Implementazione di DORA in Italia: nuova era per la resilienza cyber del settore finanziario

Article Thumbnail
cybersecurity | compliance | CSIRT | DORA | finance | regulation | resilience | incident reporting | Banca d'Italia | Consob | IVASS | COVIP | third-party risk | penetration testing | Virtual CISO

Implementazione di DORA in Italia: nuova era per la resilienza cyber del settore finanziario

03 Giugno 2025

Il Digital Operational Resilience Act (DORA), Regolamento UE 2022/2554, è ufficialmente entrato in vigore il 17 gennaio 2025. La norma stabilisce un quadro armonizzato per la resilienza digitale nel settore finanziario europeo, imponendo requisiti stringenti a banche, assicurazioni, istituti di pagamento, gestori patrimoniali e altri attori regolati.

Cosa prevede il Regolamento DORA

DORA introduce cinque aree principali di obbligo per gli operatori finanziari:

  • Gestione del rischio ICT: implementazione di framework strutturati e governance continua per i rischi tecnologici e informatici.
  • Reporting e risposta agli incidenti: obbligo di notifica degli incidenti significativi con tempistiche definite.
  • Test di resilienza: simulazioni regolari e avanzate (es. penetration test basati su intelligence) dei sistemi critici.
  • Gestione del rischio di terze parti ICT: obbligo di valutazione, monitoraggio e clausole contrattuali con fornitori esterni rilevanti (es. cloud provider).
  • Condivisione di informazioni: promozione di meccanismi volontari di threat intelligence tra operatori finanziari.

Attuazione in Italia: Decreto Legislativo n.23/2025

Per rendere DORA efficace anche a livello nazionale, il Consiglio dei Ministri ha approvato il Decreto Legislativo 23/2025, pubblicato in Gazzetta Ufficiale l'11 marzo 2025. Il decreto stabilisce le autorità competenti per l'attuazione e vigilanza:

  • Banca d'Italia per banche e intermediari finanziari
  • Consob per i mercati e le società quotate
  • IVASS per le assicurazioni
  • COVIP per i fondi pensione

Inoltre, è stato formalizzato l'obbligo di notifica degli incidenti cyber significativi al CSIRT Italia, che diventa snodo centrale nella risposta nazionale agli attacchi informatici nel comparto finanziario.

Supervisione e prossimi passi

La Banca d'Italia ha attivato un Forum di sorveglianza congiunto con le altre autorità per monitorare l'effettiva applicazione del regolamento e favorire un'interpretazione uniforme. Sono in corso consultazioni con il settore per la pubblicazione di linee guida operative che facilitino la conformità e minimizzino i gap cyber.

Altre iniziative prevedono l'integrazione dei controlli DORA nei processi ispettivi ordinari, e l'adeguamento dei piani di continuità e dei registri di terze parti critiche.

Implicazioni per le aziende finanziarie

Il messaggio dei regulator è chiaro: la resilienza operativa digitale è ora un requisito normativo primario, alla pari con i vincoli prudenziali e di capitale. Carenze nella sicurezza informatica, nella governance ICT o nella gestione dei fornitori digitali potranno comportare sanzioni, ammonimenti e restrizioni operative.

Per prepararsi, è essenziale attivare fin da ora un processo strutturato di conformità DORA, affidandosi a professionisti esperti in governance e resilienza cyber.

Approfondimenti e risorse

Contatta Aegister per supporto alla compliance e per costruire un framework cyber robusto ed evolutivo: scopri i nostri servizi di Virtual CISO.

Condividi questo articolo: