Il settore finanziario è da sempre uno dei più regolamentati e osservati. Non solo per il suo ruolo nell’economia reale, ma anche perché rappresenta un bersaglio privilegiato di frodi e attacchi informatici. L’arrivo del Digital Operational Resilience Act (DORA) dell’Unione Europea non è stato quindi una sorpresa, ma un ulteriore segnale che resilienza digitale e gestione del rischio operativo sono diventati fattori critici di stabilità per banche, assicurazioni e società di pagamento.
Indice degli argomenti
Cos’è DORA e perché cambia le regole
DORA è entrato in vigore a gennaio 2025 e riguarda tutte le istituzioni finanziarie e i loro fornitori terzi critici. Il regolamento stabilisce obblighi stringenti su tre fronti principali: segnalazione degli incidenti, monitoraggio della supply chain tecnologica e test di resilienza operativa. Obiettivo: garantire che l’intero sistema finanziario europeo sia in grado di resistere a interruzioni, cyber attacchi e malfunzionamenti. Dopo sei mesi, però, i dati parlano chiaro: secondo un sondaggio commissionato da Veeam e condotto da Censuswide, il 96% delle organizzazioni ammette di dover ancora rafforzare la propria resilienza per essere pienamente conforme.
Il peso sui team e la sfida della governance
Una delle conseguenze più immediate è stato l’aumento del carico di lavoro per i team IT e di sicurezza. Il 41% delle aziende lo indica come la principale criticità. Come ha osservato Andre Troskie, EMEA Field CISO, “rispettare i requisiti di DORA non dovrebbe diventare un progetto in più da spuntare su una lista già affollata, ma parte di una strategia olistica di resilienza”. Questo significa integrare la compliance all’interno dei modelli di governance aziendale e non relegarla a un compito tecnico aggiuntivo.
Testing e continuità operativa: il nodo scoperto
Il regolamento pone un’enfasi particolare sui test di resilienza, ma quasi un quarto delle imprese in Europa non ha ancora avviato esercitazioni strutturate di ripristino e continuità. Un rischio notevole, considerando la complessità delle minacce. Troskie ricorda che “senza test regolari non è possibile sapere se i nuovi controlli funzioneranno davvero quando servirà”. Nonostante la reticenza iniziale – legata alla paura di scoprire vulnerabilità difficili da sanare – il testing rimane il modo più efficace per costruire fiducia e capacità di risposta.
Il tallone d’Achille: i fornitori terzi
La sfida più difficile riguarda la gestione dei fornitori critici. In media, una banca o un intermediario finanziario collabora con circa 88 partner esterni: un ecosistema vasto, spesso poco mappato e difficile da controllare. Più di un terzo delle istituzioni individua nella supervisione dei fornitori la principale difficoltà. In passato ci si fidava della resilienza integrata dei partner, oggi DORA impone contratti chiari, SLA dettagliati e responsabilità condivise. Un percorso che richiede tempo, ma che è essenziale per costruire un sistema finanziario europeo realmente sicuro e resiliente.
DORA: l’inizio di un percorso
DORA non è un traguardo, ma l’inizio di un percorso più ampio. Le istituzioni che lo interpretano solo come un obbligo di compliance rischiano di perdere l’occasione di rafforzare la propria posizione di mercato. Come conclude Troskie, la vera domanda è: “Conosciamo davvero quanto siano resilienti i nostri fornitori e stiamo testando abbastanza da fidarci delle nostre difese?”. Le risposte, per ora, restano parziali. Ma rappresentano il punto di partenza per una resilienza digitale che va oltre la semplice conformità normativa.
