Blog

DORA Compliance per Intermediari ex 106: Guida Completa

22 dicembre 2025
DORA Compliance Linkedin

Cosa Significa DORA Compliance per gli Intermediari ex 106

Il Regolamento DORA (Digital Operational Resilience Act) stabilisce requisiti uniformi per la governance e responsabilità  degli organi aziendali, gestione del rischio ICT, incident management e reporting, testing di resilienza operativa digitale e gestione dei rischi delle terze parti ICT. In Italia, il decreto di attuazione del 10 marzo di quest'anno ha designato Banca d’Italia come autorità competente per gli intermediari ex 106 del TUB. Per questi soggetti il decreto impone l'adeguamento al Regolamento DORA entro il 1° gennaio 2027.

Perché la Conformità DORA è Cruciale Oggi

La scadenza per adeguarsi è imminente ed è fondamentale iniziare subito un percorso di conformità per diversi motivi:

  1. Il Registro delle Informazioni (RoI) è impegnativo: Richiede template standard, identificatori LEI/EUID e qualità dei dati. È necessario tempo per mappare contratti, fornitori e subfornitori e per impostare la conversione xBRL-CSV.

  2. Tempistiche per la negoziazione delle clausole contrattuali: DORA richiede una particolare attenzione nella gestione dei rischi di terze parti ICT e della catena di fornitura. Predisporre addendum contrattuali richiede tempo e trattative con i fornitori ICT. Anticipare queste negoziazioni evita blocchi operativi futuri. 

  3. Investimento su resilienza e affidabilità: l'adeguamento a DORA non è solo un obbligo, ma una leva per dimostrare la capacità di resilienza. Un'organizzazione resiliente ispira la fiducia di clienti, partner e stakeholder.

  4. La conformità non è soltato "documentale": adeguarsi a DORA non consiste solo nella burocratica revisione e/o stesura di policy, procedure e regolamenti, ma passa anche e soprattutto dalla loro messa a terra all'interno della struttura organizzativa aziendale, tanto in senso orizzontale, quanto in senso verticale.

Passi Pratici per Raggiungere la Conformità DORA

Ecco un piano in 6 step per raggiungere la conformità DORA:

  • Governance e responsabilità degli organi aziendali: Formalizzare un organo di gestione del rischio e individuare ruoli e responsabilità.

  • Adeguamento di policy e procedure: Aggiornare o adottare ex novo politiche e procedure per garantire la resilienza operativa.

  • Gestione incidenti e reporting: Aggiornare il processo di rilevazione, classificazione, escalation e notifiche dei gravi incidenti ICT all’autorità competente. Istituire post-incident analysis.

  • RoI – Register of Information: Costruire un registro unico di tutti gli accordi contrattuali ICT secondo le specifiche delle Autorità.

  • Contratti ICT: Rinegoziare le clausole DORA-critical: audit/access, sicurezza & BCP, localizzazione dati, subappalto, exit/reversibilità, KPI/SLA, concentrazione.

  • Testing di resilienza digitale: Pianificare un programma risk-based, eseguire test annuali sui sistemi a supporto di funzioni essenziali/importanti, individuare vulnerabilità.

Checklist rapida:

  • Definizione ruoli e responsabilità ✔︎
  • Incident playbook & segnalazioni ✔︎
  • Predisposizione pacchetto di policy e procedure ✔︎
  • RoI ✔︎
  • Contratti ICT allineati ✔︎
  • Testing attivo ✔︎

Errori Comuni e Come Evitarli

Identificare e prevenire gli errori più comuni è fondamentale per una conformità efficace e solida, risparmiando tempo e risorse:

  • Governance poco chiara: Chiarire ruoli, responsabilità e flussi informativi al CdA.
  • Comunicazione tra funzioni aziendali: Coinvolgere le funzioni chiave è essenziale per garantire coordinamento e scambio efficace di informazioni. Senza sinergia, la collaborazione resta solo sulla carta.

  • Focus tecnico: Concentrarsi sui soli aspetti tecnici e trascurare governance, policy e formazione crea gap che vengono rilevate immediatamente in caso di ispezioni.

  • Mancanza di monitoraggio continuo: Non basta adeguarsi una volta, viene richiesto un monitoraggio nel continuum.

Esempio Concreto di Implementazione della Conformità DORA

Scenario:

Un intermediario ex 106 TUB utilizza piattaforme cloud per la gestione dei dati e dei processi di credito. Sistemi di gestione pratiche, interfacce di pagamento e infrastrutture digitali rappresentano il cuore dell’operatività. Un’interruzione dei servizi ICT causata da un guasto del provider o da un attacco esterno può bloccare l’erogazione di credito, generare ritardi nei pagamenti e compromettere la fiducia di clienti e stakeholder.

Azioni da intraprendere:

  1. Assessment iniziale
    •  Mappatura e individuazione degli asset critici 
    • Predisposizione di una BIA, analisi della criticità dei processi, individuazione delle dipendenze da servizi forniti da TPSP
    • Individuazione degli impatti sui processi core dell'intermediario in caso di interruzioni o guasti prolungati
  2. Predisposizione di una strategia di resilienza
    • Predisposizione di un Business Continuity Plan
    • Predisposizione di un Disaster Recovery 
  3. Implementazione piano di risposta agli incidenti
    • Definizione di ruoli e responsabilità per la gestione degli incidenti ICT
    • Notifica alle autorità competenti nel caso di incidente significativo

Risultato atteso

  • Maggiore resilienza operativa e riduzione del rischio di interruzioni.
  • Conformità alle disposizioni DORA e riduzione del rischio di sanzioni.
  • Rafforzamento della fiducia di clienti e partner grazie a una governance ICT solida.

Domande Frequenti sulla Conformità DORA per gli intermediari ex 106 TUB 

DORA è già applicabile agli intermediari ex 106? La decorrenza per gli ex 106 in Italia è 1° gennaio 2027.

Chi è l'autorità competente? L'autorità individuata dal Decreto Legislativo 10 marzo 2025, n 23 è Banca d'Italia. 

Devono essere svolti penetration test basati su minacce? No, gli intermediari vengono esclusi dall'obbligo di performare TLPT; si applicano invece le disposizioni relative agli ordinari test di resilienza operativa digitale. 

Conclusione

Prepararsi alla conformità con il Regolamento DORA può sembrare complesso, ma con una pianificazione attenta e una gestione proattiva dei processi, è possibile garantire una transizione fluida entro il 2027. Inizia oggi per evitare corse dell’ultimo minuto e assicurarti di essere pronto per le nuove sfide regolamentari. Se hai bisogno di supporto per strutturare il tuo piano operativo, contattaci: siamo qui per aiutarti a entrare nel 2027 già DORA-ready.

New call-to-action

 

Topic: Gestione Incidenti Informatici, Continuità e Resilienza Operativa, DORA

Post Correlati

Regolamento Dora e gestione dei rischi: ecco le novità
5 maggio 2025
Esternalizzazioni Regolamento DORA
Esternalizzazioni, gli strumenti per mettere a frutto le linee guida del Regolamento DORA
19 dicembre 2024
gestione incidenti cyber
Gestione incidenti cyber, come adeguarsi ai nuovi standard tecnici DORA
19 novembre 2024

Resta informato sul Risk Management, iscriviti alla newsletter!

Post più letti

Topic

see all