ICT
DORA e i fornitori che non hai mappato
Jithin Kumar Palepu · 9 luglio 2026 · 6 min di lettura
Venerdì, tardo pomeriggio. Un fornitore esterno ha un disservizio e, senza troppo preavviso, metà di un servizio si ferma. Parte la telefonata, poi la seconda. E la prima domanda che conta non è tecnica, è questa: «quel fornitore lo avevamo classificato come critico? sta nel registro? chi altro dipende da lui?». Se la risposta è un silenzio imbarazzato, il problema non è l'incidente di oggi. È che una dipendenza importante non era sulla mappa.
Se ti occupi di ICT, rischio o compliance in una banca o in un intermediario, la DORA ha reso questa scena molto più pesante. Non perché aggiunga un disservizio in più, ma perché sposta l'asticella: non basta reagire bene, devi poter dimostrare che sapevi da chi dipendevi, e quanto.

Ogni servizio poggia su una catena di fornitori. DORA chiede di conoscerla, non di intuirla.
DORA non chiede un foglio. Chiede una mappa viva.
Il cuore della gestione del rischio di terze parti in DORA è il registro dei fornitori ICT: l'elenco strutturato di tutti gli accordi contrattuali con i fornitori di servizi ICT, con l'indicazione di quali sostengono funzioni essenziali o importanti. Non è un adempimento formale da archiviare: è la base su cui l'autorità, e tu per primo, valutate la tua esposizione. Su cosa deve contenere e come si costruisce, abbiamo una guida dedicata al registro dei fornitori ICT.
Il punto è che un registro serve solo se è vero. Un elenco compilato una volta e lasciato invecchiare racconta l'organizzazione di sei mesi fa, non quella di oggi. E le organizzazioni cambiano: un nuovo contratto, un subappaltatore che entra nella catena, un servizio che diventa improvvisamente critico perché ci hai appoggiato sopra un processo nuovo.
Il rischio non è avere un buco nel registro. È non sapere di averlo, finché un venerdì pomeriggio non te lo mostra un fornitore che va giù.
Il registro non è il problema. Tenerlo aggiornato lo è.
Compilare la prima versione, in fondo, si fa. È mantenerla allineata che logora. Le informazioni che servono vivono sparse: i contratti stanno con il legale, le descrizioni tecniche con l'IT, la classificazione di criticità nella testa di chi conosce i processi. Ogni aggiornamento è una staffetta di email e di file, e ogni staffetta è un'occasione per perdere un pezzo.
Così il registro diventa una fotografia che nessuno ha più il tempo di rifare. E la stessa fatica si ripresenta, moltiplicata, sugli altri obblighi DORA: la classificazione degli incidenti, la preparazione delle relazioni, i test di resilienza operativa. Sempre gli stessi dati, da ricostruire a mano, sempre di corsa.

Un software che archivia i contratti è utile. Uno che li legge e tiene aggiornata la mappa è un'altra categoria.
L'agente tiene la mappa aggiornata al posto tuo
Qui serve essere precisi, perché «usiamo l'AI» non significa niente. Non serve un chatbot, serve un sistema agentico: agenti che lavorano per obiettivi, in più passaggi, come farebbe un collega esperto che non si stanca di rileggere i contratti. Il concetto, applicato alla resilienza ICT, lo abbiamo approfondito nella guida su AI agentica e DORA.
In concreto, un agente si prende il lavoro che oggi ti divora le settimane:
- legge i contratti e i documenti dei fornitori e ne estrae i dati che servono al registro, invece di aspettarli da tre funzioni diverse;
- segnala le incongruenze: un accordo scaduto, un fornitore che sostiene una funzione essenziale ma è classificato come marginale, una dipendenza comparsa e mai censita;
- prepara le bozze del registro e delle relazioni, ognuna agganciata al documento di origine.
Tu non parti più dal foglio bianco e dalla mailbox piena. Parti da una mappa già istruita, e fai la cosa per cui sei bravo davvero: decidere cosa è critico e perché.
