Intelligenza Artificiale (IA) e il suo Impatto:
L’IA generativa si distingue per la sua abilità di creare contenuti originali come testo, immagini, audio o video, in base a specifiche richieste, evidenziando la sua natura proattiva e creativa rispetto ad altre forme di IA che si concentrano sull’analisi di dati esistenti. Questi modelli di apprendimento automatico, spesso basati su reti neurali profonde, vengono addestrati su grandi quantità di dati, imparando schemi e relazioni per poi generare nuovi contenuti simili a quelli su cui sono stati addestrati.
Le applicazioni dell’IA generativa sono molto variegate, spaziando dalla creazione di articoli di notizie, poesie, e sceneggiature, fino a immagini artistiche, composizioni musicali e video, rendendola uno strumento potente in vari settori. Tra i numerosi strumenti di IA generativa, spiccano ChatGPT di OpenAI, noto per la sua capacità di generare testi simili a quelli umani; Gemini di Google, con funzionalità simili ma integrato nei servizi Google; e Midjourney, un programma che crea immagini da descrizioni testuali.
Nel contesto lavorativo e personale, l’IA generativa trova impiego nel marketing, programmazione, design e consulenza, oltre che per la creazione di contenuti, l’apprendimento, l’assistenza personale e lo svago. Diversi studi sottolineano il suo potenziale nell’aumentare la produttività, soprattutto in compiti creativi o di sintesi. Tuttavia, la sua potenza solleva importanti questioni etiche e regolamentari, come la disinformazione, la violazione del diritto d’autore e la mancanza di trasparenza nelle decisioni, il che richiede normative come l’AI Act per un uso responsabile.
L’AI Act mira a garantire uno sviluppo e un utilizzo dell’IA che siano tracciabili e comprensibili, richiedendo che gli utenti siano consapevoli di interagire con un sistema di IA e comprendano le sue potenzialità e i suoi limiti. Questo include l’obbligo per i fornitori di rendere pubblici i contenuti utilizzati per l’addestramento dei modelli, con l’Ufficio per l’IA che fornisce un modello per facilitare questa presentazione. Inoltre, il principio di trasparenza dell’AI Act si coordina con il GDPR (Regolamento Generale sulla Protezione dei Dati), assicurando che le informazioni sul trattamento dei dati personali siano fornite in modo chiaro e accessibile.
Per quanto riguarda il settore finanziario, il Regolamento DORA impone un’autovalutazione del rispetto dei requisiti di sicurezza informatica entro il 30 aprile 2025, includendo strategie sui rischi di terze parti e test di resilienza operativa digitale. La Banca d’Italia svolge un ruolo chiave nel monitoraggio dell’applicazione del regolamento e nella partecipazione al forum di sorveglianza.
Il tema delle competenze digitali è centrale, con il G7 e il Rapporto Draghi che sottolineano la necessità di sviluppare queste competenze per affrontare le sfide dell’IA. Si promuove una collaborazione inclusiva tra governi, aziende e istituzioni formative per identificare le esigenze di competenze digitali e offrire programmi di riqualificazione. L’Europa deve superare il divario di laureati in ICT e STEM, creando un mercato del lavoro che attragga i talenti con retribuzioni adeguate e welfare.
Infine, l’IA opera una disintermediazione spazio-temporale con implicazioni geo-economiche per individui e aziende, e la sostenibilità delle politiche dipende dalla capacità dei governi di coordinarsi tra iniziative e gestione dei dati, fornendo strumenti operativi a cittadini e imprese. Il PNRR è indicato come strumento di supporto per la digitalizzazione, finanziando progetti per le smart city, la sanità digitale e la formazione sulle competenze digitali.
Aspetti regolamentari e di sicurezza
L’AI Act pone un forte accento sulla trasparenza e la spiegabilità dei sistemi di intelligenza artificiale, con l’obiettivo di rendere l’IA affidabile ed eticamente valida. Questo si traduce nell’obbligo di informare gli utenti sulle capacità e i limiti dei sistemi di IA, oltre che sui loro diritti. L’articolo 4bis dell’AI Act prevede che i sistemi di IA siano sviluppati e utilizzati in modo da consentire un’adeguata tracciabilità e spiegabilità, rendendo gli esseri umani consapevoli di interagire con un sistema di IA. Questo principio è strettamente coordinato con il GDPR (Regolamento Generale sulla Protezione dei Dati), che richiede che le informazioni sul trattamento dei dati personali siano fornite in modo chiaro, accessibile e comprensibile.
I fornitori di sistemi di IA hanno l’obbligo di fornire al pubblico una sintesi dettagliata dei contenuti utilizzati per l’addestramento dei modelli, includendo le principali raccolte di dati, banche dati e archivi da cui provengono le informazioni. L’Ufficio per l’IA fornisce un template per facilitare questa presentazione, garantendo che l’utente finale sia in grado di comprendere l’output generato dal sistema e che tale output non risulti lesivo dei diritti di terzi.
Il Regolamento DORA (Digital Operational Resilience Act) introduce importanti novità per il settore finanziario, in particolare per quanto riguarda la sicurezza informatica. Gli intermediari finanziari sono tenuti a effettuare un’autovalutazione del rispetto dei requisiti di sicurezza informatica entro il 30 aprile 2025. Questa autovalutazione deve includere:
Le strategie dell’intermediario sui rischi di terza parte, sul rinnovo dei contratti con i fornitori di servizi ICT e sulla trasmissione del ROI.
L’adattamento al DORA dei presidi e delle politiche interne.
Le attività e il programma dei test di resilienza operativa digitale.
La verifica del sistema di gestione dei rischi ICT, che deve garantire la prevenzione e il rilevamento tempestivo di violazioni della riservatezza dei dati, la riduzione del rischio derivante dai cambiamenti ICT e la conformità al DORA del quadro di ICT change management dell’intermediario.
La Banca d’Italia svolge un ruolo centrale nella vigilanza sull’applicazione del Regolamento DORA, partecipando anche al forum di sorveglianza. L’autovalutazione, redatta di concerto tra le funzioni di controllo di secondo e terzo livello, deve essere approvata dall’organo di amministrazione. La Banca d’Italia mira a misurare il raggiungimento dei principali obiettivi normativi e a prendere misure rispetto agli orientamenti da consolidare a livello sistemico. In generale, si prevede un riordino della complessiva disciplina di vigilanza alla luce delle previsioni del Regolamento DORA.
lL Regolamento (UE) 2022/2554
Il Regolamento (UE) 2022/2554, comunemente noto come DORA (Digital Operational Resilience Act), segna un punto di svolta fondamentale nel quadro normativo europeo per il settore finanziario [1, 2]. Questo regolamento, pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022, è entrato formalmente in vigore il 16 gennaio 2023 [3, 4], ma la sua piena applicazione è fissata per il 17 gennaio 2025 [3-7]. DORA nasce dalla crescente consapevolezza della necessità di rafforzare la resilienza operativa digitale delle entità finanziarie in un contesto di minacce informatiche sempre più sofisticate e complesse [8-15].
Il regolamento non si limita a indirizzare le sfide poste dalla trasformazione digitale del settore finanziario, ma mira anche a promuovere una maggiore armonizzazione delle linee guida sulla cybersicurezza [8, 16-18]. DORA si estende ben oltre gli istituti finanziari tradizionali, includendo anche i fornitori di servizi ICT che svolgono un ruolo essenziale nel funzionamento delle entità finanziarie [19-23]. Questa inclusione riconosce l’interdipendenza tra le istituzioni finanziarie e i loro fornitori di tecnologia, evidenziando la necessità di un approccio olistico alla gestione dei rischi digitali [24, 25].
Il contesto e la genesi del DORA
La genesi del DORA è strettamente legata alla Digital Finance Strategy del 2020 e al FinTech Action Plan del 2018. Questi documenti evidenziano come la rapida digitalizzazione dei servizi finanziari abbia creato nuove opportunità, ma anche nuove vulnerabilità e minacce per la stabilità del sistema finanziario. In particolare, l’aumento degli attacchi informatici e la crescente dipendenza dalle tecnologie dell’informazione e della comunicazione (ICT) hanno reso indispensabile un quadro normativo che garantisca la continuità operativa e la sicurezza delle infrastrutture digitali.
Il regolamento DORA è stato concepito per uniformare le regole sulla gestione dei rischi ICT e sulla resilienza informatica in tutto il settore finanziario dell’UE. In precedenza, le normative e le aspettative di vigilanza variavano notevolmente tra i diversi Stati membri, creando ostacoli al mercato unico dei servizi finanziari e rendendo più difficile la gestione dei rischi transfrontalieri. DORA mira a colmare queste lacune, stabilendo un insieme comune di requisiti che tutte le entità finanziarie e i loro fornitori di servizi ICT devono rispettare.
Obiettivi Principali del DORA
Gli obiettivi principali del regolamento DORA possono essere sintetizzati come segue:
Gestione del rischio ICT
DORA introduce un quadro armonizzato per la governance del rischio ICT, in continuità con le linee guida dell’EBA.
Le entità finanziarie sono tenute a predisporre, monitorare e aggiornare un quadro solido per la gestione dei rischi informatici, con una strategia di resilienza operativa digitale. La responsabilità della gestione dei rischi informatici è affidata a una funzione di controllo indipendente. Le aziende devono adottare un approccio proattivo alla gestione del rischio ICT, integrando strategie di gestione del rischio nella governance aziendale, identificando e mitigando i rischi potenziali derivanti dall’uso di tecnologie e infrastrutture ICT e monitorando continuamente i sistemi ICT per identificare vulnerabilità.
Responsabilità e Governance
Il Regolamento DORA assegna all’organo di gestione delle entità finanziarie la responsabilità piena e ultima della gestione dei rischi ICT. Questa responsabilità si articola in diversi aspetti cruciali. L’organo di gestione deve innanzitutto definire e approvare una solida strategia di resilienza operativa digitale, un piano che garantisca la capacità dell’ente di prevenire, rispondere e riprendersi da incidenti informatici. Questa strategia deve essere completa, esaustiva e ben documentata, affrontando i rischi in modo rapido ed efficiente.
Un altro compito fondamentale dell’organo di gestione è quello di supervisionare la politica aziendale sull’uso di fornitori terzi di servizi ICT. Questa politica deve garantire che i fornitori rispettino standard di sicurezza elevati, con contratti che definiscano chiaramente le responsabilità e le misure di sicurezza necessarie. È essenziale che gli accordi con i fornitori siano coerenti con le politiche di gestione dei rischi ICT, sicurezza delle informazioni e continuità operativa dell’ente.
L’organo di gestione non si limita a definire le strategie, ma deve anche supervisionare e monitorare attivamente la loro implementazione, assicurando la gestione corretta degli accordi di esternalizzazione. Questo include la revisione periodica delle strategie per garantirne l’efficacia nel tempo, in risposta all’evoluzione delle minacce informatiche. Inoltre, è importante che i membri dell’organo di gestione mantengano aggiornate le proprie conoscenze sui rischi ICT, in modo da poter comprendere e valutare l’impatto di questi rischi sulle operazioni dell’ente.
