di Ivo Invernizzi*

Il Regolamento (UE) 2022/2554 – Digital Operational Resilience Act (DORA), adottato il 14 dicembre 2022 e applicabile dal 17 gennaio 2025, rappresenta un pilastro del pacchetto UE sulla finanza digitale. Esso istituisce un quadro vincolante e armonizzato per la gestione dei rischi ICT nel settore finanziario, comprese le banche. A differenza delle direttive europee, tale regolamento è direttamente applicabile in tutti gli Stati membri, senza necessità di recepimento a livello nazionale. Il suo obiettivo è garantire che gli istituti finanziari siano in grado di resistere, rispondere e riprendersi dalle interruzioni digitali, inclusi attacchi informatici e guasti di sistema, salvaguardando così la stabilità finanziaria e la continuità dei servizi transfrontalieri.

Individuiamo i principali punti di interesse su DORA ed i loro effetti sulle banche europee.

Passaggio da una governance dei rischi ICT frammentata a una armonizzata

Il DORA sostituisce i quadri normativi nazionali eterogenei con un unico regime a livello UE, obbligando le banche a standardizzare le pratiche di gestione dei rischi ICT. Tale approccio riduce l’arbitraggio normativo, seppure aumenti la complessità della compliance per le banche multinazionali, che devono allineare la loro governance, i loro controlli interni e le loro architetture di reporting nelle diverse giurisdizioni, in base a un’aspettativa di vigilanza unificata.

Estensione della resilienza operativa

La resilienza operativa, in particolare la resilienza informatica delle banche europee, è passata da funzione tecnica a responsabilità strategica del management bancario e a livello di consiglio di amministrazione. Le banche devono dimostrare capacità di resilienza ‘end-to-end’, in tal senso monitorando il rischio ICT nella gestione del rischio aziendale ‘overall’. Per tale via, si eleva l’IT da funzione di supporto a pilastro fondamentale della stabilità finanziaria e della vigilanza prudenziale.

Segnalazione degli incidenti ICT e supervisione rigorose

In base a DORA, le banche sono ora soggette all’obbligo di segnalazione degli incidenti ICT più gravi alle autorità di vigilanza, con tempistiche ristrette e formati standardizzati. Tale prassi di segnalazione, migliora la visibilità per la vigilanza bancaria, ma impone oneri operativi, richiedendo sistemi di monitoraggio in tempo reale e framework di classificazione degli incidenti, esponendo per tale via gli istituti bancari a rischi reputazionali e normativi in caso di non conformità.

Maggiore controllo sui fornitori di ICT di terze parti

Il regolamento DORA estende la supervisione normativa oltre le banche, includendo i fornitori di ICT di terze parti critici, come i servizi in cloud. Le banche devono mantenere registri dettagliati, garanzie contrattuali e un monitoraggio continuo dei fornitori. Questo ridefinisce le strategie di outsourcing, riduce i rischi di dipendenza, ma aumenta i costi legali, operativi e di due diligence lungo le catene di fornitura.

Test di resilienza obbligatori e trasformazione operativa

I test avanzati, inclusi i penetration test basati sulle minacce (TLPT o Threat Led Penetration Testing), diventano obbligatori per gli istituti bancari di grandi dimensioni. Ciò obbliga le banche a validare continuamente la resilienza in scenari di attacco realistici. Pur migliorando la preparazione, richiede investimenti sostanziali in capacità di cybersecurity, personale qualificato e infrastrutture di test, accelerando i costi della trasformazione digitale.

Conclusione

Lo stato dell’arte dell’implementazione del regolamento DORA nelle banche europee, al 2025-2026, rivela una transizione dalla preparazione alla compliance all’applicazione attiva. Gli istituti bancari europei hanno in gran parte completato le analisi delle lacune e gli adattamenti iniziali, ma la piena integrazione operativa rimane disomogenea. Se da un lato le grandi banche transfrontaliere tendono ad essere più avanzate, sfruttando i framework esistenti (ad esempio, TIBER-EU), d’altro lato gli istituti più piccoli si trovano ad affrontare vincoli di risorse e competenze. Le autorità di regolamentazione si stanno progressivamente spostando dalla guida al controllo di vigilanza, aumentando la pressione sulla compliance e sulla documentazione in tempo reale. Si ricordi che, il regolamento DORA introduce anche oneri di costo significativi e complessità operativa, in particolare nella gestione del rischio di terze parti e nei requisiti di test.

*Ivo Invernizzi: “opera dell’ingegno umano realizzata con il solo supporto di sistemi di IA sotto supervisione editoriale”

*“i contenuti sono riferibili unicamente all’autore ed esprimono la sua personale opinione  al 30/04/2026, non costituiscono alcuna raccomandazione d’investimento e non impegnano le società e istituzioni di appartenenza”

_________________________________________________________________________