Analisi dei rischi DORA entro il 30 aprile 2025: indicazioni per banche e intermediari

HomeAnalisi dei rischi DORA entro il 30 aprile 2025: indicazioni per banche e intermediari

Analisi dei rischi DORA entro il 30 aprile 2025: indicazioni per banche e intermediari

da | Gen 14, 2025 | Diritto d'Impresa

Il Regolamento DORA (Digital Operational Resilience Act) rappresenta un punto di svolta per il settore finanziario europeo, introducendo un quadro normativo armonizzato per la gestione del rischio ICT e la resilienza operativa digitale. L’obiettivo principale della normativa è rafforzare la capacità delle entità finanziarie di prevenire, rilevare e rispondere a eventi che potrebbero compromettere la sicurezza dei dati e la continuità operativa. Per una sintesi delle disposizioni del Regolamento, rinviamo a un nostro precedente approfondimento.

La Banca d’Italia, attraverso la comunicazione pubblicata il 23 dicembre 2024, ha richiamato l’attenzione degli intermediari vigilati sull’importanza di conformarsi a tali disposizioni e di intraprendere un’accurata analisi dei rischi DORA, obbligatoria per tutti i soggetti destinatari. La comunicazione è destinata ai seguenti soggetti vigilati da Banca d’Italia: banche, imprese di investimento, gestori, istituti di pagamento, istituti di moneta elettronica, emittenti di token collegati ad attività, prestatori di servizi per le cripto-attività, fornitori di servizi di crowdfunding. Qui il testo della comunicazione.

Ricordiamo che a partire dal 17 gennaio 2025, il Regolamento DORA sarà pienamente applicabile, imponendo obblighi stringenti in materia di gestione dei rischi informatici e sicurezza delle tecnologie dell’informazione e della comunicazione (TIC).

La normativa si integra con il Regolamento attuativo UE 2024/1774, che disciplina in dettaglio le modalità di implementazione delle politiche e dei protocolli per il presidio del rischio ICT. In questo contesto, l’analisi dei rischi DORA assume un ruolo centrale per garantire non solo la conformità normativa, ma anche la resilienza complessiva del sistema finanziario, ormai sempre più esposto a minacce cibernetiche e vulnerabilità sistemiche.

La comunicazione della Banca d’Italia ha inoltre fissato al 30 aprile 2025 la scadenza per la trasmissione dell’autovalutazione da parte degli intermediari finanziari. Questo documento, che dovrà essere approvato dall’organo di amministrazione, rappresenta un passaggio essenziale per verificare che le politiche, i protocolli e le pratiche interne siano pienamente in linea con i requisiti stabiliti dal Regolamento DORA.

L’urgenza di predisporre tale autovalutazione impone agli intermediari una pianificazione immediata delle attività necessarie per adempiere agli obblighi previsti, assicurando che le misure adottate siano adeguate a prevenire, controllare e mitigare i rischi ICT.

Analisi dei rischi DORA: obblighi per gli intermediari vigilati

Il Regolamento DORA, insieme al Regolamento attuativo UE 2024/1774, stabilisce un quadro normativo dettagliato che vincola gli intermediari finanziari a implementare una gestione del rischio ICT organica e integrata.

La Comunicazione della Banca d’Italia pubblicata il 23 dicembre 2024 evidenzia come tali obblighi si articolino in una serie di requisiti stringenti, che impongono agli intermediari di adattare le loro politiche e procedure interne per fronteggiare le crescenti minacce alla sicurezza informatica. Al centro di questo quadro si colloca l’analisi dei rischi DORA, che rappresenta un presupposto fondamentale per assicurare la compliance a tale normativa.
Il Regolamento prevede che ogni intermediario adotti un sistema di gestione dei rischi ICT strutturato, che comprenda politiche e protocolli volti a prevenire, rilevare e mitigare le vulnerabilità cibernetiche.

In particolare, è richiesto che vengano implementati presidi efficaci per la protezione della confidenzialità, integrità e disponibilità dei dati. Tale sistema deve essere integrato con strumenti di monitoraggio continuo delle attività anomale, in modo da rilevare tempestivamente eventi che possano compromettere i servizi offerti.
La Banca d’Italia, richiamando le evidenze delle sue analisi di supervisione, sottolinea che gli incidenti cibernetici più frequenti sono causati da accessi non autorizzati e da inadeguatezze nei processi di modifica dei sistemi ICT, i quali richiedono un controllo particolarmente rigoroso.