Quando arriva l'incidente, il tempo è tutto
DORA non ti chiede solo di conoscere i fornitori. Quando un incidente ICT rilevante colpisce, chiede di classificarlo e riferirlo entro finestre strette, con una notifica iniziale, una relazione intermedia e una finale. È esattamente il momento in cui non hai tempo di ricostruire il contesto: ti serve già pronto.
Se la mappa delle dipendenze è viva, l'incidente si legge in fretta. Sai subito quale fornitore è coinvolto, quali funzioni tocca, chi altro ne dipende. E gli agenti possono predisporre le bozze delle relazioni sui fatti raccolti dalle tue fonti, così tu vagli, correggi e trasmetti. La relazione la mandi tu, ma non parti da zero alle nove di sera.
Verificabile e privato: da dove viene ogni dato
Su questi dati la diffidenza verso l'AI generativa è più che giustificata. Contratti, fornitori, classificazioni di criticità: un modello che «inventa» un dettaglio plausibile qui non fa un errore qualsiasi, ti mette in difficoltà davanti all'autorità. Per questo l'unica AI che ha senso è quella verificabile e privata.
Verificabile significa che ogni voce del registro è calcolata dalle tue fonti e le cita, tracciabile fino al contratto e alla clausola di origine. È l'idea dietro il RAG privato: la conoscenza resta nella tua knowledge base e ogni risposta dice da dove viene. Il giorno dell'ispezione non ricostruisci niente a memoria, la fonte è già lì.
Privata riguarda il perimetro. La knowledge base resta isolata, con dati trattati in UE e nel rispetto del GDPR, accessi governati da SSO/MFA e log di audit, e nessun modello condiviso addestrato sui tuoi contenuti. Per la mappa delle tue dipendenze critiche non è un optional, è la condizione di partenza.
SinergIA, in pratica
È il modello che SinergIA porta dentro le istituzioni finanziarie: una piattaforma agentica e sicura dove costruisci agenti di dominio (ESG, ICT, antiriciclaggio, rischio) sui tuoi documenti e sui tuoi dati, in minuti. Gli agenti leggono i contratti, tengono aggiornata la mappa dei fornitori e preparano registro e relazioni tracciabili fino alla fonte, mentre la decisione su cosa è critico resta al team.
A differenza di un gestionale tradizionale, che ordina i documenti ma non li legge, il cuore è il RAG privato: conoscenza isolata, conforme al GDPR e con dati trattati in UE, e ogni risposta che cita il dato esatto. Così il registro smette di essere una fotografia sbiadita e torna a essere quello che DORA vuole: una mappa viva di ciò da cui dipendi.
Questo articolo ha scopo informativo e non costituisce consulenza in materia di resilienza operativa digitale. Per gli obblighi applicabili alla tua organizzazione, fai riferimento al Regolamento (UE) 2022/2554 (DORA), alle norme tecniche collegate e alle indicazioni delle autorità competenti.
Vedi SinergIA sui tuoi dati
Prepara i report di Vigilanza con agenti che citano la fonte, riga per riga. Conoscenza isolata, conforme al GDPR e con dati trattati in UE.
Continua a leggere
- Ogni anno, la stessa caccia ai dati ESGArriva la stagione del bilancio di sostenibilità e riparte la solita corsa: i dati esistono, ma sono sparsi tra cento email, venti fogli e i fornitori che non rispondono. Parliamo di come cambiarla.
- Come un LLM genera il testo, parola per parolaUn prompt entra, le parole escono una alla volta, come se il modello pensasse ad alta voce. Non è così. Ogni token che vedi comparire ha percorso la stessa catena di montaggio in nove fasi, e una verità scomoda spiega tutto il resto.
- Siamo in tre, e le regole non lo sannoLe regole sono le stesse dei gruppi bancari. Le persone, un decimo. È la condizione quotidiana di gran parte degli intermediari finanziari in Italia, e il punto esatto in cui l'AI agentica cambia le cose.