICT | Artt. 17-23 | Classificare e notificare gli incidenti gravi all'autorità competente entro scadenze definite |
| 3. Test di resilienza operativa digitale (incl. TLPT) | Artt. 24-27 | Verificare periodicamente la robustezza dei sistemi, inclusi test avanzati di penetrazione |
| 4. Gestione del rischio di terzi ICT | Artt. 28-30 | Controllare la dipendenza da fornitori esterni e la concentrazione del rischio |
| 5. Condivisione delle informazioni sulle minacce | Artt. 45-49 | Condividere volontariamente intelligence sulle minacce informatiche tra gli enti |
Pilastro 1: gestione del rischio ICT
È la colonna portante di DORA. Richiede un solido quadro di governance in cui l'organo direttivo assume la responsabilità ultima della gestione del rischio ICT; non è possibile delegarla interamente al dipartimento tecnico. Include l'identificazione degli asset, la protezione e prevenzione, il rilevamento delle anomalie, le politiche di continuità operativa e i piani di risposta e ripristino.
Pilastro 2: gestione e segnalazione degli incidenti ICT
Obbliga a stabilire un processo per rilevare, gestire, classificare e notificare gli incidenti legati alle ICT. Gli incidenti classificati come gravi attivano obblighi di notifica all'autorità competente entro scadenze molto stringenti, che dettagliamo nella sezione successiva.
Pilastro 3: test di resilienza operativa digitale
Tutti gli enti devono sottoporre i propri sistemi a un programma periodico di test (analisi delle vulnerabilità, valutazioni della sicurezza, test di continuità). Gli enti più significativi devono andare oltre ed eseguire test di penetrazione basati sulle minacce (TLPT, Threat-Led Penetration Testing), che simulano attacchi reali su sistemi in produzione.
Pilastro 4: gestione del rischio di terzi ICT
Stabilisce i requisiti contrattuali minimi che devono essere inclusi negli accordi con i fornitori ICT — diritti di accesso, audit e ispezione, strategie di uscita, livelli di servizio — e crea il quadro di supervisione diretta dei fornitori critici.
Pilastro 5: condivisione delle informazioni sulle minacce
Promuove, su base volontaria, che gli enti condividano tra loro intelligence e informazioni sulle minacce informatiche all'interno di comunità di fiducia, per rafforzare la difesa collettiva del settore.
Date chiave: in vigore dal 17 gennaio 2025
A differenza di altre norme con lunghi periodi transitori, DORA ha fissato una data unica e perentoria. Il Regolamento (UE) 2022/2554 è stato pubblicato nel dicembre 2022 e ha stabilito un periodo di adeguamento di due anni. Dal 17 gennaio 2025 i suoi obblighi sono pienamente esigibili. Non è prevista una seconda fase: chi non era pronto a quella data è in inadempimento da quel momento.
Da lì in poi, il calendario è scandito dalle tappe di sviluppo e supervisione:
- 17 gennaio 2025: piena applicazione del Regolamento. Tutti gli enti nel perimetro devono aver implementato il proprio quadro di gestione del rischio ICT, il processo di notifica degli incidenti e il registro degli accordi con i fornitori ICT.
- Nel corso del 2025: entrata in applicazione delle norme tecniche di attuazione (RTS e ITS) elaborate dalle ESA, che precisano aspetti quali la classificazione degli incidenti e i modelli di notifica.
- Novembre 2025: pubblicazione da parte delle ESA del primo elenco ufficiale di 19 fornitori terzi di ICT critici designati, che avviano il loro rapporto con il rispettivo supervisore principale.
Il messaggio per chi è ancora in ritardo è chiaro: la finestra di tolleranza si è chiusa. La priorità ora non è discutere se DORA si applica, ma colmare le lacune esistenti prima che un incidente o un'ispezione le portino alla luce.
Notifica degli incidenti gravi: scadenze di 4 ore, 72 ore e 1 mese
Se c'è un obbligo di DORA che vale la pena memorizzare alla lettera, è il regime di notifica degli incidenti gravi. Le scadenze sono definite nelle norme tecniche di regolamentazione (RTS) sviluppate congiuntamente da EBA, ESMA e EIOPA e recepite nel Regolamento Delegato (UE) 2025/302. Il processo si articola in tre segnalazioni successive:
- Notifica iniziale: deve essere inviata all'autorità competente il prima possibile, entro 4 ore dalla classificazione dell'incidente come grave e, in ogni caso, entro un massimo di 24 ore dalla presa di conoscenza dell'incidente.
- Relazione intermedia: entro 72 ore dalla notifica iniziale, con le informazioni aggiornate sullo stato dell'incidente e sulle misure adottate.
- Relazione finale: entro un massimo di un mese, con l'analisi della causa radice, l'impatto effettivo e le azioni correttive implementate per evitare la recidiva.
| Relazione | Scadenza | Contenuto |
|---|---|---|
| Notifica iniziale | 4 ore dalla classificazione come grave (max 24 ore dalla presa di conoscenza) | Allerta precoce dell'incidente grave |
| Relazione intermedia | 72 ore dalla notifica iniziale | Stato aggiornato e misure in corso |
| Relazione finale | 1 mese | Causa radice, impatto e azioni correttive |
Rispettare queste scadenze non è solo una questione di buona volontà: richiede di disporre operativamente di una capacità di rilevamento e classificazione quasi in tempo reale. Quattro ore sono un margine molto ristretto se il team di sicurezza deve rilevare l'incidente, valutarne la gravità, effettuare l'escalation interna e predisporre la notifica in modo manuale. Ecco perché l'automazione del rilevamento, della classificazione e dei flussi di notifica è uno dei progetti con il maggiore ritorno per gli enti soggetti a DORA.