Anche se alcune funzioni vengono esternalizzate, la responsabilità ultima rimane all’organo di gestione, che deve assicurare una supervisione adeguata. Questo significa che i leader aziendali sono responsabili dell’adozione di misure tecniche e organizzative per prevenire i rischi informatici e minimizzare l’impatto di eventuali incidenti. In altre parole, devono verificare che anche i fornitori ICT rispettino i requisiti del DORA.
In sostanza, il DORA richiede un approccio proattivo e responsabile da parte dell’organo di gestione nella gestione dei rischi ICT. La mancata osservanza di questi obblighi può comportare sanzioni severe per l’ente e per i suoi dirigenti.
Funzione di controllo ICT
Il Regolamento DORA stabilisce che le entità finanziarie, ad eccezione delle microimprese, devono affidare la gestione dei rischi informatici a una specifica funzione di controllo ICT. Questa funzione assume un ruolo cruciale nell’assicurare la resilienza operativa digitale dell’organizzazione, e deve operare con un adeguato livello di indipendenza per evitare conflitti di interesse.
La normativa non impone una collocazione organizzativa rigida per questa funzione, riconoscendo le diverse strutture di governo societario e sistemi di controllo interno che caratterizzano le varie entità finanziarie. Ciò significa che l’organizzazione ha una certa flessibilità nel decidere come integrare questa funzione all’interno della propria struttura.
Ecco le opzioni principali per la collocazione della funzione di controllo ICT
Funzione Autonoma: l’entità può scegliere di istituire una funzione di controllo ICT indipendente, con i requisiti tipici delle funzioni aziendali di controllo di secondo livello. Questa opzione sottolinea l’importanza della gestione del rischio ICT come area di controllo distinta.
Integrazione con Funzioni di Risk Management e Compliance: in alternativa, i compiti della funzione di controllo ICT possono essere attribuiti alle funzioni di risk management e di compliance, qualora già esistenti. Questa integrazione è possibile se le due funzioni hanno ruoli, responsabilità e competenze che consentono di assorbire anche i compiti di controllo ICT.
Affidamento a Strutture Esistenti: la funzione di controllo ICT può essere svolta dalla struttura che si occupa della gestione del rischio o da quella che gestisce la conformità. Questa opzione è particolarmente rilevante quando le funzioni di risk management e di compliance sono affidate a un’unica struttura, in questo caso la funzione di controllo ICT può essere integrata in quest’ultima.
Indipendentemente dalla collocazione organizzativa scelta, è fondamentale che la funzione di controllo ICT svolga efficacemente tutti i compiti assegnati per la gestione e la supervisione dei rischi ICT previsti dal framework DORA. Questa funzione è essenziale per garantire una gestione efficace dei rischi informatici, supervisionando e verificando che le politiche, le procedure e i protocolli aziendali siano appropriati, per prevenire e mitigare le minacce cyber.
È importante sottolineare che la funzione di controllo ICT non può essere affidata alla struttura che svolge la funzione di internal audit. Questa esclusione evidenzia la necessità di una separazione dei ruoli tra le funzioni di controllo, al fine di garantire una verifica indipendente e una gestione efficace dei rischi.
La necessità di un quadro solido ed esaustivo
Le entità finanziarie devono strutturare, controllare e tenere aggiornato un sistema robusto per la gestione dei rischi informatici, una sorta di bussola che le guida nell’affrontare i pericoli digitali in modo rapido, efficiente e completo. Questo sistema è fondamentale per la loro strategia di resilienza operativa digitale, che è come un piano di sopravvivenza per il mondo digitale.
Questo sistema, che possiamo immaginare come una mappa dettagliata, non è solo un insieme di documenti da mettere in un cassetto, ma uno strumento attivo che permette di individuare e valutare i rischi, di adottare misure preventive e di gestire al meglio gli incidenti qualora si presentassero. È un po’ come avere un sistema di allarme per la casa, che ti avvisa se c’è un problema e ti aiuta a risolverlo.
L’organo di gestione dell’entità finanziaria è il responsabile principale di questo sistema, e deve fare in modo che sia efficace e sempre al passo con i tempi. Non basta quindi creare la mappa, bisogna anche controllare che funzioni, aggiornarla quando cambiano le minacce e verificare che chiunque la utilizzi la conosca bene.
Questo sistema per la gestione dei rischi informatici deve permettere di classificare gli incidenti e le minacce, in modo da sapere come reagire in ogni situazione. È come avere un manuale di istruzioni per ogni tipo di emergenza, che ti dice cosa fare e come farlo.
Un aspetto cruciale di questo sistema è la gestione dei rischi legati ai fornitori di servizi ICT, quei soggetti esterni a cui le entità finanziarie affidano una parte delle loro attività digitali. È necessario, quindi, identificare e classificare tutti i processi che dipendono da questi fornitori e prevedere nei contratti degli obblighi specifici per un controllo accurato. È come scegliere un collaboratore fidato, di cui si conoscono le capacità e che si sa che seguirà le regole.
Il sistema di gestione dei rischi non è un elemento isolato, ma si integra con la governance aziendale e supporta il consiglio di amministrazione, responsabile della supervisione generale. Questo significa che tutta l’organizzazione deve essere coinvolta nella gestione dei rischi informatici, non solo il team tecnico.
In sostanza, questo sistema è il pilastro su cui le entità finanziarie costruiscono la propria capacità di resistere agli attacchi informatici, e la sua corretta implementazione è fondamentale per garantire la stabilità del sistema finanziario nel suo complesso. Questo sistema deve essere una guida dinamica, che si adatta ai cambiamenti e che permette di affrontare ogni rischio con la giusta preparazione.
Strategia di resilienza operativa digitale
Il sistema di gestione dei rischi informatici deve essere completo e lungimirante, includendo una strategia di resilienza operativa digitale, che è come una polizza assicurativa per la continuità delle operazioni. Questa strategia è il cuore pulsante di tutto il sistema, definendo in modo chiaro come l’entità finanziaria intende mantenere attive le sue funzioni vitali anche quando si verificano incidenti o interruzioni.
Immagina questa strategia come un piano di emergenza dettagliato, che non solo descrive come reagire a un problema, ma anche come prepararsi al meglio per prevenirlo. Non si tratta solo di riparare i danni dopo che si sono verificati, ma di costruire un sistema resistente che possa sopportare gli urti e riprendersi rapidamente.
La strategia di resilienza operativa digitale deve identificare chiaramente le funzioni essenziali dell’entità finanziaria, quelle attività che sono indispensabili per il suo funzionamento e per la fornitura di servizi ai clienti. Per ogni funzione essenziale, la strategia deve definire obiettivi di ripristino (RTO) e punti di ripristino (RPO), ovvero quanto tempo può passare prima che un servizio venga ripristinato e quanti dati si possono perdere in caso di incidente. È come avere un piano di evacuazione dettagliato per un edificio, che indica le vie di fuga e i punti di raccolta.
Questa strategia deve essere dinamica e flessibile, in grado di adattarsi ai cambiamenti nel panorama delle minacce informatiche e alle evoluzioni tecnologiche. Non può essere un documento statico, ma deve essere revisionata e aggiornata regolarmente, tenendo conto delle nuove vulnerabilità e delle nuove tecnologie. È un po’ come un allenamento costante per il corpo, che ti prepara a reagire meglio a qualsiasi sforzo.
La strategia di resilienza operativa digitale deve anche considerare l’importanza dei test di resilienza, che sono come prove generali per verificare che il piano di emergenza funzioni davvero. Questi test, che includono simulazioni di attacchi e analisi di vulnerabilità, permettono di identificare eventuali punti deboli nel sistema e di apportare miglioramenti prima che si verifichi un vero incidente.
Inoltre, la strategia deve includere procedure chiare per la segnalazione degli incidenti alle autorità competenti e per la comunicazione con clienti e stakeholder, garantendo trasparenza e fiducia durante le fasi di crisi.. È un po’ come avere un sistema di comunicazione efficace durante un’emergenza, che permette a tutti di rimanere informati e di sapere cosa fare.
La strategia di resilienza deve essere integrata in tutti i processi aziendali, non come un’appendice separata, ma come parte integrante della cultura aziendale. Ciò significa che tutti i dipendenti devono essere consapevoli dell’importanza della resilienza operativa e del loro ruolo nel garantirla.
La strategia di resilienza operativa digitale è la chiave per la continuità operativa dell’entità finanziaria nel mondo digitale. È un processo continuo di preparazione, test e miglioramento, che permette di affrontare qualsiasi sfida con la giusta preparazione e determinazione. Non è un semplice documento, ma un approccio proattivo per garantire che l’entità possa sempre fornire i propri servizi ai clienti, proteggere i propri dati e mantenere la fiducia nel sistema finanziario.
mappare i propri sistemi ICT
Le entità finanziarie devono strutturare, controllare e tenere aggiornato un sistema robusto per la gestione dei rischi informatici, una sorta di bussola che le guida nell’affrontare i pericoli digitali in modo rapido, efficiente e completo questo sistema è fondamentale per la loro strategia di resilienza operativa digitale, che è come un piano di sopravvivenza per il mondo digitale.
Questo sistema, che possiamo immaginare come una mappa dettagliata, non è solo un insieme di documenti da mettere in un cassetto, ma uno strumento attivo che permette di individuare e valutare i rischi, di adottare misure preventive e di gestire al meglio gli incidenti qualora si presentassero è un po’ come avere un sistema di allarme per la casa, che ti avvisa se c’è un problema e ti aiuta a risolverlo. L’organo di gestione dell’entità finanziaria è il responsabile principale di questo sistema, e deve fare in modo che sia efficace e sempre al passo con i tempi.
Non basta quindi creare la mappa, bisogna anche controllare che funzioni, aggiornarla quando cambiano le minacce e verificare che chiunque la utilizzi la conosca bene Questo sistema per la gestione dei rischi informatici deve permettere di classificare gli incidenti e le minacce, in modo da sapere come reagire in ogni situazione è come avere un manuale di istruzioni per ogni tipo di emergenza, che ti dice cosa fare e come farlo. Un aspetto cruciale di questo sistema è la gestione dei rischi legati ai fornitori di servizi ICT, quei soggetti esterni a cui le entità finanziarie affidano una parte delle loro attività digitali è necessario, quindi, identificare e classificare tutti i processi che dipendono da questi fornitori e prevedere nei contratti degli obblighi specifici per un controllo accurato. Il sistema di gestione dei rischi non è un elemento isolato, ma si integra con la governance aziendale e supporta il consiglio di amministrazione, responsabile della supervisione generale. Questo significa che tutta l’organizzazione deve essere coinvolta nella gestione dei rischi informatici, non solo il team tecnico. In sostanza, questo sistema è il pilastro su cui le entità finanziarie costruiscono la propria capacità di resistere agli attacchi informatici, e la sua corretta implementazione è fondamentale per garantire la stabilità del sistema finanziario nel suo complesso questo sistema deve essere una guida dinamica, che si adatta ai cambiamenti e che permette di affrontare ogni rischio con la giusta preparazione.
