Il regolamento DORA, Digital Operational Resilience Act (formalmente Regolamento (UE) 2022/2554), è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022 ed è entrato in vigore il 16 gennaio 2023, con applicazione obbligatoria a partire dal 17 gennaio 2025.

Si inserisce in un contesto cyber in cui, nel 2025, gli attacchi informatici al settore finanziario globale sono più che raddoppiati rispetto all’anno precedente: da 864 a 1.858 incidenti, con un incremento del 114,8% secondo la ricerca Exposure Management Research di Check Point.

L’Europa è l’area geografica con la più alta concentrazione di attacchi DDoS al mondo contro banche, sistemi di pagamento e portali finanziari, con campagne sempre più legate a tensioni geopolitiche e hacktivismo.

L’Italia, in questo quadro, si colloca al settimo posto tra i Paesi europei più colpiti. Eppure, in mezzo a questo scenario preoccupante, emerge un segnale positivo e significativo: secondo il Rapporto Clusit 2025, per la prima volta dopo un quinquennio di crescita ininterrotta, nel 2024 gli attacchi al settore finanziario e assicurativo sono calati del 16%.

I ricercatori di Clusit attribuiscono esplicitamente questo risultato all’effetto della nuova regolamentazione sulla resilienza operativa digitale e, in particolare, proprio a DORA.

Il Rapporto Clusit 2026, presentato a marzo 2026, ha confermato la tenuta del settore: il comparto finanziario e assicurativo si attesta al 6,3% degli incidenti globali, mostrando segnali di resistenza rispetto agli altri comparti, proprio grazie all’impatto di DORA e agli investimenti in sicurezza che la norma ha imposto.

La morale è chiara: la norma funziona. Ma solo per chi si è adeguato davvero.

Inquadramento normativo: gli obiettivi chiave del Digital Operational Resilience Act

Il DORA nasce all’interno del pacchetto di finanza digitale della Commissione Europea, lo stesso quadro che comprende anche il regolamento MiCA sulle criptoattività e la revisione della PSD2.

L’obiettivo fondamentale di DORA è garantire che tutte le entità finanziarie operanti nel mercato unico europeo siano in grado di resistere, rispondere e riprendersi da qualsiasi tipo di perturbazione o minaccia legata alle tecnologie dell’informazione e della comunicazione (ICT).

Prima dell’entrata in vigore di DORA, la resilienza operativa digitale era disciplinata in modo frammentato: ogni Stato membro aveva le proprie linee guida, spesso non coordinate tra loro, con il risultato di una difformità normativa che costituiva essa stessa un rischio sistemico.

Con DORA, la Commissione ha scelto lo strumento del regolamento direttamente applicabile in tutti gli Stati membri, senza necessità di recepimento, proprio per garantire uniformità.

Il testo si articola in nove capi e 64 articoli, integrati da una serie di norme tecniche di regolamentazione (RTS) e norme tecniche di attuazione (ITS) elaborate congiuntamente dalle Autorità europee di vigilanza: EBA (Autorità bancaria europea), ESMA (Autorità europea degli strumenti finanziari e dei mercati) ed EIOPA (Autorità europea delle assicurazioni e delle pensioni aziendali e professionali).

A chi si applica il regolamento DORA: l’ambito di applicazione

Chi deve preoccuparsi di DORA? La risposta è: molti più soggetti di quanto si pensi.

Il regolamento adotta un approccio volutamente ampio, che copre l’intero ecosistema finanziario digitale europeo.

Le entità finanziarie tradizionali coinvolte

Il cuore dell’ambito soggettivo di DORA riguarda le entità finanziarie regolamentate. Vi rientrano:

• gli enti creditizi (banche e istituti di credito),
• gli istituti di pagamento,
• gli istituti di moneta elettronica,
• le imprese di investimento,
• i gestori di fondi di investimento alternativi e le società di gestione UCITS,
• le imprese di assicurazione e riassicurazione,
• i gestori di infrastrutture di mercato (come le sedi di negoziazione e le controparti centrali),
• i repertori di dati sulle negoziazioni,
• i fornitori di servizi di comunicazione dati.

