Nel 2025 il settore finanziario europeo si trova a un punto di svolta. Pagamenti digitali, piattaforme fintech, open banking e sistemi di autenticazione avanzati stanno ridefinendo la customer experience e i modelli di business. Tuttavia, la crescente digitalizzazione ha aumentato l’esposizione ai rischi informatici e alla vulnerabilità dei sistemi critici.
È in questo scenario che entra pienamente in vigore il Regolamento DORA (Digital Operational Resilience Act), il quadro normativo europeo che stabilisce requisiti uniformi di resilienza operativa digitale per gli operatori del settore finanziario.
Il Digital Operational Resilience Act è una normativa emanata dall’Unione Europea per rafforzare la capacità delle organizzazioni finanziarie di prevenire, resistere e recuperare da incidenti informatici o interruzioni operative. Entrato in vigore il 16 gennaio 2023 e obbligatorio dal 17 gennaio 2025, DORA si applica a tutte le entità finanziarie che operano nell’UE, tra cui banche, assicurazioni, istituti di pagamento, società di investimento, gestori di fondi, operatori di criptovalute e fornitori terzi di servizi ICT. L’obiettivo è assicurare continuità operativa, sicurezza dei dati e stabilità del sistema finanziario europeo.
Il campo di applicazione del Regolamento DORA è ampio e comprende non solo gli operatori finanziari, ma anche i fornitori ICT critici (Critical Third-Party Providers – CTPP). Dal 2025 questi soggetti sono sottoposti a supervisione diretta delle Autorità Europee di Vigilanza (EBA, ESMA ed EIOPA), che possono imporre audit, piani di mitigazione e misure correttive. DORA supera quindi i precedenti limiti nazionali, introducendo un sistema centralizzato di supervisione europea e una gestione coordinata del rischio ICT.
La normativa si pone due obiettivi fondamentali: definire un framework unico per la gestione del rischio ICT nel settore finanziario e armonizzare le regole sulla resilienza operativa digitale nei Paesi membri. L’applicazione coerente del regolamento assicura maggiore tutela ai consumatori e rafforza la fiducia nel sistema finanziario europeo.
Il Regolamento DORA si basa su una serie di requisiti chiave, articolati in pilastri operativi che le organizzazioni devono rispettare per garantire la compliance:
governance. Richiede una chiara attribuzione delle responsabilità, mappatura dei sistemi e definizione dei ruoli decisionali in materia ICT. La formazione e la consapevolezza del personale diventano parte integrante della strategia di resilienza;
risk Management. Impone la definizione di processi strutturati per identificare, monitorare, mitigare e documentare i rischi legati alle tecnologie digitali, promuovendo un approccio proattivo alla sicurezza;
incident Management. Introduce regole uniformi per classificare e segnalare gli incidenti informatici. Dal gennaio 2025, la segnalazione dei gravi incidenti ICT deve avvenire tramite la piattaforma Infostat della Banca d’Italia;
test di resilienza. Le imprese finanziarie devono eseguire test periodici, inclusi i Threat-Led Penetration Test (TLPT) previsti dall’articolo 26, secondo i criteri stabiliti dagli RTS e ITS attuativi adottati dalla Commissione Europea nel 2024. Gli enti vigilati da Banca d’Italia, EBA o ESMA devono effettuare tali test almeno ogni tre anni;
gestione dei fornitori terzi. DORA introduce un regime specifico di responsabilità condivisa con i fornitori di servizi ICT, imponendo clausole contrattuali precise su disponibilità, integrità, sicurezza e diritti di audit;
resilienza operativa. Le aziende devono implementare e testare piani di Business Continuity e Disaster Recovery (BCP/DRP), garantendo la capacità di recupero in caso di disastro o violazione;
sicurezza dei dati. Le misure tecniche e organizzative devono garantire la riservatezza, integrità e disponibilità dei dati, in coerenza con il GDPR;
supervisione e audit. È richiesto un sistema documentale sempre aggiornato, per facilitare le verifiche delle autorità competenti e dimostrare la piena compliance;
knowledge sharing. DORA promuove la cooperazione e lo scambio di informazioni tra operatori finanziari, per migliorare la difesa collettiva contro minacce comuni, nel rispetto delle norme sulla protezione dei dati.
DORA non opera in isolamento ma si integra con altre normative europee. La direttiva NIS2 amplia la rete dei soggetti essenziali per la sicurezza informatica, mentre DORA stabilisce standard specifici per il settore finanziario. Il regolamento MiCA (Markets in Crypto-Assets) disciplina invece la trasparenza e la sicurezza degli operatori nel mercato delle criptovalute. Infine, il GDPR resta la cornice principale per la protezione dei dati personali. Insieme, queste norme costituiscono un ecosistema regolatorio coerente, volto a rafforzare la fiducia digitale in Europa.
Per garantire la piena conformità al Regolamento DORA, le imprese devono intraprendere un percorso strutturato, articolato in quattro fasi principali:
Gap analysis e risk assessment. Identificare le aree di non conformità e i punti di debolezza del framework ICT esistente;
aggiornamento delle policy e dei processi. Rivedere procedure interne, piani di risposta e protocolli di comunicazione, in coerenza con i nuovi requisiti;
revisione delle relazioni contrattuali con i fornitori. Verificare e, se necessario, rinegoziare i contratti ICT per includere obblighi di audit, monitoraggio e resilienza;
formazione e cultura della sicurezza. Diffondere la consapevolezza tra il personale e consolidare una cultura organizzativa orientata alla resilienza digitale.
Le violazioni del Regolamento DORA comportano conseguenze rilevanti. Le autorità competenti possono imporre:
sanzioni pecuniarie proporzionate alla gravità dell’infrazione,
misure correttive immediate o sospensione di specifiche attività,
audit straordinari e monitoraggi intensivi,
responsabilità diretta dei dirigenti e dei responsabili IT in caso di mancata supervisione,
nei casi più gravi, revoca della licenza operativa.
Il Regolamento DORA segna un passo decisivo verso un’Europa finanziariamente più sicura e resiliente, dove la gestione del rischio ICT diventa parte integrante della strategia aziendale. Per le imprese del settore, conformarsi significa non solo evitare sanzioni, ma costruire fiducia e competitività in un mercato sempre più digitale.