Prova la nostra piattaforma.
Home
/
Education
/
Legge sulla “Digital Operational Resilience Act” (DORA): rafforzamento della sicurezza informatica nel settore finanziario
...

Legge sulla “Digital Operational Resilience Act” (DORA): rafforzamento della sicurezza informatica nel settore finanziario

May 22, 2025
|
6
min read

Le minacce alla sicurezza informatica rappresentano un rischio crescente per il settore finanziario, con il potenziale di interrompere interi sistemi. ​Il Digital Operational Resilience Act (DORA) è un regolamento dell'Unione Europea finalizzato a rafforzare la resilienza operativa digitale del settore finanziario. Approvato il 14 dicembre 2022, è entrato in vigore il 17 gennaio 2023 e sarà applicabile a partire dal 17 gennaio 2025.

Contenuto

  • Cos'è DORA?
  • Obiettivi chiave di DORA
  • A chi si rivolge DORA?
  • Definizioni importanti in DORA
  • Aree centrali coperte da DORA
  • Sfide nell'implementazione di DORA
  • Misure che gli enti finanziari devono intraprendere

Cos'è DORA?

DORA è un regolamento dell'UE volto a rafforzare la resilienza operativa digitale del settore finanziario attraverso requisiti robusti di sicurezza informatica.

Fa parte del più ampio Pacchetto per la regolamentazione della finanza digitale, che comprende anche:

  • MiCA (regolamentazione dei mercati delle criptovalute)
  • Regime Pilota DLT (Regolamento sulle infrastrutture finanziarie basate su blockchain)

Cronologia di implementazione

  • Entrato in vigore: 16 gennaio 2023
  • Applicabile da: 17 gennaio 2025

Attualmente, quello dell’UE Direttiva sulle reti e sui sistemi informativi (direttiva NIS) fornisce un quadro generale di sicurezza informatica, Ma DORA è destinata a diventare la normativa primaria per la sicurezza digitale nel settore finanziario.

Obiettivi chiave di DORA

L'obiettivo principale di DORA è quello rafforzare la sicurezza operativa digitale e di razionalizzare ed espandere le norme esistenti in materia di cybersicurezza. DORA mira a:

  • Creare un quadro normativo unificato per la gestione dei rischi ICT nel settore finanziario dell'UE.​
  • Migliorare la protezione contro le minacce informatiche stabilendo linee guida chiare per la gestione dei rischi ICT.​
  • Standardizzare la segnalazione degli incidenti per garantire una risposta rapida alle violazioni della sicurezza informatica.​
  • Assicurare la stabilità finanziaria minimizzando le interruzioni causate da incidenti informatici.​
  • Rafforzare la supervisione normativa dei fornitori di servizi ICT critici per le istituzioni finanziarie.​

DORA aggiorna e consolida i Requisiti di gestione del rischio ICT (Information and Communication Technology) che erano precedentemente sparsi tra molteplici normative.

A chi si rivolge DORA?

DORA si applica a un'ampia gamma di entità finanziarie, tra cui:​

  • Banche e istituti di credito​
  • Imprese di investimento e fornitori di servizi di pagamento​
  • Fornitori di servizi di cripto-asset (CASP)​
  • Borse e piattaforme di trading​
  • Compagnie di assicurazione e riassicurazione​
  • Gestori di fondi e istituzioni pensionistiche​
  • Piattaforme di crowdfunding​
  • Agenzie di rating​
  • Fornitori terzi di servizi ICT (come cloud computing, analisi dei dati e sicurezza informatica)

Questo ampio ambito garantisce che tutte le entità finanziarie e i loro partner tecnologici seguano standard di sicurezza informatica rigorosi.​

Definizioni chiave in DORA

DORA introduce termini specifici per definire i rischi e la resilienza informatica:​

  • Resilienza operativa digitale: la capacità delle entità finanziarie di proteggere e mantenere i loro sistemi ICT, assicurando la continuità e la qualità dei servizi finanziari.​

  • Incidente legato all'ICT: qualsiasi evento imprevisto (malizioso o involontario) che interrompe la sicurezza della rete e influisce sulle operazioni finanziarie.​

  • Rischio ICT: qualsiasi potenziale problema (come guasto del sistema, attacco informatico, accesso non autorizzato o violazione della sicurezza) che potrebbe compromettere i servizi finanziari.​

  • Fornitore terzo di servizi ICT: qualsiasi azienda esterna che fornisce servizi digitali o di dati (come cloud computing, soluzioni di sicurezza informatica o archiviazione dei dati) considerati critici per le entità finanziarie secondo le normative DORA.​

Queste definizioni aiutano a creare norme giuridiche chiare per la sicurezza informatica negli istituti finanziari.

Aree principali coperte da DORA

DORA introduce cinque aree chiave di regolamentazione della sicurezza informatica:

1. Gestione del rischio ICT

le entità finanziarie devono sviluppare e mantenere una strategia dettagliata di sicurezza informatica, inclusi:​

  • Valutazioni regolari dei rischi per identificare le vulnerabilità di sicurezza.​
  • Sistemi di rilevamento degli incidenti per riconoscere tempestivamente le minacce informatiche.​
  • Piani di backup e recupero per garantire la continuità aziendale.​
  • Revisioni annuali della sicurezza per aggiornare politiche e procedure.​
  • Implementazione di principi di sicurezza fin dalla progettazione nei sistemi digitali.​
  • Formazione obbligatoria sulla sicurezza informatica per dipendenti e dirigenti.​

2. Segnalazione e risposta agli incidenti ICT

DORA richiede alle società finanziarie di:

  • Monitorare e documentare incidenti di sicurezza informatica.
  • Classificare gli incidenti in base alla gravità e all’impatto.
  • Segnalare le principali violazioni della sicurezza informatica alle autorità attraverso un sistema di segnalazione strutturato che include rapporti iniziali, intermedi e finali.​

3. Test di resilienza informatica

Tutte le istituzioni finanziarie devono testare le proprie difese di sicurezza informatica almeno una volta all’anno, tra cui:

  • Valutazioni della sicurezza della rete
  • Test di penetrazione (per le imprese di medie e grandi dimensioni, poiché le microimprese sono esentate da determinati obblighi)
  • Simulazioni basate su scenari per testare le risposte agli attacchi informatici

4. Gestione dei rischi ICT di terze parti

Poichè molte entita finanziare si affidano a fornitori terzi, DORA impone:

  • Valutazioni rigorose dei fornitori esterni di servizi ICT.
  • Contratti chiaramente definiti delineandone gli obblighi di sicurezza.
  • Strategie di blocco per evitare interruzioni se un fornitore di terze parti fallisce.
  • Supervisione delle regolamentazioni dei principali fornitori di servizi ICT.

5. Condivisione delle informazioni sulle minacce informatiche

DORA incoraggia, anche se DORA incoraggia, anche se non impone, le società finanziarie a farlo condividere l’intelligence sulla sicurezza informatica, tra cui:

  • Indicatori di minaccia e schemi di attacco
  • Vulnerabilità dei sistemi
  • Tattiche utilizzate da cybercriminali
  • Best practice per mitigare i rischi

Questa collaborazione tra aziende del settore mira a migliorare la risposta preventiva e reattiva agli attacchi, creando un ambiente più sicuro per l'intero ecosistema finanziario europeo.

Sfide nell'implementazione di DORA

L'introduzione di DORA comporta alcune criticità per le istituzioni finanziarie:

  • Eliminazione delle incoerenze normative: sarà necessario allineare DORA ad altri regolamenti esistenti come NIS2, GDPR e le linee guida EBA sulla gestione del rischio ICT.
  • Gestione della conformità transfrontaliera: le imprese che operano in più Paesi dell’UE dovranno adattare le proprie strategie di sicurezza informatica a un quadro normativo comune.
  • Aumento dei costi di conformità: adottare misure avanzate di sicurezza può comportare investimenti significativi, soprattutto per le PMI.
  • Carenza di competenze specializzate: molte entità finanziarie non

ostante queste sfide, l’implementazione di DORA è vista come un passo necessario per rafforzare la resilienza del settore finanziario contro le minacce digitali.

Passaggi chiave per prepararsi a DORA

Gli istituti finanziari dovrebbero:

  1. Aggiornare le policy di sicurezza informatica
    • Rivedere i framework esistenti per la gestione del rischio ICT
    • Rafforzare le strategie di risposta agli incidenti
    • Assicurarsi che tutte le linee guida DORA siano incorporate nelle procedure interne

  2. Condurre valutazioni regolari
    • Eseguire penetration test e audit di sicurezza annuali
    • Identificare vulnerabilità critiche nei sistemi ICT
  3. Gestire efficacemente i fornitori terzi
    • Valutare tutti i fornitori ICT
    • Aggiornare i contratti per includere gli obblighi richiesti da DORA
    • Sviluppare piani di emergenza in caso di fallimento di un fornitore esterno

  4. Implementare protocolli di segnalazione degli incidenti
    • Definire procedure chiare per la classificazione e la notifica degli incidenti
    • Stabilire piani di comunicazione verso autorità di regolamentazione e clienti

  5. Formare e sensibilizzare il personale
    • Offrire formazione obbligatoria sulla cybersecurity
    • Educare il personale al rilevamento delle minacce e alle best practice

Le società finanziarie devono garantire rispetto della DORA prima del Scadenza gennaio 2025.

Conclusione

DORA introduce un quadro normativo solido per rafforzare la resilienza digitale del settore finanziario europeo. Impone standard rigorosi per la gestione del rischio ICT, migliora la segnalazione degli incidenti e regola l’interazione con fornitori tecnologici terzi.

Anche se la sua implementazione comporta sfide organizzative, operative ed economiche, DORA rappresenta un’opportunità per aumentare la sicurezza, la trasparenza e la fiducia nel sistema finanziario digitale dell’UE. Con una preparazione adeguata, le istituzioni finanziarie potranno non solo rispettare le nuove normative, ma anche rafforzare la propria competitività in un panorama sempre più digitalizzato.

Pronto a mettere alla prova le tue conoscenze?

Fai un rapido quiz per vedere cosa hai imparato.

6 quiz

5 minuti

Inizia

Suggested topics

May 22, 2025
|
4
min read

Sicurezza online: proteggersi nel mondo digitale

Usa password sicure, 2FA, riconosci phishing e siti falsi.

May 22, 2025
|
4
min read

Truffe sugli investimenti: a cosa prestare attenzione?

Scopri come riconoscere ed evitare le truffe sugli investimenti più comuni e le tattiche di frode.

May 22, 2025
|
6
min read

Travel Rule: obblighi per le criptovalute nell’UE

Scopri come la Travel Rule impatta le transazioni in criptovalute

Trustpilot

YouHodler è regolamentato in Svizzera, in UE e in Argentina.

YouHodler SA
la Società è regolamentata come intermediario finanziario

__wf_reserved_heredar

YouHodler Italy S.R.L.
VASP registered at OAM / MICAR

__wf_reserved_heredar

YouHodler SA
Registrata come VASP presso la Banco de España

YouHodler SA Filiale in Argentina.
Registrata come VASP presso la CNV.