Il regolamento prevede tuttavia un principio di proporzionalità: le microimprese, definite come entità con meno di 10 dipendenti e un fatturato annuo inferiore a 2 milioni di euro, beneficiano di un regime semplificato, con obblighi ridotti rispetto alle organizzazioni di maggiori dimensioni.

Questo non significa esenzione totale: anche le realtà più piccole devono conformarsi ai requisiti di base in materia di gestione del rischio ICT.

Fornitori di servizi ICT di terze parti: le responsabilità aggiuntive

Una delle novità più rilevanti di DORA riguarda l’estensione degli obblighi ai fornitori ICT di terze parti, inclusi i provider di servizi cloud.

Tradizionalmente, la responsabilità normativa si fermava alla porta dell’entità finanziaria: ciò che accadeva nella catena di fornitura tecnologica era, in larga misura, fuori dal perimetro regolatorio diretto.

DORA rompe questo paradigma.

I fornitori ICT che erogano servizi a entità finanziarie europee sono tenuti a rispettare specifici requisiti contrattuali e operativi, che devono essere esplicitamente previsti nei contratti di outsourcing.

Per i fornitori ICT considerati critici, identificati dalla Commissione Europea su proposta delle Autorità europee di vigilanza, è previsto un regime ancora più stringente: questi soggetti saranno soggetti a una supervisione diretta da parte delle autorità europee, indipendentemente dal Paese in cui hanno sede.

Un elemento particolarmente rilevante per i grandi cloud provider internazionali che operano nel mercato europeo.

I cinque pilastri del DORA: i requisiti per la resilienza operativa

Il cuore tecnico di DORA è organizzato attorno a cinque aree tematiche fondamentali, che il regolamento stesso definisce come i pilastri della resilienza operativa digitale.

Ognuno di essi introduce requisiti specifici, con diversi livelli di dettaglio tecnico che vengono definiti nelle norme tecniche di secondo livello.

Gestione del rischio ICT: framework e governance

Il primo e più pervasivo pilastro riguarda la gestione del rischio ICT. DORA richiede che ogni entità finanziaria disponga di un framework di gestione del rischio ICT solido, documentato e integrato nel sistema di governance complessivo dell’organizzazione.

Non si tratta di un documento da riporre in un cassetto: il framework deve essere operativo, aggiornato e sottoposto a revisione periodica.

Sul piano della governance, DORA assegna una responsabilità diretta agli organi di gestione (il consiglio di amministrazione o l’equivalente organo esecutivo). I vertici aziendali devono approvare la strategia di resilienza digitale, partecipare attivamente alla sua supervisione e rispondere delle carenze.

Questo rappresenta un cambiamento culturale significativo: la cyber security non è più solo una questione tecnica delegata al reparto IT, ma una priorità strategica di board.

Dal punto di vista tecnico, il framework deve comprendere:

• l’identificazione e la classificazione degli asset ICT critici;
• l’analisi e la valutazione del rischio;
• le misure di protezione e prevenzione;
• i meccanismi di rilevamento delle anomalie;
• i piani di risposta e ripristino;
• le politiche di apprendimento post-incidente.

È richiesta anche la definizione di una politica di backup e ripristino che garantisca la continuità operativa anche in scenari di crisi severa.

Segnalazione degli incidenti ICT e obblighi di comunicazione

Il secondo pilastro disciplina la gestione e la segnalazione degli incidenti ICT. DORA introduce un regime armonizzato a livello europeo che impone alle entità finanziarie di classificare gli incidenti ICT secondo criteri definiti e di segnalarli alle autorità competenti entro tempistiche precise.

Il processo di notifica si articola in tre fasi:

1. una notifica iniziale (entro 4 ore dall’identificazione di un incidente classificato come grave);
2. un report intermedio;
3. una relazione finale completa.

Gli incidenti vengono classificati come gravi sulla base di criteri come il numero di utenti impattati, la durata dell’interruzione del servizio, la portata geografica dell’impatto e le perdite economiche potenziali.

