Abstract in italiano;
Il Digital Operational Resilience Act (DORA)[1] è un regolamento europeo fondamentale per il rafforzamento[2] della resilienza operativa digitale delle istituzioni finanziarie. Con l’obiettivo di garantire la continuità dei servizi finanziari, DORA impone alle entità del settore di adottare misure rigorose per gestire i rischi informatici e garantire la sicurezza delle infrastrutture tecnologiche. Questo articolo esamina in dettaglio i requisiti normativi, le implicazioni giuridiche e le sfide economiche derivanti dall’attuazione del regolamento, offrendo una panoramica completa delle normative di resilienza operativa e della gestione dei fornitori di servizi ICT nel settore finanziario.
Abstract in Inglese;
The Digital Operational Resilience Act (DORA) is a crucial European regulation aimed at strengthening the digital operational resilience of financial institutions. Designed to ensure the continuity of financial services, DORA mandates strict measures for managing cybersecurity risks and securing technological infrastructures. This article thoroughly examines the regulatory requirements, legal implications, and economic challenges resulting from the implementation of the regulation, providing a comprehensive overview of operational resilience standards and the management of ICT service providers in the financial sector.
Sommario: §1. Introduzione; §2. Fondamenti giuridici e normativi di DORA; §3. Requisiti normativi per le istituzioni finanziarie; §4. Il ruolo delle terze parti nel quadro di DORA; §5. Implicazioni economiche di DORA; §6. Sfide e criticità nell’attuazione di DORA; §7. Conclusioni
§1. Introduzione
Il settore finanziario europeo, in seguito alla crescente digitalizzazione, si trova ad affrontare nuove sfide legate alla sicurezza operativa e alla gestione dei rischi informatici[3]. L’adozione sempre più diffusa di tecnologie avanzate come l’intelligenza artificiale, il cloud computing e la blockchain ha esponenzialmente aumentato la vulnerabilità degli attori del settore a incidenti informatici, guasti nei sistemi e attacchi cibernetici[4]. Le conseguenze di tali eventi, in termini di danni economici e perdita di fiducia da parte di investitori e consumatori, possono essere gravi e di lunga durata.
In questo contesto, l’Unione Europea ha introdotto[5] il Digital Operational Resilience Act (DORA) come risposta alle crescenti preoccupazioni relative alla resilienza digitale delle istituzioni finanziarie. Il regolamento DORA mira a rafforzare la resilienza operativa delle entità finanziarie, assicurando la continuità dei servizi essenziali anche in caso di incidenti ICT, riducendo i rischi sistemici e promuovendo la sicurezza digitale attraverso un quadro normativo comune a livello europeo. Il presente articolo si propone di analizzare approfonditamente i principali aspetti del regolamento DORA, delineando le implicazioni giuridiche, economiche e pratiche per le istituzioni finanziarie e il sistema economico nel suo complesso.
§2. Fondamenti giuridici e normativi di DORA
Il regolamento DORA si inserisce in un più ampio quadro normativo europeo che cerca di rispondere alle vulnerabilità derivanti dall’adozione pervasiva delle tecnologie nel settore finanziario[6]. L’introduzione di DORA segue una serie di iniziative dell’UE, come la direttiva NIS2 (Network and Information Security) e il Regolamento eIDAS (Electronic Identification and Trust Services), che hanno tracciato la via per la protezione delle infrastrutture critiche. Tuttavia, DORA si distingue per la sua focalizzazione specifica sul settore finanziario, stabilendo norme dettagliate per garantire la resilienza operativa digitale delle istituzioni finanziarie[7].
Dal punto di vista giuridico, DORA si fonda su principi di sostenibilità e stabilità che mirano a preservare l’integrità del sistema finanziario europeo[8]. Esso si articola in requisiti normativi che abbracciano una vasta gamma di aspetti: dalla gestione dei rischi ICT alla protezione delle infrastrutture digitali, dalla sicurezza dei dati alla capacità di ripristino in caso di guasti. In particolare, l’articolazione del regolamento si concentra sulla prevenzione degli incidenti informatici e sulla necessità di una governance robusta, responsabilizzando le istituzioni finanziarie per ogni aspetto della gestione dei rischi legati alle tecnologie[9].
Inoltre, DORA si interfaccia con altre normative europee in materia di cybersicurezza, ma con un taglio operativo specifico per il settore finanziario. Ad esempio, rispetto alla NIS2, DORA prevede requisiti più dettagliati per i test di resilienza e la gestione dei fornitori terzi di servizi ICT. L’obiettivo di DORA è di costruire un sistema che non solo reagisca agli incidenti, ma che preveda la continuità operativa, minimizzando i danni e riducendo i rischi di interruzioni dei servizi[10].