Il sistema di gestione dei rischi informatici deve essere completo e lungimirante, includendo una strategia di resilienza operativa digitale, che è come una polizza assicurativa per la continuità delle operazioni questa strategia è il cuore pulsante di tutto il sistema, definendo in modo chiaro come l’entità finanziaria intende mantenere attive le sue funzioni vitali anche quando si verificano incidenti o interruzioni. Immagina questa strategia come un piano di emergenza dettagliato, che non solo descrive come reagire a un problema, ma anche come prepararsi al meglio per prevenirlo non si tratta solo di riparare i danni dopo che si sono verificati, ma di costruire un sistema resistente che possa sopportare gli urti e riprendersi rapidamente. La strategia di resilienza operativa digitale deve identificare chiaramente le funzioni essenziali dell’entità finanziaria, quelle attività che sono indispensabili per il suo funzionamento e per la fornitura di servizi ai clienti per ogni funzione essenziale, la strategia deve definire obiettivi di ripristino (RTO) e punti di ripristino (RPO), ovvero quanto tempo può passare prima che un servizio venga ripristinato e quanti dati si possono perdere in caso di incidente. Questa strategia deve essere dinamica e flessibile, in grado di adattarsi ai cambiamenti nel panorama delle minacce informatiche e alle evoluzioni tecnologiche non può essere un documento statico, ma deve essere revisionata e aggiornata regolarmente, tenendo conto delle nuove vulnerabilità e delle nuove tecnologie.
La strategia di resilienza operativa digitale deve anche considerare l’importanza dei test di resilienza, che sono come prove generali per verificare che il piano di emergenza funzioni davvero. Questi test, che includono simulazioni di attacchi e analisi di vulnerabilità, permettono di identificare eventuali punti deboli nel sistema e di apportare miglioramenti prima che si verifichi un vero incidente inoltre, la strategia deve includere procedure chiare per la segnalazione degli incidenti alle autorità competenti e per la comunicazione con clienti e stakeholder, garantendo trasparenza e fiducia durante le fasi di crisi. La strategia di resilienza deve essere integrata in tutti i processi aziendali, non come un’appendice separata, ma come parte integrante della cultura aziendale ciò significa che tutti i dipendenti devono essere consapevoli dell’importanza della resilienza operativa e del loro ruolo nel garantirla. In sintesi, la strategia di resilienza operativa digitale è la chiave per la continuità operativa dell’entità finanziaria nel mondo digitale è un processo continuo di preparazione, test e miglioramento, che permette di affrontare qualsiasi sfida con la giusta preparazione e determinazione.
Le entità finanziarie sono tenute a mappare i propri sistemi ICT, identificando e classificando le risorse e le funzioni critiche, e documentando le dipendenze tra risorse, sistemi, processi e fornitori. Questo processo di mappatura è un elemento fondamentale per la gestione dei rischi ICT e per la resilienza operativa digitale. Le entità devono identificare, classificare e documentare tutte le funzioni aziendali correlate all’ICT, le risorse informative che supportano queste funzioni e le configurazioni e le interconnessioni del sistema ICT con sistemi interni ed esterni questo è un passaggio essenziale per comprendere appieno la propria infrastruttura digitale. È necessario individuare le risorse e le funzioni critiche per l’operatività dell’entità, cioè quelle attività e quei sistemi che sono indispensabili per il suo funzionamento e per la fornitura di servizi ai clienti queste risorse e funzioni devono essere protette in modo particolare. Le entità devono documentare le dipendenze tra risorse, sistemi, processi e fornitori questo significa capire come i diversi elementi del sistema ICT sono collegati tra loro e come un problema in un punto può propagarsi ad altre parti. Un aspetto cruciale è l’identificazione e la documentazione dei processi che dipendono da fornitori terzi di servizi ICT. La mappatura dei sistemi ICT non è un’attività una tantum, ma un processo continuo le entità devono rivedere la classificazione delle risorse informative e qualsiasi documentazione pertinente almeno una volta all’anno e quando necessario. Inoltre, devono aggiornare regolarmente gli inventari relativi ai sistemi ICT.
La mappatura è strettamente correlata alla valutazione dei rischi. Identificare e classificare i sistemi e le risorse è il primo passo per valutare le vulnerabilità, le minacce informatiche e per determinare le misure di mitigazione necessarie. La mappatura deve includere tutti i processi dipendenti da fornitori terzi di servizi ICT e le interconnessioni con essi. Questo è importante perché il DORA pone un forte accento sulla gestione dei rischi derivanti da terze parti, richiedendo che le entità finanziarie garantiscano che i propri fornitori rispettino standard di sicurezza adeguati le entità finanziarie devono quindi mantenere un registro di informazioni su tutti gli accordi contrattuali con fornitori di servizi ICT. La mappatura dei sistemi ICT è funzionale alla definizione di una strategia di resilienza operativa digitale, che deve definire come l’entità intende garantire la continuità delle operazioni in caso di incidenti o interruzioni. Una mappatura accurata è essenziale per identificare le funzioni essenziali e stabilire piani di ripristino efficaci. Le entità devono mantenere e aggiornare regolarmente un registro che contenga dati dettagliati su tutti i servizi ICT forniti da terzi e sui subappaltatori che supportano funzioni critiche o importanti questo registro, da presentare alle autorità competenti entro il 30 Aprile 2025, è importante per valutare i rischi associati a questi fornitori e garantire la conformità con il DORA. In sintesi, la mappatura dei sistemi ICT è un processo complesso e continuo che richiede alle entità finanziarie di avere una conoscenza approfondita della propria infrastruttura digitale questa attività non è solo un adempimento normativo, ma uno strumento essenziale per garantire la sicurezza, la continuità operativa e la resilienza dell’entità nel contesto digitale.
Requisiti per l’armonizzazione
Il regolamento DORA introduce requisiti specifici per l’armonizzazione del processo di gestione del rischio ICT, con l’obiettivo di garantire una visione completa, end-to-end, dei processi aziendali. Questo significa che le entità finanziarie non dovranno più considerare la sicurezza informatica come una funzione isolata, ma come un elemento integrato in tutte le attività e i processi aziendali. L’approccio armonizzato mira a creare un framework comune per la gestione del rischio ICT in tutto il settore finanziario dell’UE, superando la frammentazione delle normative nazionali preesistenti.
In pratica, il DORA richiede che le aziende adottino una prospettiva olistica sulla gestione dei rischi ICT. Questo implica non solo la protezione delle infrastrutture tecnologiche, ma anche la comprensione di come i processi aziendali dipendono da tali infrastrutture e come i rischi informatici possono influenzare la capacità di un’azienda di fornire servizi. L’obiettivo è di creare un sistema in cui la sicurezza informatica sia parte integrante di ogni decisione aziendale, non un mero adempimento normativo.
Per implementare questo approccio armonizzato, le aziende devono identificare, valutare e mitigare i rischi associati all’uso delle tecnologie ICT. Questo include la mappatura delle risorse ICT, la valutazione delle vulnerabilità, e l’implementazione di misure di protezione e di prevenzione. Inoltre, le aziende devono sviluppare strategie di risposta agli incidenti e di ripristino delle operazioni, al fine di minimizzare l’impatto di eventuali attacchi informatici.
Un elemento chiave dell’armonizzazione è la definizione di standard comuni per la classificazione degli incidenti e delle minacce informatiche, nonché per la segnalazione di tali eventi alle autorità competenti. Ciò permette di creare un sistema di monitoraggio e di allerta precoce più efficace, in cui le aziende possono condividere informazioni e collaborare per prevenire gli attacchi e mitigarne gli effetti.
Il DORA mira anche ad armonizzare la gestione dei rischi legati ai fornitori di servizi ICT, imponendo obblighi contrattuali specifici per garantire un adeguato livello di sicurezza e protezione dei dati. Questo aspetto è particolarmente importante, dato che molte aziende del settore finanziario esternalizzano servizi ICT, creando una catena di dipendenze che può aumentare i rischi. Di conseguenza, il DORA impone alle aziende di controllare non solo le proprie infrastrutture, ma anche quelle dei loro fornitori, soprattutto quelli considerati critici.
In sintesi, i requisiti per l’armonizzazione del processo di gestione del rischio ICT previsti dal DORA rappresentano un cambiamento di paradigma per il settore finanziario. Non si tratta solo di adottare nuove tecnologie o procedure, ma di integrare la sicurezza informatica in modo strutturale nei processi aziendali, creando un sistema più resiliente e in grado di adattarsi rapidamente alle minacce. Questo cambiamento richiede un impegno da parte di tutti gli attori coinvolti, dalle grandi istituzioni finanziarie ai piccoli fornitori di servizi ICT, per garantire che l’intero ecosistema finanziario sia in grado di affrontare le sfide della digitalizzazione.
Approccio Proattivo alla Gestione del Rischio:
Le aziende devono adottare un approccio basato sui rischi per la gestione della rete e dell’infrastruttura, il che implica una visione proattiva e non reattiva della sicurezza informatica.
Questo approccio richiede l’identificazione e la valutazione dei rischi specifici per ogni azienda, in base alla propria dimensione, tipologia di attività e profilo di rischio. Non si tratta quindi di applicare le stesse soluzioni di sicurezza a tutte le aziende, ma di personalizzare le misure in base alle esigenze specifiche.
Questo approccio basato sul rischio è fondamentale per ottimizzare le risorse e concentrare gli sforzi sulle aree più critiche. L’approccio implica l’implementazione di politiche complete per la gestione delle vulnerabilità. Queste politiche devono includere procedure dettagliate per l’identificazione, la valutazione e la correzione delle vulnerabilità nei sistemi e nelle applicazioni. Ciò significa non solo installare patch e aggiornamenti, ma anche effettuare test di penetrazione regolari per individuare potenziali punti deboli. Le politiche devono essere dinamiche, ovvero aggiornate regolarmente in base alle nuove minacce e alle nuove vulnerabilità scoperte.
Il monitoraggio continuo dei sistemi ICT è un elemento cruciale di questo approccio. Le aziende non possono permettersi di impostare le misure di sicurezza e poi dimenticarsene. È necessario un monitoraggio costante per identificare vulnerabilità e segnali di possibili incidenti. Questo monitoraggio deve essere automatizzato per quanto possibile, utilizzando strumenti in grado di rilevare anomalie nel traffico di rete, accessi non autorizzati e altre attività sospette. Un monitoraggio continuo consente una risposta rapida ed efficace, riducendo al minimo i danni causati da un attacco informatico. Il monitoraggio continuo è fondamentale per proteggere i dati e i servizi da violazioni della riservatezza e altre minacce informatiche.