Gli obblighi di compliance includono anche la necessità di adottare strategie specifiche per la gestione dei rischi derivanti da terze parti. I fornitori di servizi TIC rappresentano un punto critico per la sicurezza degli intermediari, e il Regolamento impone che i contratti con tali soggetti siano conformi a standard di sicurezza elevati.
Un ulteriore aspetto evidenziato nella Comunicazione della Banca d’Italia riguarda l’adattamento delle politiche interne degli intermediari. Queste devono essere allineate alle disposizioni del Regolamento DORA e del Regolamento attuativo UE 2024/1774, garantendo che ogni decisione strategica sia supportata da dati accurati e da un’analisi del rischio ben fondata.

La carenza di sistemi di aggregazione e reportistica dei dati sui rischi, come emerso dalle analisi di supervisione, può infatti compromettere la solidità del processo decisionale e minare la capacità dell’ente di fronteggiare le minacce informatiche.

Analisi dei rischi DORA: il ruolo dell’autovalutazione nella gestione dei rischi ICT

L’autovalutazione è uno step fondamentale nell’implementazione delle disposizioni previste dal Regolamento DORA e dal Regolamento attuativo UE 2024/1774. La Comunicazione della Banca d’Italia sottolinea la necessità che tutti gli intermediari vigilati, su base consolidata o individuale, conducano un’analisi approfondita della loro capacità di gestione dei rischi ICT, valutando in che misura le loro politiche e i loro protocolli siano conformi ai requisiti normativi.

Questo processo, che culmina con l’approvazione da parte dell’organo di amministrazione, non è solo un obbligo formale, ma uno strumento strategico per garantire la resilienza operativa e la continuità aziendale.

La analisi dei rischi DORA richiede agli intermediari di esaminare attentamente vari aspetti delle loro operazioni. Tra questi, le strategie di gestione del rischio di terza parte rivestono un ruolo prioritario. Gli intermediari devono valutare l’adeguatezza dei contratti stipulati con i fornitori di servizi TIC e verificare che le clausole contrattuali prevedano standard di sicurezza in linea con le disposizioni del Regolamento. Inoltre, è fondamentale che siano messe in atto misure di monitoraggio per garantire che i fornitori rispettino tali standard nel tempo.

Un’altra area critica riguarda i programmi di test di resilienza operativa digitale. Questi test, che devono essere svolti regolarmente, mirano a verificare la capacità dell’intermediario di affrontare incidenti operativi o cibernetici, prevenire la compromissione dei sistemi e proteggere la riservatezza dei dati. L’analisi dei rischi DORA richiede che tali test siano progettati in modo da coprire tutti gli aspetti operativi critici, compresi i processi interni, i sistemi TIC e le relazioni con i fornitori terzi.

La Banca d’Italia sottolinea, inoltre, l’importanza di un efficace ICT change management, in quanto i cambiamenti non adeguatamente gestiti rappresentano una delle principali cause di incidenti operativi. Gli intermediari devono quindi valutare che i propri processi di gestione delle modifiche siano coerenti con i requisiti del Regolamento DORA, includendo politiche specifiche, attribuzioni di responsabilità e meccanismi di controllo.

L’autovalutazione deve coinvolgere tutte le funzioni di controllo interne, sia di secondo che di terzo livello, garantendo un approccio trasversale alla gestione del rischio ICT.

Questo processo non solo consente agli intermediari di identificare eventuali lacune, ma offre anche l’opportunità di sviluppare un sistema di gestione dei rischi che sia proattivo e dinamico.

Analisi dei rischi DORA: impatti della normativa sulla governance aziendale

L’analisi dei rischi DORA non si limita a rafforzare la resilienza operativa degli intermediari finanziari, ma incide profondamente sulla loro governance aziendale. Il Regolamento DORA e il Regolamento delegato UE 2024/1774 attribuiscono agli organi di amministrazione un ruolo centrale nella gestione dei rischi ICT, imponendo loro di approvare e supervisionare le strategie, le politiche e le procedure necessarie per garantire la conformità normativa e la continuità operativa.

Questa responsabilità non è semplicemente tecnica, ma si estende a un livello strategico che coinvolge l’intero assetto decisionale dell’organizzazione.

La Comunicazione della Banca d’Italia evidenzia come gli organi di amministrazione siano chiamati a garantire un controllo efficace e a promuovere una cultura aziendale orientata alla gestione proattiva del rischio ICT. L’approvazione dell’autovalutazione, che rappresenta uno degli elementi cardine dell’analisi dei rischi DORA, richiede un coinvolgimento diretto delle funzioni apicali, che devono essere adeguatamente informate e formate sui requisiti della normativa. Questo passaggio implica non solo la validazione dei processi esistenti, ma anche la definizione di linee guida per affrontare le criticità emerse durante l’autovalutazione.