§3. Requisiti normativi per le istituzioni finanziarie
Il cuore di DORA è costituito dai requisiti operativi per le istituzioni finanziarie, i quali devono adottare un approccio olistico alla gestione dei rischi ICT[11]. Questo approccio implica non solo l’adozione di misure preventive, ma anche la definizione di procedure per affrontare tempestivamente eventuali emergenze. Le istituzioni devono elaborare un framework di governance che include piani di continuità operativa, protocolli di sicurezza dei dati e metodologie per garantire il recupero rapido dei servizi essenziali in caso di incidenti.
DORA stabilisce una serie di obblighi di reporting: le istituzioni finanziarie sono tenute a notificare alle autorità competenti eventuali incidenti ICT significativi che potrebbero compromettere i servizi finanziari essenziali, come la gestione dei pagamenti o il trading in tempo reale. Il regolamento stabilisce inoltre l’obbligo di eseguire test di resilienza operativa, che devono essere effettuati su base regolare e documentati, con l’obiettivo di simulare scenari di crisi e verificare la capacità di ripresa delle istituzioni. Questi test devono coprire non solo i sistemi informatici interni, ma anche quelli relativi ai fornitori esterni, al fine di garantire una visione globale dei rischi.
Un altro aspetto fondamentale riguarda l’obbligo di valutazione continua dei rischi e delle vulnerabilità ICT. Le istituzioni finanziarie devono essere in grado di identificare e rispondere prontamente alle nuove minacce, con un monitoraggio costante delle infrastrutture digitali e un adeguato aggiornamento delle misure di protezione.
§4. Il ruolo delle terze parti nel quadro di DORA
Una delle innovazioni più significative introdotte dal regolamento DORA riguarda la gestione dei rischi[12] associati ai fornitori di servizi ICT esterni[13]. Poiché molte istituzioni finanziarie si affidano a terzi per la gestione di tecnologie chiave come il cloud computing, la sicurezza informatica o i sistemi di pagamento, DORA impone obblighi rigorosi per garantire che tali fornitori operino secondo gli stessi standard di sicurezza e resilienza previsti per le istituzioni stesse.
Le istituzioni finanziarie sono tenute a stipulare contratti chiari[14] con i propri fornitori di servizi ICT, nei quali vengono stabiliti i termini di compliance con le normative di sicurezza, la gestione dei rischi e la continuità operativa. Inoltre, è prevista una due diligence rigorosa prima di selezionare un fornitore, con una valutazione accurata dei rischi informatici e una verifica della sua capacità di rispondere a eventuali crisi.
DORA impone anche un monitoraggio continuo dei fornitori e una gestione attiva del rischio, che comprende l’esecuzione di audit regolari e l’adozione di misure correttive qualora emerga una non conformità alle normative di sicurezza. Questo approccio contribuisce a garantire che la resilienza operativa dell’ente finanziario non sia compromessa da debolezze o vulnerabilità nei servizi esterni.
§5. Implicazioni economiche di DORA
L’introduzione di DORA avrà indubbiamente implicazioni economiche significative, tanto per le singole istituzioni finanziarie[15] quanto per l’intero sistema economico europeo. Le piccole e medie imprese (PMI) del settore finanziario, in particolare, potrebbero incontrare difficoltà nell’adeguarsi ai costi e agli obblighi previsti dalla normativa, che richiedono significativi investimenti in infrastrutture ICT, formazione del personale e sistemi di monitoraggio e controllo.
Al contrario, le istituzioni più grandi e strutturate potrebbero beneficiare di una maggiore sicurezza operativa e di una riduzione dei rischi legati agli incidenti informatici, con una conseguente miglioramento della stabilità e della fiducia dei consumatori. DORA, infatti, promuove la fiducia nei servizi finanziari digitali, stimolando la partecipazione dei consumatori e degli investitori, che percepiscono una maggiore sicurezza nei confronti delle minacce cibernetiche.
Dal punto di vista macroeconomico, la resilienza digitale potrebbe rappresentare un fattore abilitante per l’innovazione e la crescita del settore finanziario europeo, rafforzando la competitività globale delle istituzioni finanziarie europee. Tuttavia, l’onere economico della compliance potrebbe spingere alcune istituzioni a rivalutare la sostenibilità del loro modello operativo, in particolare nel caso delle PMI che potrebbero non avere risorse sufficienti per conformarsi completamente alla normativa.
