Regolamenti10 min di lettura

DORA: Cosa Devono Fare le Banche Entro 2025

I 5 pilastri del regolamento DORA spiegati: requisiti, scadenze e penalita per il settore finanziario italiano ed europeo.

Team Cyber Security Dome
Pubblicato il 10 gennaio 2025
DORA: Cosa Devono Fare le Banche Entro 2025

Indice dei contenuti

Il Regolamento DORA (Digital Operational Resilience Act) rappresenta una svolta storica per il settore finanziario europeo. Per la prima volta, esiste un framework normativo unificato sulla resilienza operativa digitale che si applica a banche, assicurazioni, fondi di investimento e tutti gli attori del settore finanziario.

Con l'applicazione prevista per il 17 gennaio 2025, le istituzioni finanziarie italiane hanno poco tempo per adeguarsi. In questa guida analizziamo nel dettaglio i requisiti, le scadenze e le azioni concrete da intraprendere.

1. Cos'e il Regolamento DORA?

Il DORA e il Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio, pubblicato nella Gazzetta Ufficiale dell'UE il 27 dicembre 2022. A differenza delle direttive, essendo un regolamento e direttamente applicabile in tutti gli Stati membri senza necessita di recepimento.

Obiettivo del DORA

Garantire che tutte le entita finanziarie nell'UE siano in grado di resistere, rispondere e riprendersi da qualsiasi tipo di perturbazione e minaccia legata alle tecnologie dell'informazione e della comunicazione (ICT).

Perche il DORA e necessario?

Il settore finanziario e diventato sempre piu dipendente dalla tecnologia. Questa digitalizzazione, se da un lato ha portato enormi benefici, dall'altro ha esposto il sistema a nuovi rischi:

  • Attacchi cyber in aumento: +38% di attacchi al settore finanziario nel 2023
  • Dipendenza da terze parti: concentrazione su pochi provider cloud e ICT
  • Rischio sistemico: un incidente in un grande provider puo impattare tutto il sistema
  • Frammentazione normativa: prima del DORA ogni paese aveva regole diverse

2. Chi Coinvolge DORA?

Il DORA si applica a un ampio spettro di entita finanziarie. In totale, sono coinvolte oltre 22.000 organizzazioni nell'UE.

Settore finanziario e DORA

Entita finanziarie soggette al DORA

Enti creditizi
Banche, casse di risparmio, BCC
Istituti di pagamento
PSP, emittenti di moneta elettronica
Imprese di investimento
SIM, SGR, SICAV, SICAF
Imprese di assicurazione
Assicurazioni vita e danni
Fondi pensione
EPAP, fondi pensione complementari
Agenzie di rating
CRA registrate in UE
Fornitori di servizi cripto
CASP autorizzati
Depositari centrali
CSD, trade repository
Controparti centrali
CCP, EMIR
Piattaforme di crowdfunding
Fornitori autorizzati ECSP

Fornitori terzi di servizi ICT

Una novita fondamentale del DORA e l'inclusione dei fornitori terzi critici di servizi ICT. Se un provider cloud o ICT e designato come "critico" dalle autorita europee, sara soggetto a supervisione diretta.

Esempi di fornitori potenzialmente critici:

Amazon AWSMicrosoft AzureGoogle CloudIBMOracleSAPSalesforceServiceNow

3. I 5 Pilastri del DORA

Il regolamento DORA si articola in 5 pilastri fondamentali che coprono tutti gli aspetti della resilienza operativa digitale:

1

Gestione del rischio ICT

Framework completo per identificare, proteggere, rilevare, rispondere e ripristinare in caso di incidenti ICT.

Governance e organizzazione della sicurezza ICT
Identificazione e classificazione degli asset
Protezione, prevenzione e detection
Business continuity e disaster recovery
2

Segnalazione degli incidenti

Processo armonizzato per classificare e segnalare gli incidenti ICT alle autorita competenti.

Classificazione degli incidenti (maggiori, significativi, minori)
Notifica iniziale entro 4 ore (incidenti maggiori)
Report intermedio entro 72 ore
Report finale entro 1 mese
3

Test di resilienza operativa digitale

Programma di test periodici per verificare la capacita di resistere e rispondere agli incidenti.

Vulnerability assessment e penetration test
Test di scenario e simulazioni
TLPT (Threat-Led Penetration Testing) per entita significative
Test almeno ogni 3 anni (TLPT)
4

Gestione dei rischi terze parti ICT

Requisiti stringenti per la gestione dei fornitori di servizi ICT, inclusi cloud provider.

Due diligence pre-contrattuale
Clausole contrattuali obbligatorie
Registro dei fornitori ICT
Exit strategy e diritti di audit
5

Condivisione delle informazioni

Framework per lo scambio volontario di informazioni su minacce e vulnerabilita tra entita finanziarie.

Accordi di information sharing
Partecipazione a ISAC di settore
Protezione dei dati condivisi
Notifica all'autorita della partecipazione

4. Scadenze e Timeline

Il DORA segue una timeline ben definita. A differenza di altre normative, essendo un regolamento non richiede recepimento nazionale ed e direttamente applicabile.