Il sistema di gestione dei rischi ICT deve garantire che le politiche, le procedure, i protocolli e gli strumenti consentano di prevenire o rilevare tempestivamente violazioni alla riservatezza dei dati e dei servizi. Questo significa che le aziende devono mettere in atto tutte le misure di sicurezza necessarie per proteggere le informazioni sensibili, inclusa la crittografia dei dati, l’autenticazione multi-fattore, il controllo degli accessi e altre misure di protezione. Inoltre, le aziende devono essere in grado di rilevare tempestivamente qualsiasi violazione della sicurezza, utilizzando strumenti di monitoraggio e di analisi dei log. Infine, il sistema di gestione dei rischi ICT deve anche consentire di ridurre il rischio derivante dai cambiamenti ICT.
Questo significa che le aziende devono valutare attentamente l’impatto di qualsiasi cambiamento nella loro infrastruttura ICT, prima di implementarlo. Ciò include l’adozione di un rigoroso quadro di gestione delle modifiche, nonché test e procedure di rollback in caso di problemi. L’obiettivo è quello di garantire che qualsiasi cambiamento nel sistema ICT non introduca nuove vulnerabilità o comprometta la sicurezza delle informazioni.
Le aziende devono adottare un approccio proattivo e basato sui rischi per la gestione della sicurezza informatica, con un focus sul monitoraggio continuo e sulla prevenzione, il rilevamento tempestivo e la riduzione del rischio. Questo approccio richiede l’implementazione di politiche complete per la gestione delle vulnerabilità, strumenti di monitoraggio avanzati, e procedure di gestione delle modifiche per garantire che le aziende siano in grado di proteggere le proprie informazioni e infrastrutture da qualsiasi minaccia informatica.
Valutazione e mitigazione dei rischi
Le organizzazioni devono condurre una valutazione approfondita dei rischi potenziali derivanti dall’uso di tecnologie e infrastrutture ICT, un processo che va oltre la semplice identificazione delle vulnerabilità tecniche e che richiede un’analisi dettagliata delle possibili conseguenze per l’attività aziendale. Questa valutazione deve considerare non solo le minacce esterne, come gli attacchi informatici e i malware, ma anche i rischi interni, come gli errori umani, la perdita di dati e i guasti dei sistemi. È fondamentale adottare un approccio basato sul rischio, personalizzando le misure di sicurezza in base alle specifiche esigenze e al profilo di rischio di ogni organizzazione, tenendo conto della sua dimensione, tipologia di attività e delle risorse a disposizione. La valutazione del rischio deve essere un processo continuo, non un’attività una tantum, poiché le minacce informatiche evolvono costantemente e nuove vulnerabilità vengono scoperte regolarmente. Per affrontare efficacemente tali rischi, le organizzazioni devono implementare una serie di misure di mitigazione, che possono includere controlli di sicurezza tecnici, come firewall, sistemi di rilevamento delle intrusioni, crittografia e autenticazione a più fattori, ma anche controlli organizzativi, come politiche di sicurezza, formazione del personale e piani di risposta agli incidenti. Queste misure devono essere scelte e implementate in base ai risultati della valutazione del rischio, con l’obiettivo di ridurre la probabilità che un incidente informatico si verifichi e di minimizzarne l’impatto se dovesse accadere.
È imperativo documentare in modo accurato e dettagliato le minacce informatiche identificate e le azioni intraprese per mitigare i rischi associati. Questa documentazione deve includere la descrizione delle minacce, la loro classificazione in base alla gravità e all’impatto potenziale, e le misure di sicurezza implementate per prevenirle, rilevarle e risponderle. La classificazione degli incidenti, basata su criteri definiti dal regolamento DORA, è essenziale per stabilire le priorità di risposta e allocare le risorse in modo efficiente. Questa documentazione non è solo uno strumento per la gestione interna dei rischi, ma anche un elemento fondamentale per dimostrare la conformità alle normative e per agevolare la comunicazione con le autorità competenti. La documentazione deve essere costantemente aggiornata, riflettendo le nuove minacce, le nuove vulnerabilità e le modifiche al sistema di sicurezza. Inoltre, la classificazione deve essere utilizzata per assegnare ruoli e responsabilità al personale interno e per elaborare piani di comunicazione per gli stakeholder interessati, inclusi i membri del consiglio di amministrazione. La documentazione dettagliata delle minacce, delle azioni di mitigazione e delle classificazioni degli incidenti fornisce una visione completa della postura di sicurezza di un’organizzazione, consentendo di identificare le aree di miglioramento e di rafforzare la resilienza operativa digitale. In sostanza, la documentazione e la classificazione non sono semplici obblighi formali, ma strumenti essenziali per una gestione efficace dei rischi informatici e per la protezione delle informazioni e dei sistemi aziendali.
In aggiunta a quanto sopra, l’importanza di un monitoraggio continuo non può essere sottovalutata, in quanto permette di identificare tempestivamente vulnerabilità e segnali di potenziali incidenti. Questo monitoraggio deve essere attivo e proattivo, e non semplicemente reattivo a eventi già accaduti. È necessario utilizzare strumenti di monitoraggio avanzati per identificare anomalie nel traffico di rete, accessi non autorizzati e altre attività sospette. La combinazione di una solida valutazione dei rischi, di una documentazione e classificazione accurate, e di un monitoraggio continuo consente di creare un sistema di gestione dei rischi ICT robusto ed efficace, in grado di proteggere l’organizzazione dalle minacce informatiche in continua evoluzione. Questo approccio, quindi, non è solo una serie di procedure, ma una cultura della sicurezza che deve essere adottata e promossa a tutti i livelli dell’organizzazione, con un supporto attivo del consiglio di amministrazione e della leadership.
Gestione del rischio di terze parti
Le entità finanziarie devono identificare, classificare e documentare in modo esaustivo tutti i processi che dipendono da fornitori terzi di servizi ICT, un’operazione che richiede una mappatura precisa di ogni interdipendenza e una comprensione profonda di come questi servizi si integrano nelle operazioni aziendali.
Questa identificazione non si limita ai servizi erogati direttamente dal fornitore, ma si estende a tutta la catena di fornitura, compresi eventuali subappaltatori, poiché ogni anello della catena potrebbe rappresentare una potenziale vulnerabilità. La documentazione deve includere una descrizione dettagliata dei servizi forniti, del loro impatto sulle funzioni aziendali critiche, della localizzazione dei fornitori e dei subappaltatori e delle misure di sicurezza adottate da ciascuno di essi. La classificazione dei processi in base alla loro criticità è essenziale per stabilire le priorità di monitoraggio e di gestione del rischio, garantendo che le risorse siano allocate in modo efficiente. Questo processo di identificazione e documentazione deve essere continuo e dinamico, riflettendo i cambiamenti nella catena di fornitura, le nuove tecnologie adottate e l’evoluzione delle minacce informatiche.
Il regolamento DORA impone la previsione di obblighi contrattuali rigorosi che garantiscano un monitoraggio adeguato delle attività svolte dai fornitori di servizi ICT, in particolare per quei servizi che svolgono una funzione critica per l’attività dell’entità finanziaria. Questi obblighi contrattuali devono specificare chiaramente le responsabilità del fornitore in termini di sicurezza, disponibilità, integrità e riservatezza dei dati, prevedendo inoltre meccanismi di controllo e di audit che consentano all’entità finanziaria di verificare la conformità agli standard concordati. I contratti devono anche definire chiaramente le procedure da seguire in caso di incidenti informatici, inclusi i tempi di risposta, le responsabilità per eventuali danni e le misure di ripristino dei servizi.
Un aspetto fondamentale è la previsione di strategie di uscita ben definite, che stabiliscano le modalità per la cessazione del contratto e il trasferimento dei dati e dei servizi a un altro fornitore in modo sicuro e senza interruzioni. Le entità finanziarie non possono contrattare con fornitori che non siano in grado di soddisfare questi requisiti, e le autorità competenti hanno il potere di sospendere o terminare i contratti non conformi. La negoziazione dei contratti deve essere un processo accurato e scrupoloso, volto a tutelare gli interessi dell’entità finanziaria e a garantire la resilienza operativa digitale.
Le entità finanziarie devono considerare diversi fattori durante la valutazione dei contratti con i fornitori di servizi ICT, andando oltre il semplice aspetto economico. La tipologia di servizi ICT critici o importanti forniti è un elemento fondamentale da valutare, così come la localizzazione dei fornitori e dei subappaltatori, poiché la giurisdizione in cui operano può avere implicazioni sulla protezione dei dati e sulla conformità alle normative.
Un altro aspetto cruciale è la lunghezza della catena di subappalto, poiché una catena troppo lunga e complessa aumenta il rischio di vulnerabilità e rende più difficile il controllo della sicurezza. Le entità finanziarie devono anche valutare la concentrazione del rischio, evitando di affidare troppe funzioni critiche a un singolo fornitore o a un piccolo gruppo di fornitori, poiché questo potrebbe creare un punto di fallimento sistemico. La due diligence, descritta qui sotto, è un passaggio fondamentale per una valutazione completa e approfondita di tutti questi fattori.
Prima di stipulare contratti di outsourcing o subappalto, è richiesta un’attenta due diligence per valutare l’affidabilità dei fornitori, un’indagine che va oltre la semplice verifica delle certificazioni e che deve considerare la loro capacità operativa e finanziaria. L’analisi della solidità finanziaria del fornitore è essenziale per assicurarsi che sia in grado di fornire i servizi in modo continuativo e di far fronte a eventuali imprevisti. La capacità operativa del fornitore, intesa come la sua competenza tecnica, la sua esperienza nel settore e la sua infrastruttura tecnologica, è altrettanto importante.
La due diligence deve anche verificare la conformità del fornitore alle normative vigenti in materia di protezione dei dati e di sicurezza informatica, nonché le sue politiche di gestione del rischio e di risposta agli incidenti. Un aspetto cruciale è la valutazione della capacità del fornitore di garantire diritti di accesso e audit lungo tutta la catena di subappalto, permettendo all’entità finanziaria di verificare la conformità agli standard di sicurezza. La due diligence non è un’attività isolata, ma un processo continuo di valutazione e monitoraggio che deve essere ripetuto periodicamente per assicurare la costante affidabilità dei fornitori.
L’identificazione, la documentazione, la valutazione e la due diligence dei fornitori di servizi ICT sono processi interconnessi e fondamentali per la gestione del rischio e la resilienza operativa digitale delle entità finanziarie.