Le autorità che ricevono le segnalazioni le trasmettono alle Autorità europee di vigilanza, creando un sistema di monitoraggio centralizzato a livello comunitario.

Una novità di rilievo è l’obbligo di notifica alle autorità anche per le minacce cyber significative, prima ancora che si concretizzino in incidenti veri e propri. Questo approccio proattivo mira a consentire alle autorità di intervenire e di allertare altri operatori del settore in modo tempestivo.

Test di resilienza operativa digitale: cosa e come testare

Il terzo pilastro è uno dei più innovativi: DORA impone un programma strutturato di test della resilienza operativa digitale. Non è sufficiente avere policy e procedure ben scritte, occorre dimostrare, attraverso test concreti, che i sistemi reggono sotto pressione.

Il regolamento distingue tra due livelli di test.

Il primo livello comprende attività di testing di base che tutte le entità finanziarie devono eseguire regolarmente: vulnerability assessment, penetration test, analisi della rete, test di disaster recovery.

Il secondo livello, riservato alle entità finanziarie di maggiore importanza sistemica, prevede i cosiddetti test di penetrazione guidati dalla threat intelligence (TLPT, Threat-Led Penetration Testing), una metodologia avanzata che simula attacchi realistici basati sull’analisi delle minacce attuali al settore.

I TLPT devono essere eseguiti almeno ogni tre anni da tester indipendenti, interni o esterni, con il coinvolgimento diretto dei sistemi produttivi. Il framework di riferimento è TIBER-EU (Threat Intelligence-Based Ethical Red-Teaming), sviluppato dalla Banca Centrale Europea, che DORA adotta come standard di fatto.

I risultati dei test devono essere comunicati alle autorità competenti e le vulnerabilità identificate devono essere colmate entro termini definiti.

Gestione del rischio di terze parti: controllo sui fornitori critici

Il quarto pilastro affronta in modo sistematico il rischio derivante dall’outsourcing tecnologico e dai fornitori ICT di terze parti. Come già anticipato, DORA introduce requisiti contrattuali minimi che devono essere presenti in tutti gli accordi con fornitori ICT che supportano funzioni critiche o importanti.

I contratti con i fornitori ICT devono includere, come requisito minimo:

• la descrizione dettagliata dei servizi erogati;
• gli SLA (Service Level Agreement) con metriche misurabili;
• le clausole relative alla sicurezza delle informazioni;
• i diritti di audit e ispezione da parte dell’entità finanziaria e delle autorità;
• le procedure di gestione degli incidenti;
• i termini relativi alla portabilità dei dati e all’exit strategy.

Questo ultimo punto è particolarmente rilevante: DORA impone che le organizzazioni abbiano sempre una strategia di uscita praticabile, per evitare situazioni di lock-in con fornitori che potrebbero diventare un punto di vulnerabilità sistemica.

Le entità finanziarie devono tenere un registro aggiornato di tutti i contratti con fornitori ICT, classificandoli per rilevanza.

Per i fornitori ICT critici (un elenco che verrà pubblicato e aggiornato dalle autorità europee, ndr) è prevista una supervisione diretta esercitata da un Lead Overseer, designato tra le tre Autorità europee di vigilanza.

Condivisione delle informazioni e misure di protezione dei dati

Il quinto pilastro introduce un elemento relativamente nuovo nel panorama regolatorio finanziario europeo: la condivisione delle informazioni sulle minacce cyber tra entità finanziarie.

DORA incoraggia, senza renderla obbligatoria, la partecipazione a meccanismi di scambio di intelligence sulle minacce, nella convinzione che la resilienza del sistema sia un bene collettivo.

Le entità che scelgono di partecipare a tali iniziative devono farlo nel rispetto della normativa sulla protezione dei dati (GDPR) e della riservatezza commerciale. Le informazioni condivise possono riguardare indicatori di compromissione (IoC), tattiche, tecniche e procedure (TTP) usate dagli attaccanti, nonché best practice difensive.

