Hai bisogno di un confronto con i nostri professionisti per inquadrare il tuo caso e valutare le opzioni migliori? Prenota una call conoscitiva: esaustiva, riservata e orientata al prossimo passo operativo.
DORA non chiede agli intermediari finanziari di essere sicuri. Chiede di dimostrarlo — con sistemi, processi e test documentati.
Affianchiamo banche, assicurazioni, intermediari finanziari e fornitori ICT nella costruzione dei sistemi di resilienza operativa digitale richiesti dal Regolamento DORA — dal framework di ICT risk management alla gestione degli incidenti, dal testing della resilienza operativa alla gestione del rischio ICT di terze parti, dalla governance alla compliance continuativa. Con una competenza che integra la dimensione normativa, organizzativa e tecnologica della resilienza operativa.
Il tuo sistema di resilienza operativa digitale è conforme a DORA?
Prenota una call conoscitiva con uno dei nostri professionisti per una prima valutazione gratuita del tuo stato di compliance DORA.
DORA è pienamente applicabile dal 17 gennaio 2025. Per molti intermediari, il percorso di adeguamento è ancora incompleto.
Scenario
Il Regolamento DORA — Digital Operational Resilience Act — introduce per il settore finanziario europeo un framework obbligatorio di gestione del rischio ICT e di resilienza operativa digitale. Non si tratta di linee guida: è un regolamento direttamente applicabile, con requisiti dettagliati su ICT risk management, gestione degli incidenti, testing della resilienza e gestione del rischio ICT dei fornitori terzi. Gli intermediari che non hanno completato il percorso di adeguamento sono esposti a sanzioni significative e a un rischio operativo non presidiato che le autorità di vigilanza stanno iniziando a verificare con attenzione crescente.
Il problema
Quando la resilienza operativa è gestita in modo frammentato
Ogni intermediario finanziario ha già sistemi di sicurezza ICT. La vera discriminante non è la loro esistenza, ma la loro conformità ai requisiti DORA: strutturati o frammentati. Troppo spesso la gestione del rischio ICT è distribuita tra funzioni diverse — IT, compliance, risk management — senza una governance integrata e senza i processi formalizzati che DORA richiede. Il risultato è prevedibile: sistemi che funzionano operativamente ma non soddisfano i requisiti normativi, incidenti non gestiti secondo le procedure DORA, fornitori ICT critici non monitorati. DORA richiede non solo che i sistemi siano sicuri — ma che sia dimostrabile che lo sono.
Il vantaggio
Il valore di un sistema di resilienza operativa strutturato
Un sistema di resilienza operativa conforme a DORA non è solo uno strumento di compliance — è una riduzione concreta del rischio operativo. Gli intermediari con un framework DORA ben strutturato rilevano gli incidenti prima, li gestiscono meglio, ripristinano l’operatività più rapidamente e presidiano i rischi dei fornitori ICT in modo sistematico. In un contesto in cui gli attacchi informatici al settore finanziario sono in crescita costante, la resilienza operativa è sempre più un fattore competitivo — non solo un requisito normativo.
Il perimetro
Dal risk management al testing: i cinque pilastri DORA
DORA si articola su cinque pilastri principali: ICT risk management, gestione degli incidenti ICT, testing della resilienza operativa digitale, gestione del rischio ICT di terze parti e scambio di informazioni. Ciascun pilastro ha requisiti specifici e dettagliati che richiedono interventi organizzativi, procedurali e tecnologici. Presidiare il perimetro DORA con competenza richiede professionisti che conoscono sia la normativa che le specificità operative del settore finanziario — e sanno costruire sistemi che funzionano nella realtà.
In un mondo in continua evoluzione, dove le normative cambiano e le sfide si moltiplicano, trasformiamo le diverse complessità in opportunità.
Con visione, competenza e strategia, ti affianchiamo per costruire certezze, tutelare il tuo business e aprire la strada ad una crescita sostenibile.
“DORA ha fatto qualcosa di molto preciso: ha trasformato la resilienza operativa digitale da best practice a obbligo normativo verificabile. Le autorità non chiedono più se avete sistemi sicuri — chiedono di vedere i framework, i test, i registri degli incidenti e i contratti con i fornitori ICT critici. La differenza tra chi è pronto e chi non lo è si vede nei documenti.”
