DORA: La nuova resilienza digitale per il settore finanziario

Negli ultimi decenni, le Tecnologie dell'Informazione e della Comunicazione (TIC) hanno assunto un ruolo centrale nella fornitura di servizi finanziari, diventando oggi fondamentali per le attività quotidiane delle entità finanziarie. La digitalizzazione, ad esempio, ha portato a una progressiva transizione dei pagamenti dal contante e dai supporti cartacei verso soluzioni digitali (vedi Normativa sui Pagamenti – PSD2), e interessa anche processi come la compensazione e il regolamento dei titoli, la negoziazione elettronica e algoritmica, il credito e il finanziamento, la finanza peer-to-peer, le valutazioni di credito, la gestione dei crediti e le attività di back-office. 

Anche il settore assicurativo è stato profondamente trasformato dalle TIC, con l’emergere di intermediari assicurativi online e l’adozione di InsurTech per la sottoscrizione di polizze digitali.

Cos’è DORA?

Il Digital Resilience Operational Act (DORA) è un regolamento dell’UE relativo al settore dei servizi finanziari. Il DORA si riferisce esplicitamente ai servizi finanziari nell'UE, con una particolare attenzione al mantenimento della resilienza nella cybersicurezza. È entrato in vigore il 16 gennaio 2023 e sarà effettivo a partire dal 17 gennaio 2025,  creando un quadro giuridico Ue "sulla resilienza operativa dei sistemi digitali nel settore finanziario". ​

​Esso riprende indicazioni, linee guida e best practices esistenti quali EBA, ESMA, EIOPA ampliandole e strutturandole in un quadro unitario per l’intero settore finanziario, ivi compresi i fornitori di servizi ICT.​

​DORA considera il sistema finanziario a livello di Unione Europea, armonizzando al suo interno le regole e considerando i rischi ICT in una visione globale che trascende quindi quanto finora fatto dalle Autorità di Vigilanza dei singoli paesi.

La resilienza informatica nei servizi finanziari

Il DORA mira a mitigare i rischi derivanti dalla trasformazione digitale del settore e a promuovere la resilienza informatica nell'ecosistema dei servizi finanziari, aiutando le banche, il settore finanziario e i sistemi finanziari a prevenire, rispondere e riprendersi da problemi di cybersicurezza. 

Per ottenere questi risultati, il DORA stabilisce requisiti uniformi relativamente alla sicurezza di reti e sistemi informativi a supporto dei processi aziendali delle entità finanziarie. Tra i requisiti, figurano la gestione dei rischi nel settore ICT, la segnalazione dei principali incidenti correlati all'ICT, l'esecuzione di test sulla resilienza operativa digitale, la condivisione delle informazioni e le misure e i requisiti correlati all'utilizzo di servizi di terze parti del settore ICT.

Quali organizzazioni sono interessate dal DORA?

Il DORA è una misura legislativa che si applica alle organizzazioni finanziarie che operano nell'UE nelle 21 categorie che rientrano nell'ambito. Tra le organizzazioni che operano nei settori finanziari interessati dal DORA, figurano:

• Istituti di credito
• Istituti di pagamento
• Istituti di moneta elettronica 
• Società di gestione degli investimenti
• Provider di servizi di criptovalute 
• Fondi di investimento alternativi
• Responsabili assicurativi aziendali 
• Provider di servizi di terze parti ICT

In che modo il DORA influisce sulla vostra organizzazione?

I requisiti del DORA si focalizzano sulla resilienza informativa dei sistemi ICT. Tra i benchmark del DORA, sono inclusi:

• Eventuali soggetti indipendenti devono condurre una serie di test per il controllo della vulnerabilità e della resilienza ogni anno. Uno dei requisiti è rappresentato dai test di penetrazione per la ricerca di eventuali minacce, che vanno condotti regolarmente.
• Il DORA richiede misure di protezione complete e basate sui rischi. Tra le misure di sicurezza del DORA, figurano: adottare un approccio basato sui rischi alla gestione della rete e dell'infrastruttura, implementare policy appropriate e complete per le vulnerabilità come patch e aggiornamenti, utilizzare rigorosi meccanismi di autenticazione e limitare gli accessi fisici e virtuali ai dati e alle risorse ICT.
• Sono richieste procedure in grado di rilevare, gestire e notificare gli incidenti correlati all'ICT e vengono attivati indicatori di avviso tempestivi come gli allarmi.
• La segnalazione dei problemi di cybersicurezza viene facilitato dall'implementazione di processi tali da monitorare, descrivere e segnalare gli incidenti ICT significativi alle autorità del DORA.
• I requisiti del DORA relativi alla rendicontabilità della sicurezza e della gestione coprono gli aspetti essenziali della risposta per la condivisione delle informazioni e della gestione della cybersicurezza.

Per saperne di più, mettiti in contatto con i nostri consulenti specializzati per discutere dei tuoi dubbi e per trovare una soluzione agile ai tuoi bisogni specifici.