Il Digital Operational Resilience Act (DORA) è un regolamento dell'Unione Europea in vigore dal 17 gennaio 2023. Sarà applicato a partire dal 17 gennaio 2025. La DORA fa parte di un pacchetto completo di digitalizzazione dell'UE e mira a rendere i mercati finanziari, in particolare, più resistenti alle crescenti minacce poste dagli attacchi informatici.
Contesto e necessità della DORA
Negli ultimi anni la digitalizzazione ha cambiato in modo significativo il settore finanziario. Banche, compagnie assicurative, fornitori di servizi di pagamento e altre istituzioni finanziarie si affidano sempre più alle tecnologie digitali per rendere i loro servizi più efficienti e a misura di cliente. Allo stesso tempo, però, queste tecnologie sono vulnerabili ai cyberattacchi, alle interruzioni tecniche e ad altri rischi operativi.
L'UE ha riconosciuto che la resilienza operativa del settore finanziario non è solo una sfida per le società stesse, ma può anche rappresentare una minaccia per la stabilità dell'intero sistema finanziario. Un grave guasto informatico o un attacco cibernetico a un importante istituto finanziario potrebbe portare a un'interruzione diffusa e scuotere la fiducia dei consumatori e del mercato.
La pandemia COVID-19 e il conseguente aumento degli attacchi informatici al settore finanziario hanno ulteriormente evidenziato questi rischi. In particolare, è emerso chiaramente che molte organizzazioni finanziarie sono ancora vulnerabili, nonostante abbiano adottato politiche di sicurezza informatica e piani di emergenza.
L'introduzione di un regolamento a livello europeo come il DORA era quindi necessaria per gestire meglio i rischi digitali e preparare il settore finanziario alle crisi legate all'IT.
Obiettivi del DORA
Gli obiettivi centrali del DORA sono
- Protezione contro gli attacchi informatici e le interruzioni IT:
Il DORA è stato concepito per garantire che le organizzazioni finanziarie siano in grado di identificare, valutare, gestire e mitigare efficacemente i rischi associati all'uso dei sistemi ICT. - Armonizzazione dei requisiti normativi:
Introducendo requisiti standardizzati per la resilienza digitale, l'UE intende garantire che non vi siano differenze normative tra gli Stati membri. Questo dovrebbe essere particolarmente vantaggioso per i fornitori di servizi finanziari transfrontalieri. - Miglioramento della collaborazione e del monitoraggio:
Il DORA obbliga gli istituti finanziari a coordinarsi meglio con le autorità competenti e con gli altri operatori del settore in caso di incidenti. - Impegno per sistemi ICT solidi:
Le aziende devono assicurarsi che i loro sistemi ICT siano sufficientemente robusti per mantenere le operazioni anche in caso di interruzioni informatiche o di attacchi informatici.
Queste aziende sono coperte dalla legge sulla resilienza operativa digitale.
La DORA si rivolge a un'ampia gamma di organizzazioni finanziarie e di fornitori di servizi ICT. Ai sensi dell'articolo 2 (1) del DORA, l'ambito di applicazione comprende
a) Istituti di credito CRR,
b) Istituti di pagamento,
c) Fornitori di servizi di informazione sul conto,
d) Istituti di moneta elettronica,
e) Imprese di investimento,
f) fornitori di servizi di criptovaluta autorizzati ai sensi del Regolamento del Parlamento europeo e del Consiglio sui mercati delle attività crittografiche (MiCAR) ed emittenti di token con valore di riferimento,
g) Deposito centrale di titoli,
h) controparti centrali,
i) Sedi di negoziazione,
j) deposito commerciale,
k) Gestori di fondi di investimento alternativi,
l) Società di gestione
m) Servizi di fornitura di dati,
n) Imprese di assicurazione e riassicurazione,
o) Intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi in attività secondaria,
p) Piani pensionistici aziendali,
q) Agenzie di rating,
r) Amministratori di valori critici di riferimento,
s) Fornitori di servizi di finanziamento degli sciami,
t) Registro delle cartolarizzazioni
u) Fornitore di servizi ICT
Poiché molte organizzazioni finanziarie si affidano a fornitori esterni di servizi ICT, la DORA sta esaminando anche i fornitori terzi. Questi fornitori di servizi devono soddisfare gli stessi requisiti di sicurezza e resilienza degli istituti finanziari stessi.
Ai sensi dell'articolo 2, paragrafo 3, della DORA, sono previste eccezioni per le seguenti società:
- Gestori di fondi di investimento alternativi ai sensi dell'articolo 3, paragrafo 2, della direttiva 2011/61/UE;
- Imprese di assicurazione e riassicurazione ai sensi dell'articolo 4 della direttiva 2009/138/CE;
- Enti di previdenza professionale che gestiscono schemi pensionistici con meno di 15 iscritti in totale;
- persone fisiche o giuridiche esentate ai sensi degli articoli 2 e 3 della direttiva 2014/65/UE;
- Intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi ausiliari che sono micro, piccole o medie imprese;
- Uffici di posta elettronica ai sensi dell'articolo 2, paragrafo 5, punto 3, della direttiva 2013/36/UE.