§6. Sfide e criticità nell’attuazione di DORA
L’attuazione di DORA comporta una serie di sfide pratiche e giuridiche[16] che potrebbero limitare l’efficacia del regolamento. In primo luogo, la differenza nelle capacità di adattamento delle istituzioni finanziarie, in particolare tra grandi entità e PMI[17], potrebbe determinare disparità nell’applicazione delle normative. Le PMI potrebbero avere difficoltà a far fronte ai costi di compliance, rischiando di rimanere escluse da un mercato finanziario altamente regolamentato[18].
Inoltre, l’evoluzione tecnologica rapida implica che DORA debba essere costantemente aggiornato per rispondere a nuove minacce, come quelle legate all’intelligenza artificiale e alla blockchain. La gestione dei rischi associati all’adozione di queste tecnologie emergenti richiede una costante revisione dei modelli di resilienza operativa.
Infine, la complessità dell’armonizzazione normativa tra gli Stati membri dell’UE potrebbe comportare difficoltà nell’applicazione uniforme delle regole. Sebbene il regolamento DORA stabilisca linee guida comuni, le diverse giurisdizioni potrebbero adottare approcci divergenti per la sua attuazione.
§7. Conclusioni
In estrema sintesi, DORA rappresenta un importante passo verso la costruzione di un sistema finanziario europeo più sicuro e resiliente. Sebbene le sfide legate all’attuazione siano rilevanti, in particolare per le PMI, l’approccio normativo offerto dal regolamento contribuisce a stabilizzare il sistema finanziario europeo, migliorando la gestione dei rischi informatici e rafforzando la fiducia dei consumatori. Il successo di DORA dipenderà dalla sua capacità di adattarsi continuamente ai rapidi cambiamenti tecnologici e dall’efficacia del monitoraggio e della supervisione a livello europeo.
Scarica il Digital Operational Resilience Act (DORA)
Contattami per un Supporto Personalizzato
Se desideri ulteriori chiarimenti o hai domande riguardo l’argomento trattato, non esitare a contattarmi.
In qualità di consulente legale d’impresa, sono a tua disposizione per offrirti supporto personalizzato, sia per le tue esigenze aziendali che private. Puoi raggiungermi facilmente attraverso il form di contatto sottostante:
Bibliografia
[1] Regulation (Eu) 2022/2554 Of The European Parliament And Of The Council Of 14 December 2022 On Digital Operational Resilience For The Financial Sector And Amending Regulations (Ec) No 1060/2009, (Eu) No 648/2012, (Eu) No 600/2014, (Eu) No 909/2014 And (Eu) 2016/1011
[2] Conformità DORA: Come prepararsi alla nuova normativa del 16.12.2024 in https://sicurezza.net/fisco-finanza/conformita-dora-prepararsi-alla-nuova-normativa/ (Consultato il 27.03.2025)
[3] Chiara, P. G., & Brighi, R. (2024). La dimensione della” resilienza” nel diritto UE della Cybersicurezza.
Ragion pratica, (2), 405-426.
[4] Camisa, F., & Simoncini, A. (2024). IL FATTORE UMANO E LA REGOLAZIONE DELLA CYBERSECURITY.
Mondo Digitale, 1. Disponibile in https://mondodigitale.aicanet.net/2024-1/Articoli/04_MD%20103_Marzo_2024_Camisa_Simoncini.pdf (Consultato il 27.03.2025)
[5] DORA, i progressi verso la conformità delle principali istituzioni finanziarie europee, del 29 Luglio 2024 in https://www.hdblog.it/business/articoli/n588781/dora-aziende-finanziarie-europee/ (Consultato il 27.03.2025)
[6] Neumannová, A., Bernroider, E. W., & Elshuber, C. (2022, December). The Digital Operational Resilience Act for Financial Services: A Comparative Gap Analysis and Literature Review. In European, Mediterranean, and Middle Eastern Conference on Information Systems (pp. 570-585). Cham: Springer Nature Switzerland.
[7] Alessandro Panero, Gestione di Progetti di Adeguamento normativo in ambito IT nel settore Financial Services = Project Management of IT Regulatory Compliance in the Financial Services Sector. Rel. Alberto De Marco, Massimo Rebuglio. Politecnico di Torino, Corso di laurea magistrale in Ingegneria Gestionale, 2024
[8] Wuermeling, J. (2021). Exploring DORA-the Digital Operational Resilience Act and its impact on banks and their supervisors. speech given to the European Savings and Retail Banking Group (ESBG) virtually on, 23.
[9] Scott, Hal S., The EU’s Digital Operational Resilience Act: Cloud Services & Financial Companies (12 agosto 2021). Disponibile su SSRN: https://ssrn.com/abstract=3904113 o http://dx.doi.org/10.2139/ssrn.3904113
[10] La Cybersecurity Tra Obblighi Di Compliance E Risk-Touch Points Percepiti Dall’utente.
