Gestione del ROI DORA: sfide e soluzioni efficaci

Contesto Normativo del Regolamento DORA

Il Digital Operational Resilience Act (DORA), noto come Regolamento (UE) 2022/2554, è un quadro normativo europeo che mira a garantire la resilienza digitale delle istituzioni finanziarie. In particolare, l'articolo 28 del DORA richiede la predisposizione e l’aggiornamento del Registro delle Informazioni (ROI) relativo agli accordi contrattuali con fornitori ICT terzi. Questo registro deve essere mantenuto e trasmesso annualmente alle Autorità competente, quali ad esempio Banca d’Italia o IVASS.

La struttura del ROI è disciplinata dagli Standard Tecnici di Implementazione (ITS) adottati dalla Commissione Europea ed, in particolare, il Regolamento di esecuzione (UE) 2024/2956. In Italia, la Banca d’Italia, con comunicazione del 13 febbraio 2026, ha stabilito che a partire dal 2026 l’invio annuale del ROI dovrà avvenire entro il 15 marzo, con riferimento alle informazioni aggiornate al 31 dicembre dell’anno precedente. La trasmissione avverrà tramite la piattaforma INFOSTAT, che prevede controlli di qualità sui dati e obbligo di reinvio in caso di anomalie.

Le sfide della gestione manuale del ROI

La gestione del ROI non è un compito banale: la complessità non deriva soltanto dalla struttura tecnica del tracciato, ma soprattutto dalla necessità di mantenere un dataset interno coerente, completo e continuamente aggiornato. Le informazioni, infatti,  devono aggregare dettagli su entità finanziaria, funzioni aziendali, fornitori ICT, servizi e contratti, come previsto dagli RTS e ITS DORA.

La gestione manuale del ROI comporta problemi significativi:

• Aggregazione dei dati: uUn registro deve contenere dettagli completi e coerenti su entità finanziari, funzioni aziendali, fornitori ICT, contratti e servizi. 
• Controlli di Data Quality: le Autorità, come la Banca d’Italia, sottopongono i registri a controlli di Data Quality, richiedendo correzioni in caso di incongruenze prima dell’accettazione finale.
• Aggiornamento continuo: il ROI non è un mero adempimento annuale, ma un strumento di governance del rischio ICT che deve essere mantenuto aggiornato nel continuo.

Strumenti tradizionali come Excel non sono adeguati per gestire relazioni complesse, evitare duplicazioni, garantire tracciabilità e soddisfare le esigenze di qualità richieste dal legislatore.

Importanza della qualità del dato nel ROI

La qualità del dato è essenziale per garantire che la segnalazione ROI superi i controlli di Data Quality imposti dal legislatore. Un dataset interno incoerente o incompleto può portare a segnalazioni errate, che a loro volta possono causare sanzioni da parte delle Autorità di vigilanza.

Un dataset di qualità deve:

• essere coerente: le informazioni devono essere coerenti tra loro e con le aspettative del legislatore.
• essere completo: tutti i dettagli richiesti devono essere inclusi nel registro.
• essere aggiornato: il registro deve essere aggiornato costantemente per riflettere le ultime informazioni disponibili.

DORA ROI, strumenti tradizionali vs. soluzioni Informatizzate

Gli strumenti tradizionali come Excel presentano diverse limitazioni nella gestione del ROI. Questi strumenti non sono progettati per gestire relazioni complesse, evitare duplicazioni e garantire la tracciabilità necessaria per soddisfare le esigenze di qualità richieste dal legislatore.

D'altra parte, una soluzione informatica dedicata può gestire l’intero ciclo di vita dei dati contrattuali ICT, garantendo coerenza, qualità e conformità. Questo tipo di soluzione deve offrire:

• Modellazione completa delle informazioni: una piattaforma informatica deve essere in grado di modellare completamente i contratti ICT, i fornitori, i servizi e le funzioni aziendali correlate.
• Regole di qualità del Dato Integrate: le regole di qualità del dato devono essere integrate nella piattaforma per impedire incoerenze già in fase di inserimento.
• Eliminazione delle duplicazioni: la piattaforma deve garantire un repository unico per fornitori e contratti, eliminando le duplicazioni.
• Produzione automatica del tracciato segnaletico: la soluzione deve essere in grado di produrre automaticamente il tracciato segnaletico secondo il template ITS del Regolamento 2024/2956.
• Storico e audit trail completi: la piattaforma deve offrire uno storico completo e un audit trail per verifiche interne ed ispezioni delle autorità.
• Estrazione della copia autentica “a una Data”: la soluzione deve permettere l’estrazione del ROI “a una data” per audit e controlli interni.

