Tutto ciò che devi sapere sul Risk Management bancario - Il blog di Augeos

Il Regolamento DORA : Gestione del rischio ICT

Scritto da Augeos | 14 gennaio 2026

 

DORA Pilastro 2: Gestione del Rischio ICT – Framework di Identificazione, Valutazione e Mitigazione

Se la governance definisce chi decide, la Gestione del Rischio ICT stabilisce come l’intermediario governa concretamente la resilienza digitale. Il secondo pilastro del Regolamento DORA rappresenta il cuore operativo del framework: è qui che la normativa richiede il passaggio da approcci frammentati a un sistema strutturato, integrato e continuativo di gestione dei rischi tecnologici.​

Per gli intermediari finanziari ex art. 106 TUB, DORA impone un cambio di paradigma: il rischio ICT non è più una componente tecnica isolata, ma una dimensione strutturale del rischio operativo complessivo, soggetta a valutazione, monitoraggio e controllo al pari degli altri rischi regolamentari.

I Componenti Essenziali della Gestione del Rischio ICT:

Il framework DORA per la gestione del rischio ICT si articola attorno a diversi elementi interconnessi:

A) Identificazione dei Rischi:

Il Regolamento stabilisce che ogni intermediario debba adottare un framework formale di ICT Risk Management, proporzionato a dimensione e complessità, ma pienamente dimostrabile in sede di vigilanza.

  1. Identificazione completa e sistematica dei rischi ICT
    DORA richiede una mappatura estesa e strutturata di tutti i rischi ICT rilevanti, che vada oltre la sola cybersecurity. In particolare, devono essere presidiati:
  • rischi derivanti dalla dipendenza da fornitori ICT e terze parti critiche
  • rischi connessi a carenze organizzative o competenze interne insufficienti
  • rischi legati all’obsolescenza tecnologica e all’architettura dei sistemi
  • rischi di continuità operativa in caso di indisponibilità dei servizi critici

L’identificazione deve essere ripetibile, documentata e aggiornata, non episodica.

B) Valutazione dei Rischi:

2. Valutazione strutturata e integrata dei rischi

I rischi individuati devono essere valutati secondo metodologie coerenti con il framework di risk management aziendale, includendo:

  • probabilità di accadimento
  • impatto potenziale su operatività, clienti, continuità e reputazione
  • priorità di intervento
  • correlazione con processi, servizi e funzioni critiche

DORA richiede che il rischio ICT sia integrato nei processi decisionali, non gestito in parallelo rispetto agli altri rischi.

C) Strategie di mitigazione coerenti con l’appetito al rischio:

Per ogni rischio rilevante, l’intermediario deve definire e documentare strategie di trattamento del rischio, che devono includere:

  • controlli tecnologici e di sicurezza
  • misure organizzative e procedurali
  • clausole contrattuali e trasferimento del rischio di terza parte
  • accettazione consapevole del rischio residuo, formalmente approvata

Ogni scelta deve essere giustificata e tracciabile, in particolare quando il rischio residuo rimane significativo.

D) Monitoraggio e Revisione Continua:

Il Pilastro 2 sottolinea che la gestione del rischio ICT è un processo dinamico, che richiede:

  • monitoraggio continuo dell’efficacia dei controlli
  • aggiornamento delle valutazioni qualora intervengano modifiche alle tecnologie impiegate, alla struttura organizzativa o in presenza di nuove minacce
  • revisione periodica del framework e dei criteri di valutazione
  • reporting strutturato verso gli organi aziendali

Un framework statico non è compatibile con DORA.

Le principali criticità per gli intermediari ex 106 TUB:

  1. Complessità della valutazione: non tutti gli intermediari possiedono le competenze internamente per una valutazione quali/quantitativa rigorosa dei rischi ICT. Spesso è necessario supporto esterno.
  2. Ridondanza con altre valutazioni di rischio: l'intermediario potrebbe già avere una metodologia di risk assessment generale. Il DORA richiede che il rischio ICT sia esplicitamente integrato, non in parallelo.​
  3. Evoluzione delle minacce: la rapidità di evoluzione delle minacce cyber rende obsoleti modelli rigidi.
  4. Allocazione di risorse: una valutazione completa dei rischi ICT richiede tempo e competenze. Molti intermediari faticano a dedicare le risorse necessarie.

DORA non richiede solo strumenti, ma metodo, coerenza e continuità.

Come strutturare un framework DORA-compliant di Gestione del Rischio ICT:

Un percorso efficace di adeguamento dovrebbe prevedere:

  1. ICT Risk Assessment iniziale: analisi dei processi e delle metodologie esistenti
  2. Gap analysis rispetto ai requisiti DORA
  3. Implementazione della politica di gestione del rischio
  4. Definizione di criteri, metriche e frequenze di valutazione
  5. Formazione delle funzioni coinvolte e dell’organo di gestione
  6. Pianificazione delle revisioni periodiche e degli aggiornamenti

Augeos supporta gli intermediari finanziari ex art. 106 TUB nella progettazione e implementazione di framework di Gestione del Rischio ICT pienamente allineati al Regolamento DORA e alle aspettative di vigilanza.

Collegamento con il Pilastro Successivo:

Una volta identificato e valutato il rischio ICT, l'organizzazione deve essere preparata a gestire situazioni in cui il rischio si materializza: è qui che entra in gioco il terzo pilastro, la Gestione degli Incidenti. Nel prossimo approfondimento analizzeremo il Pilastro 3 – Gestione degli Incidenti ICT, fondamentale per dimostrare la capacità dell’intermediario di reagire efficacemente quando il rischio si concretizza.

 
Visualizza articolo completo