Di Gioia Leonardo, 20/01/2025, Università La Sapienza, disponibile in https://iris.uniroma1.it/retrieve/707993a8-e859-4749-91af-80219ae04603/Tesi_dottorato_DiGioia.pdf (Consultato il 27.03.2025)
[11] Clausmeier, D. (2023). Regulation of the European Parliament and the Council on digital operational resilience for the financial sector (DORA). International Cybersecurity Law Review, 4(1), 79-90.
[12] DORA: sfide e opportunità per il settore dei servizi finanziari Da Redazione BitMAT – 18/06/2024in https://www.bitmat.it/sicurezza/dora-sfide-e-opportunita-per-il-settore-dei-servizi-finanziari/ (Consultato il 27.03.2025)
[13] Urbani Federico, I rapporti di terza parte nel governo delle banche: rischi, regolazione e “frammentazione” dell’assetto organizzativo. 22-giu-2022, Rel. Annunziata Filippo, Università Bocconi, in https://hdl.handle.net/20.500.14242/168210 (Consultato il 27.03.2025); di Emanuela Cerrato, E. D., Natalizi, D., Semorile, F., & Zuffranieri, F. (2024). Mercati, infrastrutture, sistemi di pagamento. Banca d’Italia, disponibile in https://www.bancaditalia.it/pubblicazioni/mercati-infrastrutture-e-sistemi-di-pagamento/approfondimenti/2024-047/N.47-MISP.pdf (Consultato il 27.03.2025)
[14] The impact of the Digital Operational Resilience Act on financial market infrastructures in Europe, Author: Duggan, Derek, Source: Journal of Securities Operations & Custody, Volume 16 / Number 4 / Autumn/Fall 2024, pp. 344-350(7) Publisher: Henry Stewart Publications DOI: https://doi.org/10.69554/KHFM3582
[15] Ammann, T., Syed, I. & Sanchez, V. (2023). Exploring Operational Resilience in Financial Services – the Effects of DORA on Risk and Regulation in Top 3 Financial Markets. Computer Law Review International, 24(2), 43-48. https://doi.org/10.9785/cri-2023-240203
[16] Rischio digitale innovazione e resilienza. Conoscere, affrontare e mitigare il rischio digitale / Agresti, Elena; Antonelli, Leonardo; Ariu, Davide; Barboni, Stefano; Belluzzo, Giovanni; Bocci, Gianluca; Bosis, Angelo; Bucciarelli, Fabio; Butti, Giancarlo; Caccia, Andrea; Carnelli, Dario; Carnelli, Davide; Castello, Andrea; Ceccon, Marco; Ciclosi, Francesco; Colombo, Luciano; Corona, Igino; Cresci, Rita Eva; Crociani, Marco; Cusello, Giuseppe; Diomede, Nicla Ivana; Dursi, Elenio; Ferretti, Ambrogio; Ferretti, Enrico; Fumagalli, Giustino; Gaia, Cristina; Gatti, Chiara; Guastone, Carlo; Locatelli, Marco; Magri, Massimiliano; Manco, Lorena; Manconi, Davide; Mariotti, Andrea; Mauceli, Carlo; Mauro, Luigi; Menna, Savino; Meroni, Paola; Modena, Riccardo; Mudu, Enzo; Panza, Paolo; Parrinello, Ignazio; Pastore, Maurizio; Perugini, Maria Roberta; Ranza, Riccardo; Ravizza, Alice; Rui, Andrea; Sambucci, Luca; Saulli, Fabio; Sferlazza, Paolo; Sotira, Nicola; Spreafico, Giulio; Tordi, Roberto; Troiano, Guglielmo; Vaciago, Elena; Zammarchi, Luca; Zampetti, Luigi. – ELETTRONICO. – (2022), pp. 14-232. [10.979.12210/07008]
[17] Regolamento DORA e imprese: sicuro non riguardi anche la tua? Del 06 Feb 2025 in https://www.cybersecurity-pmi.infocamere.it/notizie/regolamento-dora-e-imprese (Consultato il 27.03.2025); IlDORA entrerà in vigore a partire da gennaio 2025: queste le aziende interessate del 17 ottobre 2024 in https://2b-advice.com/it/2024/10/17/dora-entra-in-vigore-dal-gennaio-2025-queste-aziende-sono-interessate/ (Consultato il 27.03.2025)
[18] Eugenia Macchiavello, PMI sostenibili ed accesso a fonti alternative di finanziamento: green DLT-based finance e recenti normative europee, in “Banca Impresa Società” 3/2023, pp. 523-554, doi: 10.1435/109110
