Blog

Il Regolamento DORA : Test di resilienza operativa digitale

19 gennaio 2026

 DORA Pilastro 4

DORA Pilastro 4: Test di Resilienza Operativa Digitale – verifiche continuative e scenari di stress

Se i primi tre pilastri del Regolamento DORA riguardano Governance, Gestione dei rischi e risposta agli incidenti, il quarto pilastro – Test di Resilienza Operativa Digitale – introduce un aspetto innovativo nella disciplina bancaria: l'obbligo di verificare regolarmente la capacità dei sistemi e dei processi di resistere a simulazioni di incidenti e scenari di rischio ICT.

In altre parole, non è più sufficiente disporre di policy, procedure e controlli sulla carta. DORA richiede che l'organizzazione dimostri empiricamente la propria capacità di garantire la continuità operativa quando sottoposta a scenari quali attacchi, guasti, interruzione o indisponibilità di servizi critici.

 

Cosa richiede il DORA in materia  di Test di Resilienza? 

A) Test Periodici e Sistematici:

L'intermediario deve condurre test regolari di resilienza operativa, che includono:

  • Business Continuity e Disaster Recovery Testing: verificare che i piani di continuità operativa garantiscano la prosecuzione delle attività fino al ripristino delle operazioni essenziali
  • Penetration Testing: effettuare test di sicurezza per identificare vulnerabilità potenzialmente sfruttabili
  • End-to-end Testing: verificare il corretto funzionamento di interi processi e flussi operativi
B) Simulazioni e Scenari di Stress:

I test non devono essere generici, ma basati su scenari realistici di perturbazione delle attività rilevanti per l'intermediario, come:

  • perdita di connettività con fornitori ICT che supportano servizi essenziali
  • indisponibilità prolungata di servizi cloud
  • attacchi DDoS
  • compromissione di credenziali amministrative
  • guasto di infrastruttura critica
C) Audit Periodici:

Oltre ai test specifici, DORA richiede audit regolari sulla resilienza operativa digitale, che includano:

  • verifica dell'efficacia dei test eseguiti
  • valutazione dei risultati e identificazione di eventuali lacune o vulnerabilità
  • definizione delle azioni correttive
D) Documentazione e Reporting:

Tutti i test, i risultati e le azioni correttive devono essere documentati e riportati alle funzioni di governance.​


 Sfide operative nell'implementazione :

    1. Rischi del testing: una sfida paradossale è che i test di resilienza potrebbero introdurre criticità, se non condotti correttamente. È fondamentale un’attenta pianificazione e l’isolamento dalle operazioni di produzione.
    2. Costi e risorse: eseguire test di resilienza richiede risorse: strumenti adeguati, competenze qualificate e tempo.
    3. Affidabilità e aderenza alla realtà: è difficile simulare scenari realistici senza paralizzare effettivamente l'operatività.
    4. Coordinamento tra funzioni: i test di resilienza richiedono il coinvolgimento di molteplici team e funzioni (IT, business continuity, risk, audit), non sempre abituati a coordinarsi.
    5. Miglioramento continuo: i test generano risultati che richiedono azioni correttive da implementare e verificare. È un processo continuo, non un'attività una tantum.
  2.  

Come strutturare una strategia di test DORA-compliant :

  1. Mapping dei Sistemi e Processi Critici: identificare quali sistemi e processi sono critici per la continuità operativa
  2. Definire la Frequenza di Testing: stabilire con quale frequenza condurre i diversi tipi di test (garantendo una cadenza almeno annuale)
  3. Sviluppare Scenari Realistici: basarsi su scenari e vulnerabilità reali
  4. Implementare Tool di Testing: utilizzare strumenti che permettano di eseguire test in ambienti isolati
  5. Eseguire i Test e Documentare i Risultati: condurre i test e registrarne gli esiti
  6. Prioritizzare i punti deboli: dare un ordine di priorità alle vulnerabilità emerse durante lo svolgimento dei test
  7. Implementare Azioni Correttive: definire politiche, procedure e azioni correttive su quanto riscontrato durante i test
  8. Iterare: ripetere i test per verificare che le vulnerabilità siano state risolte

Un elemento importante: il ruolo delle terze parti ICT

Gli intermediari si affidano a fornitori ICT per l’erogazione di alcuni servizi considerati critici. DORA richiede che le terze parti siano coinvolte nei test di resilienza, poiché la loro affidabilità è determinante per garantire la continuità operativa dell’organizzazione.​

Nel prossimo articolo, affronteremo proprio questo tema: il quinto pilastro del Regolamento DORA, la Gestione delle terze parti ICT.

New call-to-action

Topic: Gestione Incidenti Informatici, Continuità e Resilienza Operativa, DORA

Post Correlati

Il Regolamento DORA : Gestione degli incidenti ICT
15 gennaio 2026
Il Regolamento DORA : Gestione del rischio ICT
14 gennaio 2026
Il Regolamento DORA : Governance e organizzazione interna
14 gennaio 2026

Resta informato sul Risk Management, iscriviti alla newsletter!

Post più letti

Topic

see all