Regolamento DORA: cosa prevede e come prepararsi

Il regolamento DORA (Digital Operational Resilience Act) stabilisce un quadro unico europeo per la resilienza operativa digitale del settore finanziario. Per banche, assicurazioni e altre entità regolamentate, capire cosa prevede DORA — e adeguarsi nella pratica — non è più opzionale: il regolamento si applica dal 17 gennaio 2025.

Questa guida spiega che cos'è DORA, a chi si applica, i cinque pilastri di obblighi, le scadenze e gli errori più comuni da evitare durante l'adeguamento.

Che cos'è il regolamento DORA

DORA è il Regolamento (UE) 2022/2554, entrato in vigore il 16 gennaio 2023 e applicabile dal 17 gennaio 2025. È affiancato dalla Direttiva (UE) 2022/2556, che allinea le normative settoriali esistenti.

Il suo obiettivo è garantire che le entità finanziarie possano resistere, rispondere e riprendersi da ogni tipo di interruzione o minaccia legata alle tecnologie dell'informazione e della comunicazione (ICT). Prima di DORA, la gestione del rischio ICT era frammentata tra linee guida nazionali e settoriali diverse; DORA la unifica in un regolamento direttamente applicabile in tutti gli Stati membri, senza bisogno di recepimento nazionale.

In Italia la vigilanza è esercitata da Banca d'Italia, Consob e IVASS, nell'ambito del coordinamento delle Autorità europee di vigilanza (EBA, ESMA, EIOPA), che hanno emanato gli standard tecnici di regolamentazione (RTS) e di attuazione (ITS) che completano il quadro.

A chi si applica DORA

DORA si applica a una platea molto ampia — circa venti categorie di entità finanziarie — tra cui:

• Banche ed enti creditizi
• Imprese di investimento e imprese di assicurazione e riassicurazione
• Istituti di pagamento e istituti di moneta elettronica
• Società di gestione del risparmio e gestori di fondi alternativi
• Fornitori di servizi di cripto-attività e depositari centrali
• Fornitori terzi critici di servizi ICT (es. provider cloud), soggetti a un regime di sorveglianza dedicato

Il principio di proporzionalità attraversa tutto il regolamento: gli obblighi si applicano in modo graduato in base a dimensione, profilo di rischio e complessità dell'entità. Le microimprese, ad esempio, seguono un regime semplificato per la gestione del rischio ICT.

I cinque pilastri di DORA

Il regolamento si articola in cinque aree di obblighi. Comprenderle è il primo passo di qualsiasi piano di adeguamento.

1. Gestione del rischio ICT

Le entità devono dotarsi di un framework di gestione del rischio ICT completo: governance, identificazione degli asset, protezione e prevenzione, rilevamento, risposta e ripristino, oltre a politiche di continuità operativa. La responsabilità ultima è dell'organo di gestione, che deve approvare la strategia e mantenerne la supervisione.

2. Gestione e segnalazione degli incidenti ICT

Le entità devono classificare gli incidenti connessi alle ICT secondo criteri armonizzati e notificare gli incidenti gravi alle autorità competenti entro tempistiche definite, con tre comunicazioni successive:

• una notifica iniziale;
• una relazione intermedia sull'evoluzione;
• una relazione finale con l'analisi delle cause.

3. Test di resilienza operativa digitale

È richiesto un programma di test periodici del proprio impianto ICT. Per le entità più significative si arriva al Threat-Led Penetration Testing (TLPT) — test avanzati basati su scenari di minaccia reali — da svolgere almeno ogni tre anni.

4. Gestione del rischio di terze parti ICT

DORA impone un controllo rigoroso dei fornitori ICT: clausole contrattuali obbligatorie, valutazione del rischio di concentrazione e la tenuta di un registro delle informazioni su tutti gli accordi con fornitori terzi. I fornitori designati come critici sono soggetti alla sorveglianza diretta di un Lead Overseer europeo.

5. Condivisione di informazioni

DORA incoraggia lo scambio di intelligence sulle minacce informatiche tra entità finanziarie, su base volontaria, per rafforzare la resilienza collettiva del settore.

I cinque pilastri in sintesi

Quali sono le scadenze principali di DORA

Il regolamento è entrato in vigore il 16 gennaio 2023 e si applica dal 17 gennaio 2025. Da quella data le entità devono avere operativo il framework di gestione del rischio ICT, mantenere aggiornato il registro dei fornitori terzi e rispettare gli obblighi di segnalazione degli incidenti. Gli standard tecnici (RTS/ITS) e la sorveglianza sui fornitori critici completano progressivamente il quadro.

Gli errori più comuni nell'adeguamento a DORA

• Trattare DORA come un progetto IT. È un tema di governance e compliance che coinvolge l'organo di gestione, non solo la funzione tecnologica.
• Sottovalutare il registro dei fornitori. Ricostruire a mano la mappa dei fornitori ICT e delle dipendenze è uno degli ostacoli più sottovalutati.
• Gestire le evidenze in modo frammentato. Documenti, controlli e prove sparsi tra fogli di calcolo e cartelle rendono ogni audit una ricostruzione da zero.

Come adeguarsi al regolamento DORA

L'adeguamento a DORA richiede di consolidare documenti, controlli, evidenze e normative in un unico flusso verificabile — invece di ricostruirli manualmente a ogni richiesta dell'autorità. È esattamente il tipo di lavoro che la piattaforma SinergIA automatizza: agenti AI che consultano le fonti, verificano le evidenze e generano i report di conformità, con risposte tracciabili fino al documento e alla riga di origine.

Il cuore di questo approccio è il RAG privato: la conoscenza resta nella tua knowledge base isolata, conforme al GDPR e con dati trattati in UE, e ogni risposta cita la fonte esatta. Per i team Compliance ICT significa passare dalla rincorsa all'audit al presidio continuo.

---

Questa guida ha scopo informativo e non costituisce consulenza legale. Per l'applicazione del regolamento DORA alla tua organizzazione, fai riferimento al testo ufficiale del Regolamento (UE) 2022/2554 e alle indicazioni delle autorità competenti.