Antonio Sibilia
Presidente Astralex
Dal framework ICT al testing della resilienza. Un presidio completo per ogni pilastro DORA.
Cosa facciamo
Ogni intervento parte da una gap analysis rispetto ai requisiti DORA specifici per il tipo di soggetto. Non applichiamo framework generici — costruiamo piani di adeguamento sulla situazione specifica di ogni intermediario. Perché i requisiti DORA variano significativamente in funzione della dimensione e della complessità del soggetto — con un principio di proporzionalità che deve essere applicato correttamente. Il nostro metodo inizia sempre dall’analisi, prima ancora che dalla documentazione.
1
DORA: perimetro e soggetti obbligati
DORA si applica a un perimetro molto ampio di soggetti del settore finanziario — banche, assicurazioni, intermediari di investimento, gestori di fondi, piattaforme di crowdfunding, CASP, istituti di pagamento, istituti di moneta elettronica, infrastrutture dei mercati finanziari. Include anche i fornitori terzi di servizi ICT critici per questi soggetti. La corretta identificazione del perimetro applicabile e dei requisiti proporzionati alla dimensione è il punto di partenza di qualsiasi percorso di compliance DORA.
Affianchiamo i soggetti nel processo di scoping DORA: identificazione del perimetro di applicazione, valutazione della proporzionalità dei requisiti in funzione della dimensione e della complessità, mappatura dei sistemi ICT critici e delle dipendenze dai fornitori, identificazione dei gap rispetto ai requisiti DORA, sviluppo del piano di adeguamento. Con una visione che considera sempre la specificità del soggetto e il principio di proporzionalità previsto dal Regolamento.
2
ICT risk management framework
Il framework di ICT risk management è il primo pilastro DORA — e il più strutturale. Richiede la costruzione di un sistema integrato di identificazione, valutazione e gestione del rischio ICT che copra tutte le funzioni e i processi dell'intermediario. I principali componenti e requisiti che presidiamo:
- Strategia di resilienza operativa digitale: obiettivi, principi, priorità
- Architettura ICT: mappatura dei sistemi, delle dipendenze e dei punti di vulnerabilità
- Politiche di sicurezza ICT: accesso, cifratura, gestione delle identità
- Gestione della continuità operativa ICT: piani di business continuity e disaster recovery
- Monitoraggio e rilevamento delle anomalie ICT: sistemi di detection e alerting
- Gestione delle patch e degli aggiornamenti: processi di vulnerability management
Per ciascun componente valutiamo la conformità ai requisiti DORA, identifichiamo i gap e strutturiamo i processi di adeguamento — con un piano di implementazione proporzionato alla dimensione e alla complessità del soggetto.
3
Gestione degli incidenti ICT e reporting
DORA introduce obblighi precisi sulla gestione degli incidenti ICT — dalla classificazione degli incidenti al processo di notifica alle autorità di vigilanza, dai requisiti di documentazione alla comunicazione ai clienti. La gestione degli incidenti non è più una questione operativa interna: è un processo normativo con scadenze e requisiti specifici.
Progettiamo sistemi di gestione degli incidenti ICT conformi a DORA: definizione dei criteri di classificazione degli incidenti in funzione della soglia DORA, strutturazione del processo di gestione e di escalation, definizione delle procedure di notifica alle autorità competenti — con i termini previsti dal Regolamento — progettazione dei meccanismi di comunicazione ai clienti, strutturazione del registro degli incidenti, definizione delle procedure di post-incident review. Con un sistema che funziona nella pratica operativa dell'intermediario — non solo sulla carta.
4
Resilienza operativa digitale e testing
Il testing della resilienza operativa digitale è uno dei pilastri più innovativi di DORA — e uno dei più complessi da implementare. Richiede un programma strutturato di test che verifichi periodicamente la capacità dell'intermediario di resistere, rispondere e riprendersi dagli incidenti ICT. I soggetti più significativi devono inoltre condurre test di penetrazione avanzati (TLPT — Threat-Led Penetration Testing).