Questi processi non sono semplici adempimenti normativi, ma elementi cruciali per la protezione delle informazioni e dei sistemi aziendali, per la tutela degli interessi dei clienti e per la stabilità del sistema finanziario nel suo complesso. Le entità finanziarie devono investire le risorse necessarie per implementare questi processi in modo efficace e per garantire che siano costantemente aggiornati e adattati alle nuove sfide del panorama digitale.
Principio di proporzionalità
Il DORA, il regolamento europeo sulla resilienza operativa digitale, adotta un approccio risk-based, il che significa che le misure di gestione del rischio ICT non sono standardizzate, ma devono essere personalizzate in base alle specifiche caratteristiche di ciascuna entità finanziaria. Questo approccio considera diversi fattori, tra cui le dimensioni dell’entità, il tipo di attività che svolge e il suo profilo di rischio complessivo. Un’entità di grandi dimensioni, con operazioni complesse e un’elevata esposizione al rischio informatico, dovrà adottare misure di sicurezza più rigorose e sofisticate rispetto a un’entità più piccola con attività meno rischiose. La valutazione del rischio deve quindi essere un processo continuo e dinamico, che si adatta all’evoluzione del panorama delle minacce informatiche e ai cambiamenti interni all’entità finanziaria. È fondamentale che le organizzazioni non si limitino ad applicare misure di sicurezza generiche, ma che analizzino attentamente i propri specifici rischi e che implementino soluzioni su misura, garantendo così una protezione efficace e proporzionata.
Per le piccole entità finanziarie, il DORA prevede un quadro semplificato per la gestione del rischio ICT. Questo quadro semplificato riconosce che le piccole entità potrebbero non avere le stesse risorse e competenze delle grandi organizzazioni e quindi, si adatta alle loro capacità e necessità. Questo non significa che le piccole entità possano trascurare la sicurezza informatica, ma che possono adottare un approccio più leggero e meno oneroso, pur mantenendo un livello adeguato di protezione.
Al contrario, per i sistemi di pagamento, il DORA prevede un quadro più intenso, con requisiti di sicurezza più stringenti.
Questo perché i sistemi di pagamento sono considerati infrastrutture critiche del sistema finanziario e quindi sono soggetti a rischi particolarmente elevati, che richiedono misure di protezione rafforzate. Il regolamento DORA stabilisce quindi un sistema di tutele variabili, modulato in base alle diverse tipologie di soggetti e alle loro specifiche esposizioni al rischio digitale, riconoscendo che non esiste un’unica soluzione valida per tutti e che è necessario adattare le misure di sicurezza alle diverse realtà.
Questo approccio differenziato garantisce che tutte le entità finanziarie, indipendentemente dalle loro dimensioni e tipologia di attività, siano protette da minacce informatiche in modo efficace e proporzionato, promuovendo la resilienza operativa digitale dell’intero sistema finanziario europeo.
La segnalazione degli incidenti
Il Regolamento DORA introduce un sistema armonizzato per la segnalazione degli incidenti ICT che rappresenta un cambiamento significativo rispetto alle pratiche precedenti, andando oltre la mera gestione del rischio ICT e focalizzandosi invece sulla risposta agli incidenti.
Questo sistema non si limita a identificare i potenziali rischi informatici, ma stabilisce anche procedure precise per la classificazione, la registrazione, la gestione e la notifica degli incidenti e delle minacce informatiche. L’obiettivo primario è quello di garantire che le entità finanziarie siano in grado di rispondere in modo rapido ed efficace a qualsiasi evento che possa compromettere la loro operatività digitale, riducendo al minimo l’impatto negativo e consentendo una ripresa operativa tempestiva. Questo approccio proattivo alla gestione degli incidenti è fondamentale per proteggere l’integrità del sistema finanziario e la fiducia dei clienti.
La classificazione degli incidenti è un elemento cruciale del sistema di segnalazione del DORA, richiedendo alle entità finanziarie di definire criteri chiari per distinguere gli incidenti in base alla loro gravità e impatto. Questi criteri devono tener conto di diversi fattori, tra cui il numero e la rilevanza dei clienti o delle controparti finanziarie interessate, la durata dell’incidente, le perdite di dati e l’impatto sulla disponibilità, autenticità, integrità e riservatezza dei dati. Una classificazione accurata è essenziale per assegnare le risorse appropriate alla gestione dell’incidente e per comunicare in modo efficace con le autorità competenti.
La registrazione degli incidenti richiede la creazione di un registro dettagliato di tutti gli eventi di sicurezza informatica, in modo da avere una visione completa e aggiornata della situazione. Questo registro deve includere tutte le informazioni rilevanti sull’incidente, inclusi la sua natura, la sua gravità, le cause, le misure adottate per risolverlo e l’impatto sull’operatività dell’entità. La gestione degli incidenti richiede l’implementazione di procedure interne per identificare, contenere, recuperare e riparare i sistemi e i dati colpiti, riducendo al minimo i danni e garantendo una rapida ripresa delle operazioni. Queste procedure devono definire con chiarezza i ruoli e le responsabilità del personale interno, prevedere piani di comunicazione per gli stakeholder interessati, inclusi i membri del Consiglio di Amministrazione.
La notifica degli incidenti è un aspetto cruciale del DORA, che impone alle entità finanziarie di segnalare tempestivamente gli incidenti gravi alle autorità competenti, fornendo informazioni dettagliate sulla loro natura, cause e impatto. Il regolamento prevede una segnalazione obbligatoria per gli incidenti gravi, e su base volontaria per le minacce informatiche significative. Questo scambio di informazioni è fondamentale per le autorità di vigilanza per monitorare la situazione, individuare eventuali tendenze e adottare le misure necessarie per prevenire incidenti futuri. La notifica degli incidenti non è un semplice adempimento burocratico, ma un elemento chiave per la protezione del sistema finanziario nel suo complesso. Gli intermediari devono utilizzare la piattaforma Infostat per le segnalazioni, adottando il formato standardizzato previsto dalla Commissione europea.
Il sistema armonizzato di segnalazione degli incidenti introdotto dal DORA non è solo un insieme di regole e procedure, ma un approccio integrato alla sicurezza informatica che permette alle entità finanziarie di gestire gli incidenti in modo proattivo, minimizzando i danni e garantendo la continuità operativa. Questo sistema contribuisce a creare un ambiente finanziario più sicuro, resiliente e affidabile per tutti i partecipanti.
Obblighi di comunicazione e risposta:
Il Regolamento DORA richiede che le entità finanziarie non solo gestiscano gli incidenti ICT internamente, ma che comunichino in modo efficace con tutti gli stakeholder coinvolti e interessati, partendo dalla consapevolezza che la fiducia e la trasparenza sono essenziali per la resilienza del sistema finanziario.
Pertanto le aziende devono stabilire piani di comunicazione dettagliati per informare adeguatamente tutti i soggetti interessati, in caso di incidenti ICT, a partire dai membri del Consiglio di Amministrazione, che hanno un ruolo fondamentale nella supervisione e nella gestione dei rischi aziendali. Questi piani devono prevedere canali di comunicazione chiari e rapidi, con informazioni aggiornate e precise sull’incidente, le sue cause e le azioni che si stanno intraprendendo per risolverlo. Una comunicazione tempestiva e trasparente con il Consiglio di Amministrazione permette una valutazione accurata della situazione e una risposta coordinata per mitigare gli impatti negativi sull’azienda.
La comunicazione non si limita agli organi di governance interna, ma si estende anche agli utenti e ai clienti, che sono direttamente colpiti dagli incidenti. Il regolamento DORA prevede che le aziende debbano informare tempestivamente i clienti e gli utenti nel caso in cui l’incidente abbia avuto o possa avere un impatto sui loro interessi finanziari.
Questa comunicazione deve essere chiara, comprensibile e deve fornire tutte le informazioni necessarie per permettere ai clienti di proteggere i loro interessi e di prendere le decisioni più appropriate. La trasparenza nei confronti dei clienti è fondamentale per mantenere la fiducia e la credibilità dell’entità finanziaria ed evitare una crisi di reputazione in caso di incidenti.
Oltre alla comunicazione, le entità finanziarie devono predisporre procedure efficaci per mitigare l’impatto degli incidenti e garantire che i servizi tornino operativi e sicuri in modo tempestivo.
Queste procedure devono includere passaggi dettagliati per l’identificazione, il contenimento, l’eliminazione e il recupero dei sistemi e dei dati interessati, prevedendo un piano di ripristino rapido e ordinato per minimizzare le perdite e garantire la continuità operativa. Il ripristino deve seguire una precisa valutazione dei rischi e deve mirare al ripristino completo della sicurezza del sistema, proteggendo i dati e le informazioni da future vulnerabilità. Le aziende devono implementare un piano di risposta agli incidenti che sia completo e ben documentato, includendo i ruoli, le responsabilità, le procedure di escalation, la comunicazione interna ed esterna e il piano di ripristino completo.
La gestione degli incidenti secondo il DORA non è un processo isolato, ma un ciclo continuo di comunicazione, risposta e miglioramento che coinvolge tutti gli attori interessati e che si basa sulla trasparenza, sulla responsabilità e sulla cooperazione per proteggere il sistema finanziario e garantire la fiducia dei clienti. Le aziende devono considerare gli incidenti non solo come un rischio da gestire, ma anche come un’opportunità per imparare e rafforzare la loro resilienza cibernetica. In altre parole, le aziende non possono limitarsi a reagire agli incidenti, ma devono mettere in atto tutte le misure necessarie per prevenire, individuare, gestire e rispondere in modo efficace a qualsiasi potenziale minaccia, informando in modo chiaro e tempestivo tutti gli stakeholder coinvolti.
Condivisione delle Informazioni:
Il DORA, consapevole dell’importanza della collaborazione per contrastare le minacce informatiche sempre più sofisticate, promuove attivamente la condivisione volontaria di informazioni a livello europeo, creando un sistema in cui l’intero settore finanziario può beneficiare dell’esperienza e della conoscenza collettiva. Questa condivisione di informazioni non è un obbligo, ma un’opportunità che il regolamento offre alle entità finanziarie per rafforzare le proprie difese e per contribuire alla sicurezza dell’intero ecosistema finanziario. L’idea centrale è che attraverso lo scambio di informazioni sulle minacce informatiche, le organizzazioni possano imparare sia dai propri incidenti che da quelli subiti da altre entità.
Il DORA incoraggia quindi le entità finanziarie a partecipare attivamente ad accordi e iniziative per la condivisione di informazioni sulle minacce, creando una rete di sicurezza collettiva. Questi accordi possono assumere forme diverse, come piattaforme online, forum di discussione o gruppi di lavoro, e devono permettere una comunicazione rapida e sicura delle informazioni pertinenti. Attraverso la condivisione, le entità finanziarie possono essere informate tempestivamente su nuove tipologie di attacchi, vulnerabilità di sistemi e software, e tattiche utilizzate dai cybercriminali. Questo permette a ciascuna entità di adattare le proprie difese in modo proattivo, anticipando le minacce anziché reagire a eventi già accaduti. La condivisione di informazioni non si limita alle minacce esterne, ma riguarda anche gli incidenti interni, per imparare dagli errori e rafforzare le proprie procedure di risposta.
