Glossario · Regolamento finanziario UE DORA (Digital Operational Resilience Act)
Regolamento UE che stabilisce requisiti di resilienza operativa per le istituzioni finanziarie, in vigore da gennaio 2025.
## Cosa fa concretamente DORA
Il Digital Operational Resilience Act (Regolamento (UE) 2022/2554) stabilisce un quadro unificato per la resilienza operativa delle istituzioni finanziarie europee. Si applica dal 17 gennaio 2025, sostituendo un mosaico di linee guida settoriali con un regolamento intersettoriale completo.
DORA copre specificamente il rischio ICT (Tecnologie dell'informazione e della comunicazione) — l'intuizione fondamentale del regolamento è che la stabilità finanziaria dipenda sempre più dalla resilienza tecnologica tanto quanto dalla solidità finanziaria.
## A chi si applica DORA
DORA si applica praticamente a tutti i soggetti finanziari europei:
- Banche ed enti creditizi
- Imprese di investimento
- Istituti di pagamento e di moneta elettronica
- Imprese di assicurazione e riassicurazione
- Fondi pensione (IORP)
- Fornitori di servizi su cripto-attività
- Fornitori di servizi di crowdfunding
- Repertori di cartolarizzazioni
- Sedi di negoziazione, controparti centrali, depositari centrali di titoli
- Agenzie di rating del credito
- Società di revisione (per i loro clienti del settore finanziario)
Crea inoltre nuovi requisiti di sorveglianza per i **fornitori terzi critici di servizi ICT** — ovvero i principali cloud provider (AWS, Microsoft, Google) e altri fornitori tecnologici da cui dipendono le istituzioni finanziarie.
## I cinque pilastri di DORA
DORA stabilisce requisiti in cinque aree:
### 1. Gestione del rischio ICT
I soggetti finanziari devono attuare quadri completi di gestione del rischio che coprano identificazione, protezione, rilevazione, risposta, recupero e apprendimento continuo. Ciò include strutture di governance documentate, valutazioni regolari del rischio e una responsabilità esplicita a livello di consiglio.
### 2. Segnalazione degli incidenti
Gli incidenti ICT importanti devono essere segnalati alle autorità secondo modelli e tempistiche standardizzati. Anche le minacce cyber significative devono essere segnalate. Gli obblighi di segnalazione sono più stringenti rispetto al quadro generale della NIS2.
### 3. Test di resilienza operativa digitale
I soggetti finanziari devono condurre test regolari della propria resilienza operativa digitale:
- Valutazioni e scansioni delle vulnerabilità
- Valutazioni di sicurezza della rete
- Penetration test (almeno annuali)
- Per i soggetti significativi: **threat-led penetration testing (TLPT)** ogni tre anni
Il TLPT è la forma più impegnativa: i test devono simulare le capacità di attori di minaccia reali e sono condotti da fornitori certificati sotto supervisione del regolatore.
### 4. Gestione del rischio di terze parti
DORA introduce requisiti specifici per la gestione dei rischi derivanti dai fornitori di servizi ICT:
- Clausole contrattuali standardizzate richieste per l'esternalizzazione ICT
- Due diligence pre-contrattuale sui fornitori critici
- Monitoraggio del rischio di concentrazione (evitando dipendenza eccessiva da un singolo fornitore)
- Pianificazione di emergenza in caso di guasto del fornitore
### 5. Condivisione delle informazioni
I soggetti finanziari sono incoraggiati a condividere intelligence sulle minacce cyber tra di loro e con le autorità tramite accordi di condivisione delle informazioni affidabili.
## Perché DORA cambia le decisioni sui fornitori cloud
Il pilastro della gestione del rischio di terze parti incide specificamente sulle scelte di fornitori cloud e SaaS. DORA richiede:
**1. Fornitori terzi critici di servizi ICT sotto vigilanza regolatoria diretta.** I supervisori finanziari UE (ESMA, EBA, EIOPA) possono ora vigilare direttamente sui cloud provider che servono più istituzioni finanziarie. Ciò è senza precedenti — autorità regolatoria diretta sui fornitori tecnologici.
**2. Gestione del rischio di concentrazione.** Le istituzioni finanziarie non possono avere tutta l'infrastruttura critica su un unico cloud provider. Ciò spinge verso strategie multi-cloud, che spesso significano aggiungere provider residenti nell'UE accanto agli hyperscaler USA.
**3. Requisiti contrattuali.** DORA impone clausole specifiche nei contratti di esternalizzazione ICT. I termini standard dei provider USA in genere necessitano di modifiche per essere conformi.
**4. Considerazioni geografiche.** Sebbene DORA non richieda esplicitamente la residenza dei dati nell'UE, le aspettative di cooperazione regolatoria funzionano meglio con provider residenti nell'UE.
## Implicazioni pratiche per il fintech europeo
Per le istituzioni finanziarie europee nel 2026:
**Opzione 1: multi-cloud con primario UE.** Utilizzare Hetzner, Scaleway, OVHcloud o Open Telekom Cloud come infrastruttura primaria con un hyperscaler USA come secondario. Riduce il rischio di concentrazione e migliora la postura DORA.
**Opzione 2: cloud sovrano per carichi sensibili.** Open Telekom Cloud, T-Systems Sovereign Cloud o Cloud de Confiance francese per le applicazioni più sensibili. Hyperscaler USA per carichi meno sensibili.
**Opzione 3: negoziare termini conformi a DORA con i provider USA.** Possibile ma operativamente complesso. I principali provider USA hanno costruito offerte conformi a DORA, ma le clausole contrattuali specifiche richiedono comunque negoziazione.
Per le startup fintech europee, costruire fin dall'inizio su cloud residente nell'UE è operativamente più semplice rispetto al retrofitting della conformità. Anche il divario costo-prestazioni (Hetzner/Scaleway vs AWS) rende la scelta finanziariamente attraente.
## L'influenza più ampia di DORA
DORA stabilisce un modello regolatorio che probabilmente si estenderà oltre i servizi finanziari:
- **EU AI Act** utilizza concetti simili di sorveglianza sulle terze parti
- **NIS2** ha strutture parallele di segnalazione degli incidenti
- **Futuro EU Cyber Resilience Act** si basa sui concetti DORA di rischio di terze parti
Per i fornitori tecnologici europei che servono più settori regolamentati, dimostrare resilienza operativa in stile DORA sta diventando un fattore competitivo anche al di fuori dei servizi finanziari.
## Cosa porta il 2026
Il primo anno completo di applicazione di DORA (2025-2026) definirà le aspettative pratiche di conformità. Da monitorare:
- **Le prime grandi segnalazioni di incidenti** secondo i nuovi modelli DORA
- **Programmi di penetration testing** in espansione tra le istituzioni finanziarie europee
- **Designazioni di fornitori terzi critici di servizi ICT** da parte dei supervisori UE
- **Le prime azioni applicative** per non conformità
Per le aziende europee che servono istituzioni finanziarie come fornitori, la conformità a DORA sta diventando requisito imprescindibile per la procurement.
Ti è stato utile?
Grazie per il tuo feedback!