DORA: Il Regolamento sulla Resilienza Operativa Digitale

Il DORA (Digital Operational Resilience Act, Regolamento UE 2022/2554) e la risposta dell'Unione Europea alla crescente dipendenza del settore finanziario dalle tecnologie digitali. Entrato in vigore il 17 gennaio 2025, impone a banche, assicurazioni, fondi e operatori finanziari di dimostrare la propria resilienza operativa digitale — la capacita di continuare a operare anche in caso di attacco cyber o grave incidente ICT.

A differenza della NIS2, il DORA e un regolamento (non una direttiva), quindi e direttamente applicabile in tutti gli Stati membri senza necessita di recepimento nazionale. E molto piu specifico e dettagliato della NIS2 per quanto riguarda il settore finanziario.

A chi si applica il DORA

• Enti creditizi — banche commerciali, banche di investimento, banche cooperative
• Imprese di investimento — SIM, societa di gestione del risparmio
• Compagnie di assicurazione — vita, danni, riassicurazione
• Fondi pensione — EPAP, fondi pensione negoziali e aperti
• Istituti di pagamento e IMEL — incluse le fintech autorizzate
• Infrastrutture di mercato — CCP, depositari centrali, sedi di negoziazione
• Fornitori ICT critici — designati dalle autorita europee per supervisione diretta
• Crypto-asset service providers — piattaforme di trading crypto autorizzate

I 5 pilastri del DORA

1. Gestione del rischio ICT — framework completo per identificare, proteggere, rilevare, rispondere e ripristinare
2. Gestione incidenti ICT — classificazione, notifica alle autorita, analisi post-incidente
3. Test di resilienza operativa — test periodici proporzionati al rischio, inclusi TLPT per i grandi operatori
4. Gestione rischio fornitori ICT — due diligence, clausole contrattuali, strategia di exit, monitoraggio
5. Condivisione delle informazioni — scambio di intelligence sulle minacce tra operatori finanziari

TLPT: i test di resilienza avanzati

Il DORA introduce i TLPT (Threat-Led Penetration Testing), test di resilienza basati su scenari di minaccia reali, condotti da red team esterni qualificati. I TLPT sono obbligatori per le entita finanziarie di maggiori dimensioni e devono coprire le funzioni critiche dell'organizzazione. A differenza di un pentest tradizionale, il TLPT simula un attacco completo end-to-end, dalla ricognizione all'accesso, all'esfiltrazione, testando non solo le difese tecniche ma anche la risposta organizzativa.

Supervisione dei fornitori ICT critici

Una novita assoluta del DORA: le autorita europee (EBA, EIOPA, ESMA) designeranno i fornitori ICT critici del settore finanziario — tipicamente i grandi cloud provider e i fornitori di servizi core — e li sottoporranno a supervisione diretta. Questo significa che AWS, Azure, Google Cloud e altri potrebbero essere direttamente ispezionati dalle autorita finanziarie europee per la sicurezza dei servizi che forniscono al settore.

DORA e NIS2: come convivono

Il DORA prevale sulla NIS2 come lex specialis per il settore finanziario. In pratica: per gli aspetti coperti dal DORA (gestione rischio ICT, incidenti, test, fornitori), le entita finanziarie seguono il DORA. Per gli aspetti NIS2 non coperti dal DORA (es. registrazione ACN, alcuni aspetti di governance), la NIS2 si applica in via residuale. Le autorita (Banca d'Italia e ACN) si coordinano per evitare sovrapposizioni.