È fondamentale sottolineare che la condivisione di informazioni deve avvenire nel pieno rispetto della privacy e della protezione dei dati personali. Il DORA richiede che le informazioni condivise siano protette in conformità con le linee guida pertinenti, come il Regolamento generale sulla protezione dei dati (GDPR). Ciò significa che le entità finanziarie devono adottare misure tecniche e organizzative adeguate per garantire la riservatezza, l’integrità e la disponibilità delle informazioni condivise, evitando qualsiasi violazione della privacy dei clienti e di terzi. La condivisione di informazioni deve essere un’attività sicura e trasparente, in cui tutti i partecipanti si sentano tutelati e protetti.
il DORA riconosce che la collaborazione e la condivisione di informazioni sono essenziali per la resilienza operativa digitale del settore finanziario. Attraverso un sistema di condivisione volontaria di informazioni, le entità finanziarie possono prevenire meglio gli attacchi informatici, rispondere in modo più efficace agli incidenti e limitare rapidamente la diffusione dei rischi informatici, proteggendo l’intero sistema finanziario da potenziali contagi attraverso i canali finanziari. La condivisione delle informazioni è quindi un elemento chiave per la creazione di un ambiente finanziario più sicuro e resiliente, in cui tutti gli attori lavorano insieme per contrastare le minacce cyber. La trasparenza, la responsabilità e la cooperazione sono i valori fondamentali di questo approccio integrato alla sicurezza informatica del settore finanziario.
Ruolo delle Autorità Competenti
Il Regolamento DORA prevede che le autorità competenti svolgano un ruolo cruciale nella gestione degli incidenti ICT, non solo ricevendo le segnalazioni dalle entità finanziarie, ma anche fornendo feedback e indicazioni per migliorare la loro resilienza operativa. Questo feedback è fondamentale per aiutare le entità a comprendere la gravità e le implicazioni degli incidenti, identificare le vulnerabilità e implementare le misure correttive necessarie per prevenire futuri eventi simili. L’interazione tra le autorità e le entità finanziarie è quindi un processo dinamico e collaborativo, volto a rafforzare la sicurezza dell’intero sistema.
Le autorità competenti, inoltre, non operano in isolamento, ma sono parte di una rete di scambio di informazioni che coinvolge diverse istituzioni e autorità. Il DORA stabilisce che le autorità competenti possano condividere dettagli pertinenti degli incidenti con altre istituzioni, come le Autorità europee di vigilanza (ESA), la Banca Centrale Europea (BCE) e i punti di contatto designati ai sensi della direttiva (UE) 2016/1148. Questa condivisione di informazioni è essenziale per garantire una comprensione completa e tempestiva delle minacce a livello europeo, per coordinare le risposte a incidenti transfrontalieri e per evitare che una singola vulnerabilità possa propagarsi in tutto il sistema finanziario. La rapidità e l’efficacia nello scambio di informazioni tra le autorità competenti sono fondamentali, soprattutto in caso di attacchi su larga scala con potenziali conseguenze sistemiche.
Un altro aspetto importante del ruolo delle autorità competenti è la vigilanza continua sull’entità finanziaria che si avvale di servizi ICT prestati da fornitori terzi. Questa attività di vigilanza è fondamentale per monitorare i rischi associati all’esternalizzazione di funzioni essenziali o importanti e per garantire che le entità finanziarie rispettino gli obblighi del DORA anche quando utilizzano servizi forniti da terzi. Le autorità competenti non si limitano a ricevere segnalazioni di incidenti, ma monitorano attivamente le relazioni contrattuali e le pratiche di gestione del rischio delle entità, anche in relazione ai loro fornitori ICT.
Le Autorità di vigilanza europee (ESA), infine, svolgono un ruolo di coordinamento e di analisi a livello europeo. Le ESA raccolgono e analizzano le notifiche di incidenti ICT provenienti dalle autorità competenti degli Stati membri, pubblicando statistiche aggregate e anonimizzate per fornire una panoramica delle minacce e delle vulnerabilità a livello di Unione. Inoltre, le ESA emettono avvisi e producono statistiche per supportare le valutazioni delle minacce e delle vulnerabilità ICT, permettendo alle entità finanziarie di essere informate e pronte ad affrontare le sfide di cybersecurity. Questo lavoro di analisi e coordinamento a livello europeo è essenziale per comprendere le tendenze delle minacce informatiche e per migliorare la capacità di risposta e resilienza dell’intero settore finanziario. Le ESA hanno anche il compito di stabilire, pubblicare e aggiornare annualmente l’elenco dei fornitori terzi di servizi ICT critici a livello di Unione.
Il DORA prevede un sistema complesso e integrato in cui le autorità competenti non sono semplici destinatari di segnalazioni, ma attori chiave nella prevenzione, nella gestione e nella risposta agli incidenti ICT. Le autorità svolgono un ruolo di supervisione continua, di scambio di informazioni e di analisi delle minacce a livello nazionale ed europeo, contribuendo a creare un ambiente finanziario più sicuro e resiliente. Il loro lavoro è fondamentale per garantire che il settore finanziario sia in grado di affrontare le sfide poste dalla digitalizzazione e dalla crescente sofisticazione degli attacchi informatici.
Sanzioni:
Il Regolamento DORA, nel suo intento di rafforzare la resilienza operativa digitale del settore finanziario, prevede un sistema sanzionatorio rigoroso per garantire il rispetto degli obblighi imposti, con conseguenze finanziarie rilevanti per le entità che non si adeguano alle normative. La mancata segnalazione di incidenti informatici gravi o la non conformità ai requisiti del regolamento possono infatti comportare sanzioni amministrative pecuniarie significative, dimostrando l’importanza attribuita alla sicurezza informatica nel contesto finanziario europeo. Le istituzioni finanziarie che non rispettano le regole stabilite dal DORA possono incorrere in multe fino a 10 milioni di euro oppure al 5% del loro fatturato annuo totale. Questa doppia modalità di calcolo delle sanzioni, con un tetto massimo espresso sia in valore assoluto che in percentuale sul fatturato, assicura che le sanzioni siano proporzionali alle dimensioni e alla capacità finanziaria dell’entità sanzionata. L’ammontare delle sanzioni è quindi tale da rappresentare un serio deterrente per le entità finanziarie, incoraggiandole ad investire in sicurezza informatica e nella conformità al DORA.
È importante sottolineare che le sanzioni non sono solo una conseguenza della non conformità, ma rappresentano anche un meccanismo per garantire la stabilità e l’integrità del sistema finanziario. L’obiettivo del DORA è quello di creare un ambiente finanziario più sicuro e resiliente, in cui le entità siano in grado di prevenire, rispondere e recuperare rapidamente da incidenti informatici. Le sanzioni, in questo contesto, hanno lo scopo di scoraggiare comportamenti negligenti o irresponsabili che potrebbero mettere a rischio la stabilità del sistema e la fiducia dei consumatori.
Le autorità competenti, designate da ciascuno Stato membro dell’UE, hanno il compito di vigilare sul rispetto del DORA e di imporre sanzioni in caso di violazioni. I criteri specifici per il calcolo delle sanzioni sono stabiliti dalle autorità competenti, con la possibilità di richiedere alle entità finanziarie di adottare misure di sicurezza specifiche e di correggere le vulnerabilità riscontrate. Le autorità possono anche imporre sanzioni amministrative, e in alcuni casi penali, alle entità che non si conformano ai requisiti del DORA. Ciò significa che ogni Stato membro può decidere autonomamente sulle penalità da applicare, purché rispettino i limiti stabiliti dal regolamento europeo. Inoltre, i fornitori di servizi ICT critici, designati dalla Commissione Europea, sono direttamente supervisionati dalle autorità di vigilanza europee (ESA) e sono anch’essi soggetti a sanzioni pecuniarie in caso di non conformità. I fornitori di servizi ICT critici possono essere multati fino all’1% del loro fatturato medio giornaliero mondiale dell’anno precedente, con multe che possono essere applicate ogni giorno per un massimo di sei mesi fino a quando non raggiungono la conformità. Questo aspetto sottolinea come la responsabilità non ricada solo sulle entità finanziarie, ma anche sui loro fornitori di servizi ICT, con un approccio alla sicurezza informatica che riguarda l’intera catena di fornitura del settore finanziario.
L’impianto sanzionatorio del DORA è severo e strutturato per garantire la conformità alle normative sulla resilienza operativa digitale. Le multe elevate, la supervisione continua da parte delle autorità competenti e la responsabilità estesa anche ai fornitori di servizi ICT, creano un sistema di incentivi e controlli che mira a proteggere il settore finanziario dalle minacce informatiche. Le entità finanziarie e i fornitori di servizi ICT devono quindi adottare un approccio proattivo alla gestione dei rischi informatici, consapevoli che la non conformità al DORA può comportare conseguenze finanziarie significative e un danno alla propria reputazione.
Il principio di proporzionalità
Il Regolamento DORA introduce il principio di proporzionalità come elemento chiave per l’applicazione delle misure di sicurezza e degli adempimenti richiesti alle entità finanziarie, riconoscendo che non tutte le organizzazioni operano con la stessa scala o lo stesso livello di rischio. Questo significa che le misure di sicurezza e gli obblighi imposti non sono uniformi, ma variano in base alle caratteristiche specifiche di ogni entità finanziaria, tenendo conto delle loro dimensioni, del loro profilo di rischio complessivo, nonché della natura, della portata e della complessità dei loro servizi, delle loro attività e della loro operatività.
Le entità finanziarie più piccole, come le microimprese, possono beneficiare di un quadro semplificato per la gestione dei rischi ICT, con adempimenti meno onerosi rispetto a quelli richiesti per le grandi banche o gli istituti finanziari complessi. Questo approccio consente di evitare di imporre oneri eccessivi a realtà più piccole che potrebbero avere difficoltà a sostenere i costi e la complessità di sistemi di sicurezza sofisticati.
Al contrario, le entità finanziarie con un profilo di rischio più elevato, come i sistemi di pagamento, possono essere soggette a requisiti più stringenti e ad un livello di controllo maggiore. Questo perché una loro vulnerabilità potrebbe avere un impatto significativo sulla stabilità del sistema finanziario. L’obiettivo è quello di garantire che le misure di sicurezza siano sempre adeguate al livello di rischio effettivo, senza imporre oneri sproporzionati alle entità con rischi minori.
Il principio di proporzionalità si applica anche alla gestione del rischio di terze parti ICT, dove il livello di controllo e le garanzie contrattuali richieste ai fornitori di servizi sono commisurate all’importanza dei servizi forniti e al rischio che essi comportano per l’entità finanziaria. Inoltre, la frequenza dei test di resilienza operativa digitale, inclusi i test di penetrazione basati sulle minacce, è determinata in base al profilo di rischio dell’entità finanziaria.