L’obiettivo è creare un ecosistema di sicurezza più maturo, in cui la conoscenza delle minacce non rimanga circoscritto (siloed) all’interno delle singole organizzazioni.

Le scadenze e l’entrata in vigore del regolamento DORA

Sul piano temporale, DORA si è inserito in un percorso di adeguamento relativamente lungo, che ha concesso alle organizzazioni il tempo necessario per implementare le misure richieste.

Il regolamento è entrato in vigore il 16 gennaio 2023, ma il termine ultimo per la conformità è stato fissato al 17 gennaio 2025: due anni di transizione per adeguarsi a un insieme di requisiti sostanzialmente nuovo.

Parallelamente alla fase di adeguamento delle entità soggette, le Autorità europee di vigilanza hanno lavorato allo sviluppo delle norme tecniche di secondo livello. Le principali RTS e ITS previste da DORA (che coprono aree come la classificazione degli incidenti, i requisiti contrattuali per i fornitori ICT, il framework dei test TLPT) sono state finalizzate e pubblicate nel corso del 2024, completando il quadro normativo operativo.

Per le organizzazioni che si trovino ancora in fase di adeguamento, è fondamentale avere un piano di conformità strutturato che copra almeno le seguenti aree prioritarie:

• gap analysis rispetto ai requisiti DORA;
• definizione del framework di gestione del rischio ICT;
• revisione e aggiornamento dei contratti con i fornitori ICT;
• implementazione del programma di test;
• definizione delle procedure di notifica degli incidenti.

Non è realistico né consigliabile approcciare l’adeguamento a DORA come a un progetto una tantum: si tratta di un cambiamento strutturale nel modo in cui le organizzazioni gestiscono il rischio digitale.

Quali sanzioni sono previste per la mancata conformità

Le conseguenze della mancata conformità a DORA non sono trascurabili. Il regolamento prevede un regime sanzionatorio a due livelli: uno applicabile alle entità finanziarie, l’altro specificamente pensato per i fornitori ICT critici sottoposti a supervisione diretta.

Per le entità finanziarie, le sanzioni sono di competenza delle autorità nazionali competenti di ciascuno Stato membro, che le applicano in base ai principi di effettività, proporzionalità e deterrenza.

DORA non fissa direttamente importi monetari per le sanzioni alle entità finanziarie (a differenza, ad esempio, del GDPR), ma rimanda ai framework sanzionatori già esistenti nelle direttive settoriali come CRD IV, MiFID II o Solvency II, integrando i poteri delle autorità di vigilanza in materia ICT.

Per i fornitori ICT critici, invece, DORA introduce direttamente un regime sanzionatorio specifico. Il Lead Overseer (l’autorità di vigilanza europea: EBA, ESMA o EIOPA) può imporre sanzioni pecuniarie fino all’1% del fatturato giornaliero medio mondiale del fornitore, calcolato sull’esercizio precedente.

Questa sanzione può essere applicata su base giornaliera per un massimo di sei mesi, fino a quando il fornitore non abbia posto rimedio alle non conformità. Una misura potenzialmente molto onerosa per i grandi player tecnologici internazionali che erogano servizi critici al sistema finanziario europeo.

Al di là degli aspetti sanzionatori in senso stretto, la mancata conformità a DORA espone le organizzazioni a rischi reputazionali significativi, a perdita di fiducia da parte di clienti e partner e, in caso di incidente grave, a una vigilanza intensificata da parte delle autorità.

In un settore come quello finanziario, dove la fiducia è un asset fondamentale, queste conseguenze possono essere più pesanti delle sanzioni economiche.

DORA non è semplicemente un altro adempimento normativo: è la risposta sistemica dell’Europa alla crescente dipendenza del settore finanziario dalle infrastrutture digitali e alla consapevolezza che la resilienza operativa non si improvvisa.

Le organizzazioni che sapranno cogliere questa opportunità per costruire una maturità cyber solida andando oltre la mera compliance formale saranno quelle meglio posizionate per operare in modo sicuro e competitivo nel mercato finanziario europeo dei prossimi anni.