Affianchiamo gli intermediari nella progettazione e nell'esecuzione del programma di testing DORA: definizione del programma annuale di test in funzione dei requisiti applicabili, strutturazione dei test di base — vulnerability assessment, penetration testing, scenario-based testing — supporto nella pianificazione dei TLPT per i soggetti significativi, gestione dei risultati dei test e delle remediation, documentazione del programma di testing per le autorità di vigilanza. Con una visione che integra la dimensione tecnica del testing con quella normativa.
5
Gestione del rischio ICT di terze parti
La gestione del rischio ICT di terze parti è il pilastro DORA con l'impatto più immediato sui rapporti contrattuali dell'intermediario — perché introduce requisiti specifici sui contratti con i fornitori ICT, sulle procedure di due diligence e sul monitoraggio continuativo. Molti intermediari devono rinegoziare i contratti con i propri fornitori ICT critici per renderli conformi ai requisiti DORA.
Affianchiamo gli intermediari nella gestione del rischio ICT di terze parti: identificazione e classificazione dei fornitori ICT critici e importanti, strutturazione delle procedure di due diligence pre-contrattuale, revisione e adeguamento dei contratti con i fornitori ICT ai requisiti DORA — clausole obbligatorie, diritti di audit, piani di uscita — progettazione del sistema di monitoraggio continuativo dei fornitori, gestione del registro delle dipendenze ICT. Con particolare attenzione ai fornitori cloud — che DORA monitora con particolare rigore.
6
Governance DORA e responsabilità degli organi sociali
DORA attribuisce agli organi di gestione — board e management — una responsabilità esplicita e personale nella supervisione del framework di ICT risk management. Non è più sufficiente delegare la gestione del rischio ICT alla funzione IT: il board deve approvare la strategia di resilienza operativa, supervisionarne l'implementazione e ricevere reportistica adeguata.
Progettiamo sistemi di governance DORA per gli organi sociali: strutturazione del ruolo del board nella supervisione del rischio ICT, definizione del reporting periodico agli organi di gestione, formazione degli organi sociali sui requisiti DORA e sulle proprie responsabilità, integrazione della governance DORA con il sistema di controllo interno esistente, strutturazione dei flussi informativi tra la funzione ICT e gli organi sociali. Con l'obiettivo di garantire che gli organi sociali esercitino davvero la supervisione che DORA richiede.
Tre fasi. Un'unica regia.
Nessun modello standard.
Il nostro metodo
Diagnosi
Partiamo sempre da una gap analysis strutturata rispetto ai requisiti DORA — identificando le aree di conformità e quelle di gap, con una prioritizzazione basata sul profilo di rischio e sulla proporzionalità applicabile al soggetto. Non da checklist generiche. Ogni intermediario ha una situazione specifica che determina un piano di adeguamento diverso.
Progettazione
Costruiamo il piano di adeguamento DORA su misura — con una sequenza di interventi proporzionata alla dimensione del soggetto, ai gap identificati e alle risorse disponibili. Il piano ottimale è quello che porta alla compliance DORA nel minor tempo possibile con il minor attrito operativo — non quello che implementa tutti i requisiti al massimo livello indipendentemente dalla proporzionalità.
Ogni piano viene condiviso con il management e gli organi sociali — con una valutazione realistica dei tempi, dei costi e delle priorità di intervento.
Presidio
Seguiamo l’implementazione del piano e manteniamo il sistema aggiornato al mutare degli orientamenti delle autorità di vigilanza — EBA, ESMA, EIOPA — e delle best practice di mercato. DORA è un regolamento relativamente nuovo il cui quadro interpretativo si sta ancora consolidando. Il nostro ruolo non finisce con la consegna del piano: continua finché il cliente ne ha bisogno.
Un solo interlocutore.
Tutta la complessità.
Per chi lavoriamo
La compliance DORA non si costruisce con un consulente IT che non conosce la normativa e un legale che non conosce i sistemi ICT. Si costruisce con un advisor che integra entrambe le dimensioni — e sa costruire framework di resilienza operativa che funzionano davvero nella realtà dell’intermediario. Lavoriamo con intermediari finanziari, CASP e fornitori ICT critici che vogliono una compliance DORA sostanziale.