Vale la pena sottolineare la coerenza con altri quadri europei. Gli enti che hanno già lavorato all'adeguamento alla direttiva sulla cybersecurity per i settori essenziali partiranno avvantaggiati, poiché molti controlli sono comuni; lo spieghiamo nella nostra guida ai servizi di conformità alla direttiva NIS2. DORA è, di fatto, la lex specialis del settore finanziario rispetto al quadro generale di NIS2.
Come prepararsi alla conformità con DORA: tabella di marcia pratica
La domanda che riceviamo più frequentemente non è cosa richiede DORA, ma da dove iniziare. Ecco una tabella di marcia in sei fasi che ordina il lavoro in base all'impatto e alle dipendenze tra le attività.
1. Diagnosi e analisi delle lacune (gap analysis)
Prima di investire, misurate. Confrontate la vostra situazione attuale rispetto ai cinque pilastri e documentate ogni lacuna con il suo livello di criticità. Il risultato è una mappa di calore che prioritizza lo sforzo ed evita di sprecare risorse dove si è già conformi.
2. Governance e responsabilità dell'organo direttivo
DORA richiede che il consiglio di amministrazione o l'organo direttivo assuma formalmente la supervisione del rischio ICT. Ciò si traduce in politiche approvate al massimo livello, chiara assegnazione delle responsabilità e formazione specifica per gli amministratori. La resilienza digitale cessa di essere una questione esclusivamente tecnica per diventare una responsabilità di governance aziendale.
3. Inventario e registro dei fornitori ICT
Costruite e tenete aggiornato il registro informativo di tutti gli accordi contrattuali con i fornitori di servizi ICT, identificando quali supportano funzioni essenziali o importanti. Senza questo inventario è impossibile gestire il rischio di terzi né rispondere a una richiesta del supervisore.
4. Revisione contrattuale e strategie di uscita
Rinegoziare i contratti con i fornitori per incorporare le clausole minime richieste da DORA: diritti di audit e ispezione, livelli di servizio, ubicazione del trattamento dei dati e, in modo prominente, strategie di uscita documentate che consentano di migrare il servizio senza interruzioni critiche qualora il fornitore venisse meno.
5. Capacità di rilevamento e notifica degli incidenti
Implementate o rafforzate gli strumenti e i processi che consentano di rilevare, classificare e notificare gli incidenti gravi entro le scadenze di 4 ore, 72 ore e un mese. In questo caso l'automazione fa la differenza tra la conformità e il rischio di sanzione.
6. Programma di test di resilienza
Definite un calendario di test periodici e, se il vostro ente rientra tra quelli significativi, pianificate i test di penetrazione basati sulle minacce (TLPT). Documentate i risultati, i piani di rimediazione e il loro monitoraggio.
Un consiglio operativo: affrontate DORA come un programma pluriennale con una governance propria, non come un progetto a consegna unica. La supervisione è continua e la norma è viva, con nuove RTS e designazioni di fornitori critici che emergeranno nel tempo.
Riepilogo della tabella di marcia
| Fase | Focus | Risultato atteso |
|---|---|---|
| 1. Diagnosi | Gap analysis rispetto ai 5 pilastri | Mappa delle lacune prioritizzata |
| 2. Governance | Responsabilità dell'organo direttivo | Politiche approvate e ruoli definiti |
| 3. Inventario ICT | Registro dei fornitori e delle funzioni | Registro informativo aggiornato |
| 4. Contratti | Clausole DORA e strategie di uscita | Contratti conformi e piani di uscita |
| 5. Incidenti | Rilevamento e notifica nei termini | Flusso operativo 4 h / 72 h / 1 mese |
| 6. Test | Programma di testing e TLPT | Calendario ed evidenze di rimediazione |
Conclusione: trasformare la conformità in resilienza reale
Il Regolamento DORA non è un mero esercizio burocratico. Il suo obiettivo di fondo — evitare che un guasto ICT si trasformi in una crisi finanziaria sistemica — si allinea con l'interesse proprio di qualsiasi ente: continuare a operare quando qualcosa va storto. I dati del FMI e di ENISA dimostrano chiaramente che gli incidenti informatici nel settore finanziario non sono un'ipotesi, ma una realtà quotidiana e crescente. Conformarsi a DORA, intesa nel suo senso più profondo, significa investire nella continuità operativa e nella fiducia dei clienti.
La differenza tra gli enti che arrivano con ampio margine e quelli che arrivano in affanno sta generalmente nell'aver iniziato con una buona diagnosi e nell'aver automatizzato i processi critici — rilevamento, classificazione e notifica degli incidenti — invece di cercare di gestirli manualmente sotto la pressione del tempo.
In Technova Partners aiutiamo gli enti finanziari e i loro fornitori tecnologici a percorrere questa tabella di marcia da capo a fondo: dalla gap analysis all'automazione dei flussi di conformità. Se desiderate una valutazione rapida del vostro punto di partenza, iniziate con la nostra diagnosi gratuita di cybersecurity e conformità, che copre anche le sinergie con DORA. E quando vorrete progettare un piano su misura, parlate con il nostro team: vi aiutiamo a trasformare un obbligo normativo in un reale vantaggio operativo.