DORA, caratteristiche Essenziali di una piattaforma informatica per il ROI

Una piattaforma informatica dedicata alla gestione del ROI deve possedere caratteristiche specifiche per garantire la conformità e la qualità del dato. Le caratteristiche essenziali includono:

• Censimento Guidato dei Contratti: Un censimento strutturato di tutte le informazioni obbligatorie richieste dal DORA, senza duplicazioni e con campi normalizzati.
• Controlli di Data Quality in Tempo Reale: Le informazioni devono essere validate all’atto dell’inserimento, riducendo il rischio di rigetti da parte delle autorità.
• Generazione Automatica della Segnalazione: La piattaforma deve produrre il file conforme ai template ITS previsti per l’invio tramite INFOSTAT.
• Storico e Audit Trail Completi: Il sistema deve tenere traccia delle modifiche e consentire la consultazione e il download delle versioni precedenti del ROI.
• Estrazione della Copia Autentica “a una Data”: La possibilità di estrarre nel 2027 il ROI riferito al 31/12/2025 esattamente come trasmesso a marzo 2026.

GRC4ROI: la soluzione integrata di Augeos

Il modulo GRC4ROI, integrato nella piattaforma GRC di Augeos, è progettato per supportare pienamente le funzioni IT, Sourcing, Risk Management e Compliance nella gestione del Registro delle Informazioni. GRC4ROI offre una soluzione completa per la gestione del ROI, garantendo coerenza, qualità e conformità.

Le caratteristiche principali di GRC4ROI includono:

• Censimento guidato dei contratti: il modulo GRC4ROI consente un censimento strutturato di tutte le informazioni obbligatorie richieste da DORA, evitando duplicazioni e garantendo campi normalizzati.
• Semplificazione dei domini EBA: i codici richiesti da EBA vengono automaticamente mappati e tradotti con etichette "parlanti", rendendo più semplice la selezione e riducendo il margine di errore.
• Controlli di Data Quality in tempo reale: le informazioni vengono validate all’atto dell’inserimento, riducendo il rischio di rigetti da parte delle Autorità.
• Generazione automatica della segnalazione: GRC4ROI produce il file conforme ai template ITS previsti per l’invio tramite INFOSTAT.
• Storico e audit trail completi: il sistema tiene traccia delle modifiche e consente di consultare e scaricare versioni precedenti del ROI.
• Estrazione della copia autentica “a una Data”: perfetta per audit, controlli interni e verifiche delle autorità.

Vantaggi di GRC4ROI per gli intermediari finanziari

L'adozione di GRC4ROI offre numerosi vantaggi agli intermediari finanziari:

• Conformità garantita: GRC4ROI assicura che il ROI sia conforme al  Regolamento DORA e agli standard ITS.
• Qualità del dato: la piattaforma garantisce la qualità del dato, riducendo il rischio di errori e rigetti da parte delle Autorità.
• Efficienza operativa: GRC4ROI automatizza il processo di gestione del ROI, riducendo il tempo e le risorse necessarie.
• Tracciabilità e auditabilità: la piattaforma offre uno storico completo e un audit trail, facilitando le verifiche interne e le ispezioni delle Autorità.
• Flessibilità e scalabilità: GRC4ROI è una soluzione flessibile e scalabile, adatta alle esigenze di intermediari di diverse dimensioni e complessità.

GRC4ROI come servizio SaaS: una gestione una tantum

Per gli intermediari che non necessitano di una piattaforma permanente o che desiderano un supporto diretto, Augeos offre GRC4ROI anche come servizio SaaS, pensato per la gestione one-shot della segnalazione annuale. Il servizio prevede:

• Caricamento dello ZIP: , contenente i file trasmessi negli anni precedenti.
• Importazione e normalizzazione dei dati, direttamente nella piattaforma.
• Supporto operativo, degli specialisti Augeos nell’aggiornamento del ROI.
• Generazione del nuovo tracciato,  conforme alla normativa e pronto per l’invio.

In conclusione, la gestione del Registro delle Informazioni secondo il Regolamento DORA è un compito complesso che richiede un approccio strutturato e strumenti adeguati. GRC4ROI di Augeos offre una soluzione integrata che garantisce conformità, qualità del dato ed efficienza operativa, supportando gli intermediari finanziari nel rispetto delle normative e nella gestione efficace dei rischi ICT.