Cos’è il regolamento DORA?
DORA (Digital Operational Resilience Act) è il regolamento dell’Unione Europea volto a rafforzare la resilienza operativa digitale del settore finanziario. Approvato ufficialmente con il Regolamento (UE) 2022/2554, DORA entra pienamente in vigore il 17 gennaio 2025 e si applica a oltre 22.000 entità finanziarie europee e ai fornitori di servizi ICT critici.
“DORA mira a garantire che tutte le imprese finanziarie possano resistere, rispondere e riprendersi da eventi informatici gravi.” — Commissione Europea
Fonte: EUR-Lex – Regolamento DORA
A chi si applica DORA?
Il regolamento riguarda:
- Banche e istituzioni di pagamento
- Assicurazioni e riassicurazioni
- Società di investimento, gestori patrimoniali
- Fintech e imprese di criptovalute
- Infrastrutture di mercato finanziario (es. sistemi di pagamento)
- Fornitori terzi critici di ICT (cloud, software, sicurezza informatica)
DORA include anche una vigilanza specifica sui fornitori ICT critici, affidata congiuntamente a ESMA, EBA ed EIOPA.
Quali sono i requisiti principali del regolamento DORA?
1. Gestione del rischio ICT
Le imprese devono adottare un quadro interno di gestione dei rischi informatici. Include:
- Identificazione e prevenzione delle minacce
- Sistemi di monitoraggio e risposta
- Piani di recovery e continuità operativa
2. Reporting degli incidenti gravi
Entro tempi definiti, ogni incidente informatico rilevante deve essere:
- Classificato (livello di impatto)
- Notificato alle autorità competenti (es. Banca d’Italia, ESMA)
- Registrato e analizzato internamente
3. Test di resilienza operativa digitale
Le imprese devono condurre test regolari di penetrazione e simulazione su scala proporzionata.
Per entità ritenute significative, sono previsti test Threat-Led Penetration Testing (TLPT) su base triennale.
4. Gestione dei fornitori terzi ICT
Chi si affida a terzi per servizi digitali deve:
- Mappare le dipendenze critiche
- Stipulare contratti conformi ai requisiti DORA
- Effettuare valutazioni e monitoraggi continui
5. Condivisione delle informazioni sulle minacce
DORA promuove la cooperazione tra operatori finanziari tramite scambio di informazioni sulle minacce informatiche (threat intelligence sharing).
Quali sono le scadenze e le sanzioni previste?
DORA sarà applicabile dal 17 gennaio 2025. Le autorità nazionali avranno il compito di:
- Eseguire controlli di conformità
- Imporre sanzioni in caso di violazioni
Le sanzioni possono includere multe proporzionate e dissuasive, sospensioni temporanee o revoca dell’autorizzazione a operare.
Fonte: EBA – Guidelines on DORA Implementation
FAQ su DORA
DORA si applica anche alle startup fintech?
Sì. Tutti gli attori regolamentati nel settore finanziario rientrano nell’ambito, anche se con requisiti proporzionali alla dimensione e al rischio.
Quali sono i vantaggi di DORA per i clienti?
Maggiore sicurezza dei dati, continuità dei servizi e protezione contro i rischi digitali, grazie a controlli più stringenti sulle tecnologie utilizzate dalle imprese finanziarie.
DORA sostituisce altre normative esistenti?
No, le integra. Si affianca a regolamenti come PSD2, GDPR e NIS2, concentrandosi sulla resilienza digitale specifica.
Conclusione: perché il regolamento DORA è cruciale per il futuro della finanza digitale
Il regolamento DORA rappresenta un passo decisivo per rendere l’intero ecosistema finanziario europeo più sicuro, integrato e resistente agli attacchi informatici. Con la crescita dell’uso del cloud, dell’intelligenza artificiale e delle criptovalute, la protezione digitale non è più opzionale, ma essenziale.
Fonti ufficiali e autorevoli:
- EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32022R2554
- Commissione Europea: https://finance.ec.europa.eu
- EBA (European Banking Authority): https://www.eba.europa.eu
- ESMA: https://www.esma.europa.eu
- EIOPA: https://www.eiopa.europa.eu
Giornalista e analista, scrive di economia italiana, innovazione e imprese. Appassionato di tecnologia e finanza, racconta il presente e il futuro delle aziende che fanno muovere il Paese.
