Casi d'uso
AI agentica per DORA: software per la resilienza ICT
26 giugno 2026
Per i team ICT Compliance, DORA non è un progetto con una scadenza: è un presidio da tenere vivo ogni giorno. Le evidenze sono sparse tra fogli di calcolo, contratti e cartelle condivise; il registro dei fornitori ICT invecchia appena lo si chiude; e ogni richiesta dell'autorità diventa una ricostruzione manuale che parte da zero. L'AI agentica affronta proprio questo problema: agenti che consultano le fonti, verificano le evidenze e producono i documenti richiesti, con risposte tracciabili fino alla riga di origine.
Questa pagina spiega come un software DORA basato su AI agentica supporta la conformità nella pratica — e come lo fa la piattaforma SinergIA.
Le sfide operative di DORA
Il regolamento DORA (Reg. UE 2022/2554) chiede alle entità finanziarie di dimostrare la resilienza operativa digitale in modo continuo e verificabile. Tradotto nel lavoro quotidiano di un team ICT Compliance, significa affrontare alcune frizioni ricorrenti:
- Evidenze frammentate. Controlli, policy e prove vivono in sistemi diversi; nessuno ha una vista unica e aggiornata.
- Presidio continuo, non a campagne. DORA non si "chiude": il framework di rischio ICT, il registro dei fornitori e la prontezza agli incidenti vanno mantenuti sempre allineati.
- Manutenzione del registro. Costruire e aggiornare il registro dei fornitori ICT a mano, riconciliando contratti e dipendenze, è uno degli oneri più sottovalutati.
- Audit come ricostruzione. Quando arriva la richiesta, il team rincorre i documenti invece di estrarli da un flusso già pronto.
Come l'AI agentica supporta la conformità DORA
L'AI agentica cambia il modo di lavorare perché non si limita a rispondere: pianifica, consulta i documenti dell'istituzione, usa strumenti e produce evidenze citate. A differenza di un chatbot o di un modello generativo, ogni affermazione nasce dalle tue fonti e indica il documento — e la riga — da cui deriva.
Per un team ICT Compliance questo significa tre cose concrete:
- Conoscenza interrogabile. Chiedere in linguaggio naturale a contratti, policy e normative, con risposte computate sui dati reali.
- Evidenze sempre pronte. Documenti e prove mantenuti in un flusso continuo, invece di essere ricostruiti a ogni richiesta.
- Verificabilità. Ogni output è una bozza che un revisore umano può controllare alla fonte: l'AI accelera, la decisione resta alle funzioni di controllo (human-in-the-loop).
Casi d'uso concreti
Registro dei fornitori ICT sempre aggiornato
Gli agenti leggono i contratti con i fornitori, estraggono le clausole rilevanti (servizi, livelli, dipendenze, sub-fornitura) e popolano il registro delle informazioni richiesto da DORA. Quando un contratto cambia, il registro si aggiorna a partire dalla fonte, non da una riconciliazione manuale.
Evidenze sempre pronte per l'audit
Policy, controlli e prove restano consolidati in un unico flusso verificabile. Alla richiesta dell'autorità, l'agente recupera l'evidenza pertinente e cita il documento esatto — l'audit diventa un'estrazione, non una ricostruzione.
Supporto alla segnalazione degli incidenti
DORA impone di notificare gli incidenti ICT gravi in più fasi (notifica iniziale, relazione intermedia, relazione finale). Gli agenti aiutano a raccogliere i fatti dalle fonti interne e a predisporre le bozze delle relazioni nei formati richiesti, lasciando alle funzioni di controllo la validazione e l'invio.
Supporto ai test di resilienza e al TLPT
In preparazione ai test di resilienza, fino al TLPT, gli agenti raccolgono la documentazione di scope, ricostruiscono la mappa degli asset e delle dipendenze critiche e organizzano le evidenze a supporto della pianificazione, riducendo il lavoro manuale di preparazione.
DORA e AI agentica: dove interviene
| Obbligo DORA | Come l'AI agentica interviene |
|---|---|
| Framework di gestione del rischio ICT | Interroga policy e controlli, segnala lacune e produce evidenze citate |
| Registro dei fornitori ICT | Estrae le clausole dai contratti e mantiene il registro allineato alla fonte |
| Segnalazione degli incidenti gravi | Raccoglie i fatti e predispone le bozze delle relazioni nei tempi e formati richiesti |
| Test di resilienza e TLPT | Organizza scope, asset e dipendenze a supporto della pianificazione dei test |
| Prontezza all'audit | Recupera l'evidenza pertinente con citazione fino al documento e alla riga |
A differenza dell'automazione tradizionale a regole — più vicina a un approccio GRC tradizionale — l'AI agentica gestisce input non strutturati (contratti, testi, normative che cambiano) adattandosi al contesto.
Sicurezza e verificabilità
In un contesto vigilato, un output vale solo se è verificabile e se i dati restano protetti. L'approccio di SinergIA poggia su quattro garanzie:
- Dati in UE e conformità al GDPR. La conoscenza resta nel perimetro dell'istituzione, trattata in Europa.
- Knowledge base isolata. Il RAG privato tiene le fonti separate dal web pubblico; le risposte si calcolano solo sui tuoi documenti.
- Citazioni tracciabili fino alla riga. Ogni affermazione indica il documento e il punto esatto da cui deriva, così un revisore può controllarla.
- Human-in-the-loop. L'agente prepara, verifica e propone; la decisione e la responsabilità restano sempre delle funzioni di controllo.
Domande frequenti
Che cos'è un software DORA basato su AI agentica?
È una piattaforma in cui agenti AI consultano i documenti dell'istituzione, verificano le evidenze e producono i materiali richiesti da DORA — registro fornitori, evidenze d'audit, bozze di relazione sugli incidenti — con citazioni tracciabili fino alla fonte, invece di limitarsi a generare testo.
L'AI agentica sostituisce il team ICT Compliance?
No. L'AI agentica accelera la raccolta e la preparazione delle evidenze, ma opera in modalità human-in-the-loop: ogni output è una bozza verificabile che le funzioni di controllo validano. La decisione e la responsabilità restano umane.
I dati restano al sicuro durante l'analisi?
Sì. Con il RAG privato la knowledge base resta isolata, con dati trattati in UE e conformi al GDPR, senza che le informazioni escano dal perimetro dell'istituzione.
Come aiuta concretamente con il registro dei fornitori ICT?
Gli agenti leggono i contratti, estraggono le clausole rilevanti e mantengono il registro dei fornitori ICT allineato alla fonte, così l'aggiornamento parte dai documenti e non da una riconciliazione manuale.
SinergIA per DORA
Adeguarsi a DORA significa trasformare documenti, controlli ed evidenze in un flusso continuo e verificabile — non in una rincorsa a ogni audit. È ciò che la piattaforma SinergIA rende operativo: agenti AI che consultano le fonti, verificano le evidenze e producono i report di conformità, ancorati al RAG privato e citati fino al documento di origine. Per i team ICT Compliance significa passare dalla rincorsa all'audit al presidio continuo.
Questa pagina ha scopo informativo e non costituisce consulenza legale. Per l'applicazione del regolamento DORA alla tua organizzazione, fai riferimento al testo ufficiale del Regolamento (UE) 2022/2554 e alle indicazioni delle autorità competenti.