Il Regolamento DORA per gli intermediari finanziari italiani

 Il Regolamento DORA: la normativa sulla resilienza digitale per gli intermediari finanziari italiani 

Il 6 febbraio 2025 la Commissione XIV della Camera dei Deputati ha compiuto un passo significativo verso l'allineamento della normativa italiana con gli standard europei in materia di resilienza digitale: ha approvato lo schema di decreto legislativo che recepisce il Regolamento (UE) 2022/2554, noto come DORA (Digital Operational Resilience Act), e la Direttiva (UE) 2022/2556.

Per gli intermediari finanziari iscritti all'elenco dell'articolo 106 del Testo Unico Bancario (TUB), questa approvazione comporta l'obbligo di conformità a partire dal 1° gennaio 2027. Una scadenza che impone, già oggi, una riflessione strategica sul modello di governance ICT, sulla gestione dei rischi tecnologici e sul presidio dei fornitori critici.

 Che cos’è il Regolamento DORA? 

Il DORA non è una mera estensione normativa di quanto già disciplinato dalla precedente regolamentazione bancaria. Rappresenta, piuttosto, un cambio di paradigma rispetto al modo in cui gli intermediari finanziari governano i rischi ICT, integrandoli stabilmente nei processi decisionali, nei controlli interni e nei rapporti con terze parti all'interno delle organizzazioni finanziarie. Mentre le norme precedenti si concentravano su specifici aspetti della sicurezza informatica, il DORA adotta un approccio olistico e integrato, costruito intorno a cinque pilastri fondamentali interdipendenti, che richiedono coerenza organizzativa e maturità operativa:

1. Governance e Organizzazione Interna
2. Gestione del Rischio ICT
3. Gestione degli Incidenti
4. Test di Resilienza Operativa Digitale
5. Gestione dei Terzi

Questi cinque elementi, che approfondiremo nei prossimi articoli, costituiscono il framework di riferimento per la conformità e definiscono le responsabilità, i processi e i controlli che ogni intermediario dovrà implementare.

 Perché è importante iniziare ora? 

 Sebbene la data di applicazione per gli intermediari ex 106 (TUB) sia il 1° gennaio 2027, l'esperienza della precedente implementazione di normative europee (si pensi al GDPR o alla seconda Direttiva sui Servizi di Pagamento) ha evidenziato l'importanza di pianificare con largo anticipo. Le organizzazioni che attendono gli ultimi mesi prima della scadenza rischiano di: 

- Sottovalutare la complessità dell'adeguamento

- Non disporre di tempo sufficiente per test e validazione

- Affrontare costi e risorse non correttamente pianificati

- Trovarsi in ritardo nel momento delle verifiche delle autorità di vigilanza

Un approccio proattivo non solo riduce i rischi di non conformità, ma offre anche un'opportunità strategica: ottimizzare la resilienza digitale può generare vantaggi competitivi in termini di efficienza operativa, riduzione dei downtime e migliore gestione dei rischi cyber.

 Cosa farai nei prossimi step?

Se sei un professionista della compliance, della gestione del rischio o dell'IT presso un intermediario ex 106 (TUB), è il momento di:

1. Svolgere un assessment iniziale di conformità per misurare il livello di maturità attuale; rispetto ai cinque pilastri DORA
2. Identificare i gap tra lo stato attuale e i requisiti normativi
3. Pianificare una roadmap di adeguamento coerente con dimensione, complessità e modello operativo dell’intermediario;
4. Allocare risorse (umane, tecniche, finanziarie) necessarie

Augeos affianca gli intermediari finanziari ex art. 106 TUB con un modello di consulenza specializzata, orientato non solo alla conformità, ma alla sostenibilità del presidio nel tempo.

Nei prossimi articoli di questa serie affronteremo in dettaglio ciascuno dei cinque pilastri DORA, esplorando gli obblighi specifici, le sfide operative e le best practice per l'implementazione.