Il principio di proporzionalità è fondamentale per garantire un’applicazione efficace e sostenibile del DORA, permettendo di adattare gli obblighi alle diverse realtà del settore finanziario e garantendo che le risorse siano allocate in modo efficiente per una maggiore sicurezza e resilienza. L’obiettivo è di creare un quadro normativo che sia al contempo rigoroso e flessibile, capace di proteggere il sistema finanziario senza soffocare l’innovazione e la crescita delle aziende più piccole.
I test di penetrazione basati sulle minacce (Threat-Led Penetration Test – TLPT)
Il Regolamento DORA introduce l’obbligo per alcune entità finanziarie di effettuare test avanzati di penetrazione basati su minacce (Threat-Led Penetration Test – TLPT), con una cadenza almeno triennale. Questi test non sono semplici verifiche di routine, ma vere e proprie simulazioni di attacchi informatici reali, progettate per mettere alla prova la capacità di difesa e risposta dell’entità in condizioni di stress elevato. L’obiettivo principale di questi test è quello di valutare in modo approfondito la resilienza operativa digitale dell’organizzazione, ossia la sua capacità di mantenere inalterate le proprie funzioni operative, di adattarsi a situazioni avverse e di ripristinare rapidamente i sistemi dopo un incidente informatico.
I TLPT sono quindi uno strumento fondamentale per identificare le vulnerabilità e le debolezze dei sistemi ICT, consentendo alle entità finanziarie di adottare misure correttive tempestive e di migliorare le proprie strategie di cybersecurity. Questi test devono essere condotti da soggetti esterni e qualificati, in conformità all’articolo 27 del DORA, garantendo così un’analisi obiettiva e indipendente delle difese dell’entità. La scelta di affidarsi a soggetti esterni è pensata per evitare conflitti di interesse e per ottenere una valutazione più accurata della reale esposizione al rischio informatico.
I risultati dei TLPT non sono solo un feedback interno per le entità finanziarie, ma sono anche uno strumento di supervisione per le autorità competenti. Infatti, gli esiti di questi test vengono integrati nei processi di vigilanza e contribuiscono alla valutazione complessiva della solidità e della sicurezza delle entità. In questo modo, le autorità di vigilanza possono monitorare il livello di conformità delle entità finanziarie agli standard di sicurezza del DORA e possono intervenire tempestivamente nel caso in cui vengano riscontrate gravi carenze. L’approccio del DORA mira a spostare l’attenzione dalla semplice prevenzione degli attacchi alla capacità di ripresa e adattamento dell’intero sistema finanziario.
La frequenza almeno triennale dei TLPT sottolinea l’importanza di un monitoraggio continuo e di un miglioramento costante della sicurezza informatica. Il panorama delle minacce informatiche è in continua evoluzione e nuovi attacchi vengono sviluppati di continuo, perciò è fondamentale che le entità finanziarie si sottopongano a test regolari per assicurarsi che le loro difese siano sempre aggiornate ed efficaci. L’approccio risk-based del DORA implica che la frequenza dei test e la loro intensità debbano essere commisurate al profilo di rischio di ogni singola entità, tenendo conto delle sue dimensioni, della complessità delle sue attività e dell’importanza sistemica dei suoi servizi.
Oltre ai TLPT, il DORA prevede anche altri tipi di test, come simulazioni di attacchi, analisi di vulnerabilità e valutazioni della resilienza delle infrastrutture. Questi test, insieme ai TLPT, contribuiscono a costruire una cultura della sicurezza informatica che va oltre la semplice conformità formale e che punta ad un miglioramento continuo delle difese e della capacità di risposta di tutto il settore finanziario. Le entità finanziarie devono quindi documentare i risultati dei test e utilizzarli per migliorare continuamente i propri controlli di sicurezza e per adeguare le proprie politiche di gestione del rischio informatico. L’obiettivo è quello di sviluppare un approccio proattivo, capace di anticipare le minacce e di garantire la continuità operativa anche in caso di incidenti informatici.
Il registro degli accordi contrattuali
Il registro degli accordi contrattuali con i fornitori di servizi ICT rappresenta uno strumento fondamentale nel quadro normativo del DORA, un pilastro per una gestione efficace del rischio informatico nel settore finanziario. Questo registro non è un semplice elenco di contratti, ma un vero e proprio database dinamico e dettagliato, dove ogni entità finanziaria deve documentare minuziosamente tutti gli accordi stipulati con fornitori terzi per l’utilizzo di servizi ICT. L’obiettivo è quello di avere una panoramica completa e aggiornata delle dipendenze esterne in ambito tecnologico, elemento essenziale per una corretta valutazione dei rischi e per la garanzia della resilienza operativa digitale.
Il DORA, infatti, richiede che ogni entità finanziaria mantenga e aggiorni costantemente questo registro, sia a livello aziendale che a livello consolidato. Questo significa che le informazioni devono essere facilmente accessibili e sempre pronte per essere consultate dalle autorità di vigilanza o da altri soggetti interni ed esterni coinvolti nella gestione del rischio. Non si tratta solo di registrare i contratti, ma anche di classificarli in base alla loro importanza e criticità, distinguendo tra quelli che riguardano funzioni essenziali o importanti e quelli che riguardano funzioni secondarie.
Le informazioni che devono essere incluse nel registro sono estremamente dettagliate e vanno ben oltre i semplici dati identificativi del fornitore e del contratto. Il registro deve contenere una descrizione precisa dei servizi ICT forniti, specificando la loro natura, la loro portata e il loro impatto sull’operatività dell’entità finanziaria. Inoltre, è necessario identificare i subappaltatori coinvolti nella fornitura dei servizi, mappando l’intera catena di fornitura e valutando i rischi connessi alla dipendenza da terzi. In questo modo, si crea una visione chiara e trasparente della complessa rete di interconnessioni che caratterizza l’ecosistema digitale del settore finanziario.
Un altro aspetto cruciale del registro è la documentazione di tutti gli aspetti rilevanti per la gestione del rischio, come i livelli di servizio, le procedure di sicurezza, i piani di continuità operativa e le clausole contrattuali relative alla risoluzione delle controversie. Questo permette alle entità finanziarie di avere un controllo più stringente sui fornitori di servizi ICT e di garantire che essi rispettino gli standard di sicurezza e di resilienza richiesti dal DORA. Il registro, inoltre, deve includere i punti di contatto presso il fornitore per la gestione degli incidenti e delle emergenze, garantendo una comunicazione rapida ed efficace in caso di problemi.
Il DORA ha l’obiettivo di creare uno standard europeo per questo registro, in modo da facilitare il monitoraggio e la supervisione da parte delle autorità competenti. Le Autorità Europee di Vigilanza (AEV) sono incaricate di definire un modello standard per il registro, stabilendo i formati, i modelli e le procedure che devono essere seguiti da tutte le entità finanziarie. Questo modello standardizzato è fondamentale per consentire alle autorità di vigilanza di valutare rapidamente i rischi associati ai fornitori terzi e per garantire che le entità rispettino i requisiti del DORA. Nonostante ciò, una recente bocciatura da parte della Commissione Europea ha evidenziato alcune criticità, in particolare riguardo all’utilizzo del LEI (identificatore di entità giuridica) rispetto all’EUID (identificatore unico europeo), sollevando preoccupazioni sulla gestione delle informazioni e sull’aggravio degli oneri di segnalazione per le entità finanziarie.
L’implementazione e la tenuta di questo registro non sono semplici adempimenti burocratici, ma rappresentano un elemento chiave per la gestione proattiva del rischio ICT e per la garanzia della resilienza operativa digitale. Il registro è un punto di riferimento per le entità finanziarie nel momento in cui devono decidere se affidare a terzi delle funzioni critiche e importanti, fornendo loro una visione d’insieme della struttura dei rischi e delle dipendenze. È uno strumento indispensabile per una gestione consapevole e responsabile dei rischi derivanti dall’utilizzo di servizi ICT forniti da terzi.
L’autovalutazione
Il regolamento DORA (Digital Operational Resilience Act) è un’iniziativa dell’Unione Europea per rafforzare la resilienza operativa digitale del settore finanziario e si inserisce in un più ampio quadro normativo europeo che include anche la Direttiva NIS 2 e la Direttiva CER, tutte volte a potenziare la capacità di resistenza delle aziende europee nel contesto cyber. Il DORA si applica a una vasta gamma di entità finanziarie, e anche ai fornitori di servizi ICT che operano per il settore finanziario.
Il regolamento entrerà pienamente in vigore il 17 gennaio 2025, con la conseguente abrogazione di alcune normative secondarie della Banca d’Italia in materia di esternalizzazione di servizi ICT a supporto di FEI (Funzioni Essenziali o Importanti), che non saranno più applicabili dal 17 gennaio 2025. Per esempio, dal 17 gennaio 2025, gli intermediari dovranno informare tempestivamente la Banca d’Italia prima di stipulare contratti per servizi ICT a supporto di FEI, e dovranno segnalare i gravi incidenti ICT e le minacce informatiche significative alla Banca d’Italia. La segnalazione degli incidenti ICT e delle minacce informatiche seguirà un nuovo schema di notifica definito dal regolamento delegato (UE) 2024/1772.
Un aspetto centrale del DORA è la gestione dei rischi ICT nelle attività esternalizzate e richiede alle entità finanziarie di tenere un registro dettagliato di tutti gli accordi contrattuali per l’utilizzo di servizi ICT forniti da terzi. Il registro deve contenere informazioni precise sui servizi forniti, i subappaltatori e altri aspetti rilevanti per la gestione del rischio. Inoltre, il DORA introduce obblighi più stringenti per la gestione dei rischi di cybersecurity legati all’esternalizzazione dei servizi ICT, con particolare attenzione alla continuità operativa.
Un altro elemento importante introdotto dal regolamento è l’autovalutazione, che la Banca d’Italia ha richiesto agli intermediari direttamente vigilati. Entro il 30 aprile 2025, gli intermediari devono completare e comunicare alla Banca d’Italia un’autovalutazione sul rispetto dei requisiti del DORA, redatta con il supporto delle funzioni di controllo di secondo e terzo livello e approvata dall’organo di amministrazione. L’obiettivo di questa autovalutazione è consentire all’Autorità di misurare il raggiungimento degli obiettivi normativi e di consolidare gli orientamenti a livello sistemico.
Il DORA introduce anche un impianto sanzionatorio complesso e completo per le violazioni degli adempimenti, con multe che possono raggiungere il 5% del fatturato annuo totale o 10 milioni di euro. Questo sottolinea l’importanza per le entità finanziarie di adeguarsi tempestivamente ai requisiti del regolamento e di garantire una gestione efficace dei rischi legati all’utilizzo di servizi ICT forniti da terzi.
