DORA: cos’è, come e quando si applica il regolamento UE per la resilienza del settore finanziario

Le aziende tecnologiche stanno diventando sempre più importanti nell’ambito finanziario, sia come provider di infrastrutture per chi opera nel settore, sia proprio come fornitori di servizi finanziari.

Il Regolamento (UE) 2022/2554, noto anche come Digital Operational Resilience Act (DORA) si focalizza sulla resilienza operativa digitale nel mondo finanziario stabilendo norme uniformi per garantire la sicurezza dei sistemi informatici e delle reti di banche, compagnie di assicurazione e imprese di investimento dell’Unione Europea.

DORA mira ad assicurare che tutti i partecipanti al sistema finanziario abbiano attivato le procedure necessarie per limitare al massimo sia le possibilità di successo di attacchi informatici sia le eventuali conseguenze. La legislazione, che entrerà in vigore il 17 gennaio 2025, richiederà a tutte le aziende di fornire la rassicurazione di poter resistere a tutti i tipi di interruzioni e minacce relative all’ambito ICT.

Il regolamento DORA rappresenta un importante passo avanti nel rafforzamento della sicurezza e della stabilità del settore finanziario europeo perché stabilisce un insieme di norme chiaro e uniforme per affrontare le sfide digitali, attuali e future, nonché un quadro di supervisione per i fornitori di infrastrutture e servizi, come i cloud provider.

Sviluppato per rispondere alle sfide poste dai rischi informatici dopo la crisi del 2008, DORA è parte di un più ampio pacchetto di riforme volte a promuovere lo sviluppo tecnologico e garantire la stabilità finanziaria e la protezione dei consumatori.

Le sue disposizioni intendono far sì che le realtà finanziarie siano preparate ad affrontare le minacce informatiche in modo efficace, proteggendo gli interessi degli investitori e dei consumatori. Un passo significativo verso la creazione di un ambiente finanziario più sicuro e resiliente nell’Unione Europea.

Quali aziende devono adeguarsi a DORA

DORA si applica a varie entità finanziarie regolamentate dell’UE, tra cui istituti di credito, fornitori di servizi di pagamento, aziende che gestiscono la moneta elettronica, nonché società di investimento e assicurazioni. Riguarda anche i provider di servizi di informazione sui conti, cripto-attività e altre terze parti che forniscono servizi ICT. La portata si estende anche a chi gestisce elenchi di dati finanziari e investimenti.

Più in dettaglio, il regolamento riguarda:

• crediti, pagamenti, moneta elettronica ed enti pensionistici aziendali o professionali;
• fornitori di servizi di informazione sui conti, cripto-attività, comunicazione dati, crowdfunding e terze parti ICT;
• imprese di investimento, fondi di investimento alternativi, società di gestione, agenzie di rating del credito e amministratori di indici di riferimento critici;
• elenchi di dati sulle negoziazioni e sulle cartolarizzazioni, depositari centrali di titoli, controparti centrali e sedi di negoziazione;
• imprese di assicurazione, intermediari assicurativi e imprese di riassicurazione.

Regolamento DORA e la gestione dei rischi informatici

DORA richiede alle entità finanziarie, escluse le microimprese, di adottare misure interne per una gestione prudente dei rischi informatici. Tale richiesta include la definizione e l’approvazione di disposizioni pertinenti da parte dell’organo di gestione, la creazione di quadri ben documentati per la gestione dei rischi informatici, l’utilizzo e il mantenimento di sistemi informatici affidabili e tecnologicamente resilienti, nonché la pianificazione e l’implementazione di politiche di continuità operativa.

Pertanto, eccetto le microimprese, le entità finanziarie devono:

• attuare misure interne di governance e controllo che garantiscano una gestione efficace e prudente dei rischi informatici;
• garantire che il loro organo di gestione definisca, approvi, sovrintenda e sia responsabile di tutte le disposizioni pertinenti;
• disporre di un quadro solido, completo e ben documentato per la gestione dei rischi informatici che comprenda le strategie, le politiche, le procedure, i protocolli e gli strumenti necessari per rispondere rapidamente ed efficacemente;
• utilizzare e mantenere aggiornati sistemi informatici, protocolli e strumenti che siano appropriati, affidabili, tecnologicamente resilienti e dotati di capacità sufficienti;
• individuare, classificare e documentare adeguatamente tutte le funzioni, i ruoli e le responsabilità delle imprese supportate dalle ICT e rivedere gli scenari di rischio;
• monitorare in modo continuativo la sicurezza e il funzionamento dei sistemi e degli strumenti ICT per ridurre al minimo l’impatto di qualsiasi rischio informatico;
• individuare tempestivamente le attività anomale e identificare i potenziali punti di vulnerabilità;
• attuare una politica di continuità operativa delle ICT esaustiva, che disponga di piani, procedure e meccanismi adeguati;
• sviluppare e documentare politiche di backup e procedure di ripristino e recupero;
• impiegare risorse e personale per valutare vulnerabilità e minacce informatiche, incidenti connessi alle ICT, in particolare attacchi informatici, e analizzarne il potenziale impatto sulla resilienza operativa digitale delle entità;
• elaborare piani di comunicazione delle crisi per comunicare almeno i principali incidenti o vulnerabilità connessi alle ICT ai clienti, alle controparti e al pubblico.