Banche e intermediari finanziari
Chi opera nel settore bancario e finanziario regolamentato e deve adeguare il proprio framework di ICT risk management, i processi di gestione degli incidenti e il programma di testing ai requisiti DORA.
Assicurazioni e intermediari assicurativi
Chi opera nel settore assicurativo soggetto a DORA e deve costruire o adeguare il proprio sistema di resilienza operativa digitale — con particolare attenzione ai requisiti specifici per il settore assicurativo.
CASP e operatori crypto regolamentati
Chi ha ottenuto l'autorizzazione CASP ai sensi di MiCAR e deve rispettare i requisiti DORA applicabili ai prestatori di servizi su cripto-attività — integrando la compliance MiCA con quella DORA.
Fornitori ICT critici del settore finanziario
Chi fornisce servizi ICT a intermediari finanziari e rientra nel perimetro dei fornitori terzi critici di DORA — con obblighi specifici che includono la disponibilità a controlli e audit da parte delle autorità di vigilanza.
Intermediari con adeguamento DORA incompleto
Chi ha avviato il percorso di adeguamento DORA ma non lo ha completato — con gap significativi nei processi di gestione degli incidenti, nel testing della resilienza o nella gestione del rischio ICT di terze parti.
Domande Frequenti
Da quando è applicabile DORA e chi è soggetto?
DORA è pienamente applicabile dal 17 gennaio 2025. Si applica a un perimetro molto ampio di soggetti finanziari — banche, assicurazioni, SIM, SGR, SICAV, fondi pensione, istituti di pagamento, IMEL, CASP, piattaforme di crowdfunding, infrastrutture dei mercati finanziari e altri intermediari regolamentati. Include anche i fornitori terzi critici di servizi ICT per questi soggetti. Le PMI finanziarie beneficiano di un principio di proporzionalità che riduce alcuni requisiti.
Cosa si intende per "incidente ICT grave" ai sensi di DORA?
DORA classifica gli incidenti ICT in funzione di criteri quantitativi e qualitativi — numero di clienti coinvolti, durata dell'interruzione, entità delle perdite finanziarie, impatto reputazionale. Gli incidenti classificati come "gravi" devono essere notificati all'autorità competente — Banca d'Italia per le banche, IVASS per le assicurazioni — entro termini precisi: notifica iniziale entro 4 ore, report intermedio entro 72 ore, report finale entro un mese. La gestione dei termini di notifica è uno degli aspetti più critici della compliance DORA.
Cos'è il TLPT e chi deve condurlo?
Il Threat-Led Penetration Testing (TLPT) è un test avanzato di resilienza operativa — condotto da tester esterni qualificati, basato su scenari di attacco reali sviluppati con l'intelligence sulle minacce. DORA lo richiede per i soggetti significativi — identificati dalle autorità di vigilanza in base a criteri di dimensione e importanza sistemica. Il TLPT deve essere condotto ogni tre anni e coinvolge anche i fornitori ICT critici. È uno dei requisiti più complessi e costosi di DORA.
Quali requisiti devono avere i contratti con i fornitori ICT ai sensi di DORA?
DORA introduce un elenco di clausole obbligatorie per i contratti con i fornitori ICT critici e importanti — che includono: descrizione dettagliata dei servizi, livelli di servizio misurabili, diritti di audit e ispezione dell'intermediario e delle autorità di vigilanza, obblighi di notifica degli incidenti ICT del fornitore, piani di uscita e portabilità dei dati, obblighi di sicurezza ICT e di business continuity. Molti contratti esistenti devono essere rinegoziati per essere conformi.
Quali sono le sanzioni per il mancato adeguamento a DORA?
Le sanzioni per violazioni di DORA sono applicate dalle autorità nazionali competenti in funzione della gravità della violazione. Possono includere sanzioni amministrative pecuniarie significative, ordini di cessazione delle pratiche non conformi e, nei casi più gravi, misure interdittive. In Italia le autorità competenti sono Banca d'Italia, CONSOB e IVASS — ciascuna per i soggetti di propria competenza.
Parliamo del tuo stato di
compliance DORA.
Contattaci