Il Digital Operational Resilience Act, noto come DORA, è un regolamento recente emanato dall'Unione Europea che incide profondamente sulla realtà operativa delle istituzioni finanziarie. Questo provvedimento introduce nuove responsabilità per i Chief Information Officer e i Chief Information Security Officer delle banche, assicurazioni e altri enti finanziari, con l’intento di potenziare la resilienza operativa digitale, elemento cruciale per affrontare le crescenti minacce informatiche e le interruzioni operative.
Indice dei contenuti
La rilevanza di DORA
Con DORA, l'Unione Europea va oltre le normali raccomandazioni e stabilisce un insieme di requisiti rigorosi e specifici. Questi ultimi riguardano vari ambiti dell’Information and Communication Technology applicati al settore finanziario. La gestione del rischio ICT deve ora essere un processo attivo e continuo, costringendo le organizzazioni a identificare, valutare, attenuare e monitorare costantemente le potenziali minacce tecnologiche. Non è più sufficiente effettuare una valutazione annuale; si tratta di un impegno quotidiano costante.
Un elemento cruciale del DORA è l’obbligo di segnalare incidenti significativi alle autorità competenti. Questa esigenza di trasparenza non solo vuole aumentare la responsabilità delle entità coinvolte, ma si prefigge di costruire un sistema di allerta precoce a livello europeo, migliorando la velocità e l’efficacia della risposta alle minacce emergenti.
La verifica della resilienza operativa digitale è un'altra componente fondamentale. DORA sollecita le aziende a realizzare test regolari per valutare la loro capacità di resistere a una serie di scenari difficili, che includono attacchi informatici, malfunzionamenti tecnici e altre situazioni critiche. Questa attività di testing riveste un'importanza significativa nel garantire che le organizzazioni possano sopravvivere anche di fronte a eventi avversi.
Inoltre, una gestione attenta del rischio collegato a terze parti rappresenta un aspetto fondamentale. Essendo molte istituzioni finanziarie dipendenti da fornitori esterni per servizi ICT cruciali, DORA richiede di monitorare e gestire attentamente i rischi associati a queste collaborazioni, assicurandosi che anche i fornitori rispettino elevati standard di sicurezza e resilienza.
Infine, DORA incoraggia la condivisione di informazioni sui pericoli informatici tra le entità finanziarie, creando una rete di conoscenze comuni che, pur nel rispetto delle normative sulla privacy, permette un aumento della consapevolezza e della preparazione collettiva del settore.
Il ruolo chiave di CIO e CISO
In un contesto così trasformativo, CIO e CISO rivestono un'importanza centrale. La loro interazione non è più optional, ma necessaria. Sono chiamati a collaborare per non solo rispettare le nuove normative ma anche per instaurare una vera e propria cultura della resilienza operativa digitale, che deve permeare ogni settore dell’organizzazione.
Le strategie più efficaci non si limitano a “adeguarsi” alla normative, ma puntano a trasformare l'obbligo in un'opportunità di crescita e sviluppo. Si nota, per esempio, un approccio integrato alla gestione del rischio ICT che si sta radicando in tutti i processi aziendali, rompendo la rappresentazione obsoleta della sicurezza informatica come un’area separata e isolata.
Alla base di questa evoluzione, l'innovazione tecnologica gioca un ruolo decisivo. Molte organizzazioni stanno investendo in soluzioni innovative, come intelligenza artificiale e machine learning, per automatizzare il riconoscimento e la risposta alle minacce, facilitando test di resilienza più precisi e mirati.
Ma allo stesso tempo, il progresso tecnologico richiede un'opportuna formazione e sensibilizzazione del personale. È essenziale che tutti i lavoratori, non solo quelli con un ruolo informatico, siano consapevoli dei rischi digitali e delle corrette pratiche da seguire. Collaborare con fornitori di servizi ICT è un aspetto da non sottovalutare. CIO e CISO devono lavorare fianco a fianco con i partner esterni per garantire che anche questi adottino standard di sicurezza in linea con le esigenze poste dal DORA.
Numerose aziende, infine, si stanno impegnando nell'organizzazione di simulazioni di crisi che coinvolgono tutti i livelli aziendali, testando così l'efficacia dei piani di risposta ad attacchi e migliorando la capacità di ripristinare l'operatività in caso di eventi avversi.
DORA come strumento strategico
Il DORA non si presenta solo come un peso burocratico; rappresenta invece una chance strategica per le aziende del settore finanziario. Investire nella resilienza operativa digitale non deve essere visto come un costo, bensì come un investimento nel futuro dell'impresa. Perché significa proteggere la reputazione e la fiducia dei clienti, beni indispensabili in un’epoca sempre più marcata dalla digitalizzazione e dall’interconnessione.
D’altro canto, implementare misure preventive è meno costoso rispetto a risolvere le conseguenze di un attacco informatico, sia sul piano economico sia per quanto concerne l’immagine. Un'infrastruttura ICT robusta e ben gestita può migliorare l’efficienza operativa generale, riducendo i colli di bottiglia e ottimizzando i processi interni.
Essere resilienti digitalmente può persino trasformarsi in un vantaggio in termini di competitività. Le aziende che riescono a dimostrare affidabilità e capacità nel garantire la continuità dei servizi potranno attrarre e fidelizzare un maggiore numero di clienti, distinguendosi nettamente rispetto ai concorrenti.
Situazione in Italia: una realtà complessa
L'Italia, come parte integrante dell'Unione Europea, sta attuando le disposizioni del DORA. Le autorità di vigilanza, tra cui Banca d’Italia e IVASS, svolgono un ruolo attivo nel fornire linee guida e supporto a tutte le aziende. Tuttavia, il panorama italiano presenta diversità significative. Alcune grandi istituzioni, come banche e assicurazioni, hanno avviato iniziative ambiziose per conformarsi al DORA, puntando su nuove tecnologie, conoscenze e ristrutturazioni processuali. Al contrario, realtà più piccole faticano a trovare la giusta strategia per affrontare queste sfide.
Uno dei principali ostacoli per le aziende italiane è la scarsità di professionisti nel settore della cybersecurity e della resilienza operativa digitale. La domanda per queste figure è nettamente superiore rispetto all'offerta, generando una vera e propria “guerra dei talenti”. Altro problema da affrontare è la complessità dei sistemi tecnologici. Molte aziende italiane sono ancora alle prese con infrastrutture ICT obsolete, il che rende difficile applicare le nuove misure di protezione e resilienza previste dal DORA.
In aggiunta, le limitazioni di budget rappresentano un ulteriore scoglio. Per le piccole e medie imprese, gli investimenti necessari per conformarsi al DORA potrebbero rivelarsi un ingente ostacolo.
La sfida di DORA è quindi duplice: richiede un adeguamento immediato rispetto a una nuova normativa da un lato, e dall’altro un’opportunità per ripensare e rinforzare l’intero sistema operativo delle entità finanziarie.
