1.     Introduzione

Il Regolamento DORA (Digital Operational Resilience Act) rappresenta una svolta nella gestione della resilienza operativa digitale nel settore finanziario europeo. Entrato in vigore il 16 gennaio 2023 e applicabile dal 17 gennaio 2025, impone requisiti stringenti per garantire la continuità e la sicurezza delle operazioni ICT. Un aspetto cruciale del regolamento è il ruolo dell’organo di gestione, il quale ha la responsabilità di supervisionare, monitorare e garantire l’attuazione delle misure richieste dal DORA.

In un contesto in cui le minacce informatiche sono sempre più sofisticate e pervasive, l’organo di gestione delle istituzioni finanziarie è chiamato a svolgere un ruolo attivo e strategico nel rafforzare la resilienza digitale. Questo implica non solo la conformità normativa, ma anche un cambiamento culturale nella governance del rischio ICT.

2.     Responsabilità dell’organo di gestione

L’organo di gestione, composto da dirigenti e membri del Consiglio di amministrazione delle istituzioni finanziarie, ha una serie di responsabilità chiave definite dal Regolamento DORA. Le principali includono:

I - Supervisione strategica e governance

L’organo di gestione deve definire e approvare le strategie di gestione del rischio ICT, garantendo che siano integrate nei processi aziendali e allineate agli obiettivi strategici dell’istituzione. La governance del rischio ICT deve essere chiara, strutturata e sostenibile nel lungo periodo.

II - Definizione e implementazione del quadro di rischio ICT

Il DORA richiede che l’organo di gestione assuma un ruolo attivo nella definizione del framework di gestione del rischio ICT, che include:

• identificazione e valutazione delle minacce digitali;

• mitigazione dei rischi attraverso controlli e misure di sicurezza adeguate.

• monitoraggio continuo dell’efficacia delle strategie adottate.

III - Allocazione delle risorse e investimenti in cybersecurity

Per garantire una resilienza digitale efficace, l’organo di gestione deve approvare budget adeguati per le infrastrutture ICT, la formazione del personale e le tecnologie di sicurezza. Questo investimento è fondamentale per prevenire incidenti informatici e garantire la continuità operativa.

IV - Monitoraggio e reporting

L’organo di gestione deve istituire processi di monitoraggio per valutare periodicamente la resilienza operativa digitale e garantire la conformità ai requisiti DORA. Devono essere previste relazioni periodiche sulle performance del sistema ICT, con report dettagliati su:

• incidenti informatici rilevati e misure adottate;

• test di resilienza operativa condotti e risultati ottenuti;

• evoluzione delle minacce informatiche e strategie di risposta.

V - Responsabilità nella segnalazione degli incidenti

Un altro obbligo fondamentale per l’organo di gestione è assicurare la corretta segnalazione degli incidenti ICT alle autorità competenti, rispettando le tempistiche e le procedure standardizzate previste dal regolamento. Questo include:

• la classificazione degli incidenti secondo i criteri di gravità;

• la tempestiva comunicazione alle autorità di vigilanza e alle parti interessate;

• la documentazione delle azioni correttive adottate per evitare la ripetizione dell’evento.

VI - Supervisione dei fornitori di servizi ICT

DORA introduce requisiti stringenti per la gestione dei fornitori critici di servizi ICT. L’organo di gestione deve:

• assicurarsi che i fornitori rispettino standard di sicurezza elevati;

• verificare la solidità contrattuale e l’adeguatezza delle misure di protezione adottate dai fornitori;

• condurre audit e controlli periodici per valutare la conformità e la resilienza dei partner esterni.

3.      Impatto sul settore finanziario

L’introduzione di responsabilità più stringenti per l’organo di gestione avrà un impatto significativo sul settore finanziario, generando una serie di implicazioni operative e strategiche:

a. Aumento della consapevolezza sulla Cybersecurity

DORA impone agli amministratori di sviluppare una maggiore consapevolezza sui rischi digitali, promuovendo un approccio proattivo alla cybersecurity. Questo comporta un cambio di mentalità nella gestione aziendale, con un’attenzione crescente alla protezione delle infrastrutture critiche.

b. Rafforzamento della compliance e delle sanzioni

Le istituzioni finanziarie dovranno adeguarsi a controlli più rigorosi e affrontare potenziali sanzioni in caso di mancata conformità. Gli organi di vigilanza potranno intervenire con azioni correttive e sanzionatorie in caso di negligenza nella gestione del rischio ICT.

c. Miglioramento della resilienza operativa

Un ruolo più attivo dell’organo di gestione contribuirà a rendere le istituzioni finanziarie più resilienti agli attacchi informatici, riducendo l’impatto economico e reputazionale di eventuali incidenti.

e. Maggiore trasparenza e fiducia del mercato

Una gestione solida della resilienza digitale favorisce una maggiore fiducia da parte degli investitori e dei clienti, consolidando la reputazione dell’istituzione finanziaria e migliorando la sua posizione competitiva nel mercato.

Conclusione

Il Regolamento DORA assegna all’organo di gestione un ruolo chiave nella protezione del settore finanziario dalle minacce informatiche. Non si tratta solo di adempiere agli obblighi normativi, ma di sviluppare una strategia aziendale orientata alla sicurezza digitale e alla continuità operativa. Le istituzioni finanziarie devono quindi investire nella formazione dei propri dirigenti, adottare tecnologie avanzate e integrare la gestione del rischio ICT nelle decisioni strategiche aziendali. Solo attraverso un impegno costante e un approccio proattivo, le imprese potranno affrontare le sfide del futuro e garantire un sistema finanziario più sicuro e resiliente.

Se sei interessato ad approfondire queste tematiche allora iscriviti subito alla seconda edizione del Data Protection Forum: 06 giugno 2025 - Auditorium Fondazione Cassamarca - Treviso. Ingresso gratuito, posti limitati.

Beatrice Zamuner

Redazione LexTech Hub