Un aspetto fondamentale è la responsabilità degli organi di governance nella gestione del rischio di terza parte, in particolare nei confronti dei fornitori di servizi TIC. Gli intermediari devono assicurarsi che le strategie di gestione delle terze parti siano integrate nel sistema di governance e che le relazioni contrattuali includano clausole specifiche per la sicurezza ICT.

Gli organi di amministrazione devono inoltre monitorare regolarmente l’operato dei fornitori, verificando che rispettino gli standard richiesti dal Regolamento DORA e adottando misure correttive in caso di non conformità.
L’analisi dei rischi DORA influenza anche la capacità degli organi di amministrazione di prendere decisioni basate su dati accurati e aggiornati. La capacità di aggregare e analizzare i dati sui rischi ICT, come evidenziato dalle indagini della Banca d’Italia, è essenziale per supportare il processo decisionale e garantire una gestione efficace dei rischi.

La mancata implementazione di sistemi adeguati per la raccolta e l’analisi dei dati può compromettere la solidità della governance e aumentare la vulnerabilità dell’organizzazione a incidenti operativi e cibernetici.

Infine, il Regolamento DORA richiede che gli organi di amministrazione adottino un approccio dinamico alla gestione del rischio, in grado di adattarsi alle continue evoluzioni del panorama tecnologico e normativo. Questo include la promozione di programmi di formazione interna, lo sviluppo di strumenti per il monitoraggio continuo dei rischi e la creazione di protocolli per la gestione delle crisi.

La governance aziendale, in questo contesto, diventa il fulcro attorno al quale ruota l’intera strategia di conformità al Regolamento DORA, garantendo non solo la protezione delle operazioni, ma anche la fiducia degli stakeholders.

Conclusioni: un approccio strategico per l’analisi dei rischi DORA

L’analisi dei rischi DORA rappresenta un passaggio obbligato per tutte le entità finanziarie soggette al Regolamento DORA. La scadenza del 30 aprile 2025 per la trasmissione dell’autovalutazione alla Banca d’Italia richiede un approccio strategico e tempestivo, orientato non solo a garantire la conformità normativa, ma anche a rafforzare la resilienza operativa e la sicurezza dell’intero sistema finanziario.

Gli obblighi imposti dalla normativa, che spaziano dalla gestione del rischio ICT all’implementazione di test di resilienza operativa digitale, evidenziano la necessità di una pianificazione accurata e di un coinvolgimento diretto degli organi di governance.

Il quadro normativo delineato dal Regolamento DORA impone agli intermediari di adottare misure che non solo prevengano e rilevino le minacce informatiche, ma che consentano anche di rispondere in modo efficace alle criticità. La gestione del rischio di terza parte, l’adattamento delle politiche interne e l’implementazione di sistemi di monitoraggio continuo sono solo alcune delle sfide che gli intermediari devono affrontare. Allo stesso tempo, l’autovalutazione rappresenta un’opportunità per individuare aree di miglioramento e per rafforzare la capacità dell’organizzazione di affrontare un panorama di rischi in continua evoluzione.

La governance aziendale svolge un ruolo fondamentale in questo contesto, fungendo da motore per la conformità e la resilienza nel quadro dell’analisi dei rischi DORA. Gli organi di amministrazione non solo devono approvare l’autovalutazione, ma anche guidare l’intera organizzazione verso l’adozione di un sistema di gestione dei rischi che sia dinamico e allineato alle evoluzioni tecnologiche e normative.

La capacità di adattarsi rapidamente e di anticipare le minacce rappresenta un vantaggio competitivo per le entità finanziarie che operano in un contesto sempre più digitalizzato e interconnesso.

In questo scenario complesso, lo Studio si rende disponibile per fornire chiarimenti e consulenza sulle strategie di conformità al Regolamento DORA e a organizzare percorsi di formazione specifici per gli apicali dell’intermediario o dei suoi fornitori.

ATM fuori servizio presso una banca, rappresentante la resilienza e la compliance nel settore finanziario in ambito DORA. Studio legale D'agostino Roma, esperti in consulenza legale.

Analisi dei rischi DORA nel settore finanziario. Studio legale D’agostino a Roma, con expertise specifica in ambito corporate compliance e cyber security.