Elementi fondamentali del DORA
Il DORA comprende una serie di requisiti e misure specifiche che le istituzioni finanziarie devono attuare. Gli elementi più importanti includono
- Gestione del rischio ICT
Le istituzioni finanziarie devono disporre di un solido programma di gestione del rischio che affronti specificamente i rischi associati ai sistemi ICT. Ciò include, tra l'altro - Identificazione delle vulnerabilità e delle minacce nei sistemi ICT.
- Implementazione di misure di protezione per evitare o ridurre al minimo i rischi.
- Valutazione periodica dell'efficacia di queste misure.
- Dipendenza da fornitori terzi
Poiché molte istituzioni finanziarie acquistano servizi ICT da fornitori esterni, la dipendenza da fornitori terzi è una questione chiave nel DORA. Il regolamento stabilisce che anche i rischi associati ai fornitori terzi devono essere valutati e monitorati. Le società finanziarie devono assicurarsi che i loro fornitori di servizi esterni soddisfino gli stessi standard di sicurezza che rispettano loro stessi. - Piani di emergenza e continuità operativa
Un aspetto fondamentale della DORA è garantire la continuità operativa in caso di incidente informatico o di interruzione dell'attività IT. Gli istituti finanziari devono sviluppare piani di emergenza completi che tengano conto anche di scenari quali attacchi informatici, guasti tecnici o disastri naturali. Questi piani devono essere testati e aggiornati regolarmente. - Documentazione TIC e scambio di informazioni
Le istituzioni finanziarie devono documentare gli incidenti ICT e segnalarli alle autorità competenti. Una componente chiave del DORA è lo scambio di informazioni sulle minacce e sulle vulnerabilità. Questo dovrebbe aiutare l'intero settore ad armarsi meglio contro gli attacchi informatici. - Supervisione e sanzioni
Il DORA conferisce alle autorità di vigilanza competenti degli Stati membri dell'UE ampi poteri di monitoraggio e applicazione del regolamento. In caso di non conformità possono essere comminate pesanti ammende.
Suggerimento di lettura: Direttiva NIS 2 - Queste società sono interessate
Vantaggi e sfide del DORA per le aziende
Vantaggi di Dora sono:
- Maggiore sicurezza e resistenza:
L'introduzione di standard di sicurezza armonizzati rafforzerà la resilienza digitale del settore finanziario nell'UE. - Coerenza e chiarezza:
L'armonizzazione dei requisiti riduce il mosaico normativo e garantisce regole chiare in tutti gli Stati membri. - Protezione dei consumatori:
I clienti possono essere certi che i loro dati e le loro risorse sono più protetti, anche in tempi di crisi. - Maggiore stabilità del mercato:
Rendendo le istituzioni finanziarie più resistenti ai guasti informatici e ai cyberattacchi, DORA contribuisce alla stabilità dell'intero sistema finanziario.
Tuttavia, le aziende interessate devono anche raggiungere un accordo Le sfide luogo:
- Costi:
L'attuazione dei requisiti DORA può comportare costi considerevoli, soprattutto per le aziende più piccole che potrebbero non disporre delle risorse necessarie. - Dipendenza da fornitori terzi:
Il monitoraggio dei provider di terze parti può essere complesso e difficile, soprattutto quando sono coinvolti provider cloud globali come Amazon Web Services o Microsoft. - Complessità dei requisiti:
Il DORA richiede un elevato grado di implementazione tecnica e organizzativa, che può rappresentare una sfida per molte aziende.
Le autorità di vigilanza dell'UE sviluppano standard concreti per l'applicazione del DORA
Introducendo requisiti standardizzati per la gestione del rischio, la protezione dagli incidenti informatici e la cooperazione tra le parti interessate, il DORA mira a garantire che le società finanziarie e i loro sistemi ICT diventino più resistenti alle crescenti minacce digitali. Anche se l'attuazione può essere associata a sfide, il DORA dovrebbe contribuire ad aumentare la stabilità e la sicurezza del mercato finanziario nel lungo termine.
Le tre autorità di vigilanza europee - l'Autorità europea degli strumenti finanziari e dei mercati (ESMA), l'Autorità bancaria europea (EBA) e l'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) - stanno sviluppando congiuntamente standard tecnici di regolamentazione, standard di attuazione e linee guida per specificare ulteriormente l'applicazione del DORA in tutti i settori.
Fonte: Ordinanza sulla resilienza operativa digitale nel settore finanziario del 14 dicembre 2022