Inoltre, il DORA si allinea con la Digital Finance Strategy e con il principio di proporzionalità, che richiede di valutare la conformità agli obblighi legali caso per caso in base alle specifiche caratteristiche di ogni entità finanziaria. Il regolamento conferma un approccio cross-settoriale e orientato al rischio, basato su pochi principi generali da declinare in modo specifico a seconda delle peculiarità dei diversi ambiti finanziari. Il DORA non è applicabile esclusivamente agli istituti finanziari, ma anche ai fornitori ICT, che dovranno adempiere agli obblighi imposti.
Il principio di trasparenza, previsto anche dall’AI Act, è centrale per il DORA, con l’obiettivo di garantire che i sistemi di intelligenza artificiale siano tracciabili, spiegabili e comprensibili per gli utenti finali, proteggendo i diritti fondamentali. L’interconnessione tra attività interne ed esternalizzate è fondamentale nel contesto dei mercati globalizzati e il regolamento mira a garantire che i fornitori di servizi ICT rispettino gli standard di sicurezza e di resilienza richiesti.
Le Autorità europee di vigilanza (ESAs)
l’Autorità bancaria europea (EBA), l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) e l’Autorità europea degli strumenti finanziari e dei mercati (ESMA), svolgono un ruolo fondamentale nel contesto del regolamento DORA, non limitandosi alla mera definizione di standard tecnici ma partecipando attivamente alla supervisione e al monitoraggio del sistema finanziario. Queste autorità hanno il compito di elaborare gli standard tecnici di regolamentazione (RTS) e gli standard tecnici di implementazione (ITS), che definiscono i requisiti specifici che le entità finanziarie e i fornitori di servizi ICT devono rispettare. Questi standard sono essenziali per l’applicazione pratica del regolamento DORA e coprono vari aspetti come la classificazione degli incidenti ICT, i test di resilienza operativa digitale e la gestione dei rischi di terze parti.
In particolare, le ESAs hanno il compito di identificare i fornitori di servizi ICT considerati critici per il settore finanziario dell’UE, basandosi su criteri specifici come l’impatto sistemico sulla stabilità finanziaria, il numero di entità finanziarie che dipendono dal fornitore e la dipendenza delle entità finanziarie dai servizi del fornitore per funzioni critiche. Una volta identificati, questi fornitori sono soggetti alla supervisione diretta di un’autorità di vigilanza capofila (lead overseer), designata dalle ESAs. Il lead overseer ha il compito di valutare se il fornitore ICT critico dispone di regole, procedure e meccanismi adeguati per gestire i rischi informatici che potrebbero esporre le entità finanziarie. Le ESAs, tramite il Comitato congiunto, sviluppano inoltre standard tecnici per specificare gli elementi che un’entità finanziaria deve valutare quando subappalta servizi ICT per funzioni essenziali.
Le ESAs, attraverso un Oversight Forum, presentano annualmente una relazione al Parlamento europeo, al Consiglio e alla Commissione sull’applicazione delle disposizioni relative alla supervisione dei fornitori ICT critici. Questo forum svolge un ruolo di coordinamento, contribuendo a garantire che la supervisione sia coerente e uniforme in tutta l’Unione Europea.
Un aspetto fondamentale del ruolo delle ESAs è la gestione della segnalazione degli incidenti ICT. Infatti, le ESAs hanno il compito di stabilire il contenuto dei report relativi agli incidenti ICT e la notifica delle minacce informatiche significative, nonché i termini entro cui le entità finanziarie devono segnalare questi eventi alle autorità competenti. Le ESAs garantiscono anche la coerenza tra i requisiti per la segnalazione degli incidenti previsti dal DORA e quelli della direttiva (UE) 2022/2555 (NIS 2). Le segnalazioni degli incidenti vengono raccolte e analizzate dalle ESAs a livello europeo, per consentire una comprensione più ampia e completa delle minacce informatiche che colpiscono il settore finanziario.
Infine, è importante sottolineare che le ESAs hanno pubblicato uno statement il 4 dicembre 2024 per richiamare l’attenzione degli operatori di mercato sulla prima applicazione del regolamento DORA. Questo statement sottolinea l’importanza della preparazione all’entrata in vigore del regolamento e evidenzia come non sia previsto un periodo transitorio, e che le entità finanziarie devono essere pronte a rispettare i requisiti dal 17 gennaio 2025, data di inizio applicazione del DORA. Entro i primi mesi del 2025 le entità finanziarie devono avere pronti i registri aggiornati sugli accordi contrattuali con i fornitori ICT, che saranno trasmessi dalle autorità competenti alle ESAs entro il 30 aprile 2025. I fornitori ICT critici devono valutare la propria operatività rispetto ai requisiti del DORA, e la prima designazione dei CTPPs è prevista nella seconda metà del 2025.
Le tempistiche di applicazione del DORA:
Il Regolamento DORA, entrato in vigore il 16 gennaio 2023, prevede un periodo di transizione per consentire alle entità finanziarie e ai fornitori di servizi ICT di adeguarsi alle nuove disposizioni, con l’applicazione effettiva a partire dal 17 gennaio 2025. Questo intervallo di tempo ha permesso ai soggetti interessati di prepararsi per la piena conformità al regolamento, che diventerà obbligatoria dal 17 gennaio 2025. La data del 17 gennaio 2025 segna un punto di svolta per il settore finanziario, con l’implementazione di requisiti stringenti in materia di resilienza operativa digitale.
Durante questo periodo di transizione, le autorità di vigilanza europee (ESAs) hanno continuato a definire e pubblicare gli standard tecnici (RTS e ITS) necessari per l’applicazione pratica del DORA. Il 17 gennaio 2024 è stato pubblicato il primo lotto di RTS e ITS, seguito dal secondo lotto il 17 luglio 2024, fornendo così ulteriori dettagli operativi per la conformità. Questo processo continuo di chiarimenti normativi evidenzia la complessità del DORA e la necessità di un approccio proattivo da parte delle entità coinvolte.
Il 4 dicembre 2024, le ESAs hanno emesso un comunicato per richiamare l’attenzione sull’importanza della preparazione alla piena applicazione del DORA e per sottolineare che non è previsto alcun periodo transitorio. Entro i primi mesi del 2025, le entità finanziarie devono aver predisposto i registri aggiornati degli accordi contrattuali con i fornitori di servizi ICT, da trasmettere alle autorità competenti entro il 30 aprile 2025, le quali a loro volta li invieranno alle ESAs. A partire dal 17 gennaio 2025, gli intermediari devono anche segnalare tempestivamente alla Banca d’Italia eventuali accordi contrattuali previsti per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti e devono notificare i gravi incidenti ICT.
Il periodo di transizione ha permesso alle aziende di condurre un’analisi del divario (gap analysis) per valutare se le misure di sicurezza esistenti soddisfano i requisiti del regolamento, consentendo loro di pianificare le azioni necessarie per raggiungere la piena conformità entro il termine stabilito. Dal 17 gennaio 2025, le entità finanziarie e i fornitori di servizi ICT critici dovranno essere pienamente conformi al DORA, pena l’applicazione di sanzioni amministrative e, in alcuni casi, penali. Il rispetto delle tempistiche previste dal DORA è quindi fondamentale per garantire la stabilità e la sicurezza del settore finanziario europeo e per evitare potenziali impatti negativi derivanti dalla non conformità al regolamento.
La sovrapposizione con altre normative
Il Regolamento DORA si colloca in un contesto normativo europeo complesso e interconnesso, che include anche la Direttiva NIS2 e il Regolamento GDPR, con l’obiettivo di rafforzare la resilienza operativa digitale e la sicurezza informatica nel settore finanziario. Il DORA è specificamente concepito per il settore finanziario e stabilisce requisiti uniformi per la sicurezza delle reti e dei sistemi informativi che supportano i processi aziendali delle entità finanziarie. La Direttiva NIS2, invece, ha una portata più ampia, interessando diversi settori essenziali e importanti, ma il DORA prevale sulla NIS2 per le entità finanziarie. Ciò significa che le entità finanziarie devono conformarsi alle disposizioni del DORA in materia di gestione dei rischi ICT, segnalazione degli incidenti e test di resilienza operativa, anziché a quelle della NIS2. Il DORA, infatti, è considerato un atto giuridico settoriale specifico rispetto alla NIS2 per le entità finanziarie. Il DORA è stato creato per armonizzare le linee guida sulla cybersicurezza nel settore finanziario, tenendo conto del mutevole scenario delle minacce informatiche, e per eliminare le disparità normative tra i vari Stati membri dell’UE.
Il GDPR, che si concentra sulla protezione dei dati personali, si interseca con il DORA in quanto entrambi i regolamenti mirano a garantire un elevato livello di sicurezza nel trattamento dei dati. Anche se il GDPR ha un campo di applicazione più ampio, il DORA pone particolare attenzione ai rischi informatici che possono compromettere la sicurezza dei sistemi informatici e di rete delle entità finanziarie. La gestione del rischio di terze parti è un punto di contatto tra il DORA e il GDPR, poiché le entità finanziarie devono assicurarsi che anche i fornitori di servizi ICT, che trattano dati personali, rispettino le normative sulla protezione dei dati. Il DORA, in particolare, impone che i contratti con i fornitori di servizi ICT includano obblighi contrattuali che garantiscano un adeguato monitoraggio delle attività svolte dai suddetti fornitori sui servizi tecnologici che ricoprono una funzione critica per il servizio erogato dal soggetto finanziario interessato.
Nonostante le diverse aree di intervento, DORA, NIS2 e GDPR sono tutti diretti a rafforzare la resilienza digitale e la sicurezza informatica nel contesto europeo. Sebbene possano verificarsi sovrapposizioni tra i tre regolamenti, è importante evitare duplicazioni di adempimenti e sfruttare al meglio le sinergie, per cui le autorità competenti devono collaborare per garantire una supervisione coordinata e coerente. Il DORA, in particolare, consolida e aggiorna la gestione dei rischi nel settore ICT e la gestione dei rischi informatici nei servizi finanziari, allineandosi agli obiettivi del GDPR. La trasparenza, sia nell’ambito dell’AI Act che del DORA, è un principio guida, garantendo che i sistemi, compresi quelli di IA, siano comprensibili e tracciabili, in modo da proteggere i diritti degli utenti e promuovere un ambiente digitale sicuro e responsabile. L’applicazione coordinata di queste normative è fondamentale per costruire un ecosistema finanziario più sicuro e resiliente in Europa.
Il DORA si basa anche su linee guida preesistenti come quelle dell’EBA in materia di outsourcing, ma introduce un regime di supervisione europeo sui fornitori ICT critici. L’obiettivo è quello di creare un quadro normativo armonizzato a livello europeo, assicurando che tutte le entità finanziarie adottino misure adeguate per proteggere l’integrità e la sicurezza del sistema finanziario dell’UE.