Dic 2022
Pubblicazione in GUUE
Il regolamento e pubblicato nella Gazzetta Ufficiale dell'UE
Gen 2023
Entrata in vigore
Il DORA entra formalmente in vigore
2023-2024
Periodo di transizione
24 mesi per adeguarsi. Pubblicazione degli standard tecnici (RTS/ITS)
17 Gen 2025
Applicazione piena
Tutte le entita devono essere conformi. Iniziano controlli e sanzioni
Attenzione: tempo limitato!
Mancano pochi mesi alla deadline. Un progetto di compliance DORA richiede mediamente 6-12 mesi. Chi non ha ancora iniziato rischia di non essere pronto.

5. Sanzioni e Penalita

Il regime sanzionatorio del DORA e particolarmente severo, con penalita che possono colpire sia le organizzazioni che i singoli responsabili.

Sanzioni amministrative
Fino al 2%
del fatturato mondiale annuo totale
O 10 milioni EUR (il maggiore dei due)
Sanzioni ai dirigenti
1M EUR
Sanzione personale per il management
Piu possibile sospensione dalle funzioni

Poteri delle autorita di vigilanza

  • Accesso a documenti e dati
  • Ispezioni in loco
  • Ordine di cessazione di attivita non conformi
  • Sospensione dei servizi
  • Pubblicazione delle violazioni

6. Come Prepararsi alla Compliance

La preparazione al DORA richiede un approccio strutturato che coinvolge diverse funzioni aziendali: IT, Risk, Compliance, Legal e Operations.

Roadmap di implementazione

Fase 1: Assessment

4-6 settimane
  • Gap analysis rispetto ai requisiti DORA
  • Mappatura degli asset ICT critici
  • Censimento dei fornitori ICT
  • Valutazione della maturita attuale

Fase 2: Governance

4-8 settimane
  • Definizione ruoli e responsabilita
  • Aggiornamento policy e procedure
  • Framework di risk management ICT
  • Formazione del board

Fase 3: Implementazione

12-20 settimane
  • Implementazione controlli tecnici
  • Sviluppo piani di continuita
  • Setup processi di incident management
  • Rinegoziazione contratti fornitori

Fase 4: Testing

8-12 settimane
  • Vulnerability assessment
  • Penetration testing
  • Test dei piani di continuita
  • Simulazioni di incidente

Fase 5: Monitoraggio

Continuo
  • Monitoraggio continuo della compliance
  • Aggiornamento documentazione
  • Reporting periodico al board
  • Miglioramento continuo
Verifica la tua compliance DORA
Usa il nostro strumento gratuito per una prima valutazione
Inizia Verifica DORA

7. FAQ - Domande Frequenti

DORA si applica anche alle piccole banche e assicurazioni?

Si, il DORA si applica a tutte le entita finanziarie indipendentemente dalle dimensioni. Tuttavia, il principio di proporzionalita prevede requisiti meno stringenti per le entita minori (es. meno test TLPT, procedure semplificate).

Qual e la relazione tra DORA e NIS2?

Il DORA e una "lex specialis" rispetto alla NIS2 per il settore finanziario. Le entita finanziarie soggette a DORA sono escluse dall'ambito NIS2 per evitare duplicazioni. I requisiti DORA sono generalmente piu stringenti.

Devo fare i test TLPT (Threat-Led Penetration Testing)?

I test TLPT sono obbligatori solo per le entita "significative" identificate dalle autorita. Per le altre entita sono richiesti test meno complessi (vulnerability assessment, pen test standard). I test TLPT vanno eseguiti almeno ogni 3 anni.

Come gestire i fornitori cloud extra-UE?

I contratti con fornitori ICT, inclusi i cloud provider extra-UE, devono includere clausole specifiche richieste dal DORA (diritti di audit, SLA, exit strategy, localizzazione dati). Se il fornitore non accetta, potrebbe essere necessario valutare alternative o mitigazioni.

Quanto costa adeguarsi al DORA?

I costi variano enormemente in base alla dimensione e maturita dell'entita. Per una banca media si stimano 500.000 - 2.000.000 EUR nel primo anno (consulenza, tool, personale, adeguamenti tecnici), con costi ricorrenti di 200.000 - 500.000 EUR/anno.

Conclusione

Il DORA rappresenta un cambiamento epocale per il settore finanziario europeo. Con la deadline del 17 gennaio 2025 ormai vicina, e fondamentale che banche, assicurazioni e tutte le entita finanziarie accelerino i propri programmi di compliance. Non si tratta solo di evitare sanzioni, ma di costruire una vera resilienza operativa in un contesto di minacce cyber in costante evoluzione.

Verifica Compliance DORARichiedi consulenza specializzata

Fonti ufficiali

#DORA#Banche#Finanza#Resilienza#ICT

Vuoi verificare la tua compliance?

Utilizza i nostri strumenti gratuiti o richiedi una consulenza personalizzata con i nostri esperti.

Assessment NIS2 GratuitoRichiedi Consulenza

Articoli Correlati

NIS2: Guida Completa per le PMI Italiane 2025
Compliance12 min

NIS2: Guida Completa per le PMI Italiane 2025

Tutto quello che devi sapere sulla direttiva NIS2: chi e obbligato, scadenze, sanzioni e come preparare la tua azienda alla compliance.

ISO 27001: Quanto Costa Davvero la Certificazione?
Certificazioni9 min

ISO 27001: Quanto Costa Davvero la Certificazione?

Analisi dettagliata dei costi diretti e indiretti per ottenere la certificazione ISO 27001. ROI, tempistiche e fasi del progetto.