Gestione, classificazione e segnalazione degli incidenti informatici

DORA stabilisce che le entità finanziarie sono tenute a definire e attuare misure per individuare, gestire, registrare e notificare gli incidenti informatici. Tali incidenti devono essere classificati in base a criteri come l’impatto sui clienti e le controparti interessate e segnalati alle autorità competenti.

Più in dettaglio, le aziende finanziarie devono:

• definire, stabilire e attuare misure volte a individuare, gestire, registrare e notificare gli incidenti connessi all’ambito ICT;
• classificare gli incidenti e determinarne l’impatto utilizzando criteri quali il numero di clienti e controparti interessati, la durata, la diffusione geografica e le perdite di dati;
• segnalare i principali incidenti connessi all’ICT all’autorità competente designata, che la inoltrerà a un organismo più elevato come la Banca centrale europea o l’Autorità bancaria europea.

Test di resilienza operativa digitale per DORA

Le entità finanziarie devono istituire e mantenere programmi di test che valutino la resilienza operativa digitale. Tali programmi devono essere solidi ed esaustive e comprendere le valutazioni, i test, le metodologie, le pratiche e gli strumenti necessari. Inoltre, devono essere effettuati, almeno ogni tre anni, penetration test delle minacce in base al proprio profilo di rischio e tenendo conto delle circostanze operative. A tal fine ci si deve avvalere solo di soggetti certificati, in possesso delle competenze e idoneità necessarie e coperti da un’assicurazione di responsabilità professionale.

Gestione dei rischi informatici causati da terzi

Le entità finanziarie devono gestire i rischi derivanti da terzi come parte integrante della loro policy di gestione complessiva dei rischi informatici. Ciò include la stipula di accordi contrattuali con fornitori di servizi ICT per svolgere le proprie attività commerciali nel pieno rispetto della legislazione. In più, devono considerare la natura, la portata, la complessità e l’importanza del ruolo dell’ICT e di ogni potenziale rischio che questo comporta. Il regolamento DORA richiede di vagliare i benefici e i costi di soluzioni alternative al momento dell’individuazione e della valutazione dei rischi presenti e anche di includere nel contratto i diritti e gli obblighi di ciascuna parte e l’accordo di servizio.

Sorveglianza dei fornitori di servizi critici

Il regolamento prevede l’istituzione di un quadro di sorveglianza affidato alle autorità europee di vigilanza. Questo quadro intende designare i provider di servizi ICT critici e assicurare che questi rispettino norme e procedure appropriate per garantire la sicurezza dei servizi ICT forniti alle entità finanziarie.

Più in dettaglio, il quadro affida alle autorità europee di vigilanza (AEV) i compiti di designare, sulla base di criteri chiari, i fornitori di servizi ICT ritenuti critici per le entità finanziarie e di nominare, in qualità di autorità di sorveglianza capofila per ciascun fornitore terzo critico di servizi ICT, l’AEV responsabile dell’entità finanziaria interessata.

È prevista poi l’istituzione di un forum di sorveglianza per discutere i pertinenti sviluppi in materia di rischi e vulnerabilità relativi all’ICT e promuovere un approccio coerente al monitoraggio a livello dell’Unione; valutare, con cadenza annuale, le attività di sorveglianza, promuovere le misure per aumentare la resilienza operativa digitale e favorire le migliori pratiche. Si devono poi sottoporre parametri di riferimento generali per i fornitori di servizi ICT critici.

L’autorità di sorveglianza capofila sarà il principale punto di contatto per i fornitori di servizi ICT critici. Tra i suoi compiti ci sarà di valutare se ciascun fornitore critico abbia predisposto norme, procedure, meccanismi e accordi esaustivi, solidi ed efficaci. Nonché di richiedere tutte le informazioni e la documentazione pertinenti, condurre indagini e ispezioni (anche nei paesi terzi), specificare le azioni correttive ed emettere raccomandazioni.

L’autorità di sorveglianza capofila dovrà consentire all’Autorità bancaria europea, all’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali e all’Autorità europea degli strumenti finanziari e dei mercati di collaborare con autorità di regolamentazione e di sorveglianza di paesi terzi sui rischi informatici derivanti da terzi. Infine, dovrà richiedere alle AEV di presentare ogni 5 anni una relazione riservata al Parlamento europeo, al Consiglio dell’Unione europea e alla Commissione europea sulle loro relazioni con le autorità dei paesi terzi.

Le entità finanziarie possono condividere informazioni e analisi delle minacce informatiche tra di loro, purché ciò contribuisca a rafforzare la resilienza operativa digitale e si svolga nel rispetto delle normative sulla riservatezza e della concorrenza.

Sanzioni e misure correttive previste da DORA

Le autorità competenti hanno il potere di imporre sanzioni e misure correttive alle realtà finanziarie che violano le disposizioni del regolamento DORA. Non viene però precisata l’entità di tali sanzioni. Da evidenziare che non è espressamente prevista alcuna sanzione per i fornitori ICT (salvo quelli critici).

Le autorità competenti dispongono di tutti i poteri di vigilanza, di indagine e sanzionatori necessari per adempiere ai propri compiti. Per garantire trasparenza e responsabilità, devono inoltre pubblicare sui loro siti web le sanzioni amministrative e le misure di riparazione stabilite, indicando il tipo e la natura della violazione e l’identità delle persone responsabili.