Il Regolamento DORA (Digital Operational Resilience Act) rappresenta l’atto con cui l’Unione Europea ha voluto irrobustire la sicurezza e la stabilità ICT del settore finanziario. Avendo un ambito soggettivo molto ampio, applicandosi alle imprese finanziarie e, indirettamente, alle imprese che forniscono alle prime servizi ICT, il Regolamento DORA rappresenta di fatto la sfida più grande degli ultimi anni per il mondo bancario e finanziario.
Che cos’è il Regolamento DORA e perché è importante
Il Regolamento DORA è stato promulgato in ragione delle crescenti minacce alla sicurezza IT e in risposta alla dipendenza sempre più marcata delle istituzioni finanziarie nell’utilizzo dalle tecnologie digitali.
Gli obiettivi chiave del DORA includono la standardizzazione delle pratiche di gestione del rischio ICT e la promozione della cooperazione tra le autorità di vigilanza sia con le istituzioni finanziarie sia con i fornitori di servizi ICT, in particolar modo per quelli definiti critici. Il Regolamento stabilisce requisiti rigorosi per la gestione del rischio, imponendo alle istituzioni di implementare misure di sicurezza robuste testando regolarmente la loro resilienza operativa.
Impatti del Regolamento DORA sul settore finanziario
Il Regolamento DORA avrà un impatto significativo su banche e istituzioni finanziarie, richiedendo loro di rivedere e rafforzare le loro pratiche di gestione del rischio ICT nonché le loro disposizioni interne. Il legislatore europeo, considerato anche il crescente grado di “subordinazione” degli intermediari nei confronti dei fornitori di servizi ICT, ha chiesto alle entità finanziarie uno sforzo organizzativo (ed economico) al fine di tutelare in primis gli utenti dei servizi finanziari e in secundis le stesse entità.
Gli obblighi chiave introdotti da DORA per le entità finanziarie riguardano in particolare:
- il rispetto di specifici requisiti di governance, accentrando le responsabilità ICT in capo all’organo direttivo e la gestione dei rischi ICT, proveniente anche dai prestatori di servizi, in capo a specifiche funzioni di controllo delle entità;
- il dotarsi di meccanismi in grado di assicurare l’individuazione, la protezione e la risposta ai rischi e gli incidenti ICT, obbligando indirettamente i fornitori di servizi ICT al rigoroso rispetto dei canoni in materia di cybersecurity;
- la predisposizione di accordi con i fornitori di servizi ICT in linea con le clausole standard previste dalle disposizioni regolamentari.
Per garantire la conformità al Regolamento, sarà essenziale perciò sviluppare una cultura aziendale incentrata sulla sicurezza, in cui tutti i dipendenti (sia degli enti che dei prestatori di servizi) comprendano l’importanza della resilienza digitale e siano equipaggiati per contribuire alla protezione delle organizzazioni. Tale evoluzione non potrà poi non riguardare la previsione, da parte delle entità finanziarie, di un solido framework documentale e procedurale in grado di rispondere alle esigenze poste dalla normativa.
La sfida per gli operatori finanziari
Tuttavia, come premesso, il Regolamento DORA è anche una sifda di non poco conto per gli attori finanziari. Innanzitutto, una difficolta è rappresentata dalla necessità di integrare nuovi processi e strumenti all’interno di quelli già esistenti, ovvero di prevederne di nuovi. Tutto ciò senza interrompere le operazioni quotidiane; in tal senso, il bilanciamento dell’esigenza di conformità e la necessità di mantenere l’efficienza operativa, richiederà un’attenta pianificazione e gestione dei cambiamenti.
Oltre alle difficoltà operative di implementazione delle nuove disposizioni all’interno dei contesti aziendali, un’altra sfida è rappresentata dalla gestione dei rapporti con i fornitori di servizi ICT, specialmente per quei fornitori critici. Tra questi soggetti troviamo ad esempio quelli che presentano un grado elevato di concentrazione tale da poter causare un impatto sistemico sui servizi finanziari, nel caso di un’interruzione dei servizi ICT prestati.
Inoltre, in questo momento storico, essendo notevole la differenza in termini economici tra i prestatori di servizi ICT globali e le entità finanziarie europee (anche di grandi dimensioni), la regolamentazione del rapporto da parte di queste ultime diviene molto delicata e complessa.
Per ovviare a queste problematiche, le Autorità di Vigilanza Europee (AEV) stanno compiendo ogni sforzo utile, avendo avviato un’intensa attività di sorveglianza nei confronti di tali fornitori critici – il più delle volte questi non appartengono a giurisdizioni europee rendendo più difficile la ricognizione delle informazioni anche da parte delle stesse Autorità.
Focus sulle opportunità strategiche
Se guardiamo ai dati (tendenziali), si rileva che l’Italia spende in cybersecurity circa lo 0,12% del PIL (fonte: Osservatori Digital Innovation), molto meno rispetto a stati come USA (che spende lo 0,3 del proprio PIL).
In generale, sul piano nazionale, emerge quindi uno scarso interesse nel settore della gestione dei rischi ICT. Tuttavia, sebbene il DORA presenti numerose sfide, lo stesso offre anche opportunità strategiche per le istituzioni finanziarie, e per tale motivo si ritiene che l’investimento nella gestione dei rischi ICT da parte di queste ultime potrebbe trainare positivamente il dato sopra riportato. In altre parole, con il progredire dei processi di adeguamento al Regolamento, cybersecurity e gestione dei rischi ICT diverranno punti nodali delle strategie (non solo) aziendali.
Una sana, corretta nonché più ampia gestione dei rischi informatici permetterà, infatti, alle istituzioni finanziarie di migliorare la loro reputazione e di guadagnare la fiducia dei clienti. Pertanto, si suppone che l’investimento in pratiche di sicurezza innovative porterà ad un vantaggio competitivo, rendendo gli enti più resilienti e capaci di affrontare le sfide future.
In altre parole, adottando un approccio proattivo alla resilienza operativa digitale, passando da un’ottica di information security a quella di cybersecurity, le entità finanziarie possono non solo proteggersi meglio dalle minacce ICT incombenti, ma anche migliorare l’efficienza operativa e stimolare l’innovazione.
Implicazioni a lungo termine del Regolamento DORA
Trasformando il panorama finanziario, promuovendo un maggiore controllo dei fornitori di servizi ICT e una maggiore collaborazione tra gli enti e le autorità di vigilanza, il Regolamento DORA offre un ventaglio di opportunità significative per le imprese del settore finanziario.
Il miglioramento complessivo delle operazioni e dei servizi offerti dalle entità finanziarie in campo ICT potrebbe a tutti gli effetti stabilire nuovi standard di mercato, influenzando positivamente l’intero settore finanziario globale. Non a caso spesso si parla del c.d. Brussels effect delle disposizioni europee che da un lato sconfinano dal perimetro del SEE, applicandosi anche ad attori globali, e dall’altro ispirano legislatori esteri all’adozione di norme similari (si veda il caso del Regolamento europeo sulla protezione dei dati personali).
In definitiva, il Regolamento DORA rappresenta un passo fondamentale verso un ecosistema finanziario più sicuro e robusto, capace di sostenere le esigenze di un mondo sempre più digitale e interconnesso. Le istituzioni che abbracceranno rapidamente il cambiamento e investiranno di più nella resilienza operativa saranno meglio posizionate per prosperare in un ambiente in continua evoluzione.
