A cura di James Tucker, Head of CISO, EMEA Zscaler
Quando l’Unione Europea ha introdotto il Digital Operational Resilience Act (DORA), l’obiettivo era chiaro: creare una base comune per la resilienza digitale del settore finanziario, una sorta di “immunità di gregge” contro le minacce informatiche. A quasi un anno dall’entrata in vigore, la questione non è tanto se i regolatori avessero buone intenzioni — le avevano — quanto se le istituzioni finanziarie stiano davvero traducendo la teoria in pratica. I primi segnali indicano uno slancio incoraggiante, ma sarà il tempo a mostrare se il settore riuscirà a raggiungere pienamente gli ambiziosi obiettivi di resilienza immaginati dai legislatori.
La promessa e la realtà attuale
La visione di DORA è quella di rafforzare la resilienza operativa dell’intero settore, affrontando i rischi sistemici — in particolare quelli derivanti dai fornitori ICT — e imponendo alle aziende il rispetto di standard comuni e armonizzati articolati su cinque pilastri fondamentali: gestione del rischio ICT, segnalazione degli incidenti, test di resilienza operativa digitale, gestione del rischio dei fornitori terzi e condivisione delle informazioni.
Le conversazioni nel settore indicano che, sebbene i progressi siano stati costanti, la loro portata è stata variabile. Alcune aziende hanno già avviato con successo l’adeguamento dei propri processi interni e della documentazione, mentre le modifiche tecniche e operative sono ancora in fase di pianificazione e non pienamente implementate. Tuttavia, questo rappresenta la naturale evoluzione che si osserva tipicamente all’introduzione di una nuova normativa.
Dove DORA stringe i controlli
La due diligence e la supervisione dei fornitori terzi sono i punti in cui DORA esercita il massimo rigore. La normativa formalizza azioni relative al rischio che molti team di sicurezza conoscono già: i servizi finanziari non vengono erogati da singole entità, ma da interi ecosistemi, e i criminali informatici prendono spesso di mira gli anelli deboli della supply chain. DORA impone registri dei fornitori, diritti di audit vincolanti e un approccio basato sul rischio per l’integrazione dei fornitori ICT — tutte misure concrete progettate per aumentare la visibilità, identificare potenziali rischi e rafforzare le difese.
Gravi incidenti nella supply chain dimostrano come un singolo punto debole possa avere ripercussioni sull’intero settore, sottolineando l’importanza di visibilità end-to-end, test e preparazione robusti, e reportistica coerente — tutte aree su cui DORA interviene direttamente. La normativa, con la sua ampia portata, definisce una base comune tra le diverse entità finanziarie e i loro fornitori ICT, contribuendo a creare condizioni più eque. Stabilire questo riferimento condiviso è fondamentale per garantire che l’ecosistema finanziario dell’UE continui a operare efficacemente, anche a fronte di interruzioni significative.
Dove stiamo ancora facendo progressi (e perché va bene)
Per alcune aziende regolamentate già altamente modernizzate, con infrastrutture tecnologiche avanzate e solide difese, l’allineamento a DORA significa essenzialmente formalizzare pratiche già consolidate. Altre aziende, invece, prive di competenze interne o di una governance strutturata, stanno affrontando una trasformazione più profonda. In entrambi i casi, la direzione intrapresa è positiva.
Cloud: colmare il divario di competenze
Forse una delle rivelazioni più significative che DORA ha svelato è la necessità di approfondire le competenze e la comprensione del cloud. In diverse occasioni ho visto in prima persona come presupposti tecnici specifici delle soluzioni on-premise vengono proiettati sui servizi nativi del cloud. In pratica, questo si traduce in attività di due diligence e richieste di controllo che non si adattano alle architetture cloud. Le linee guida di settore sottolineano l’importanza di mappare asset ICT e flussi di dati, chiarire ruoli e responsabilità e testare la resilienza invece di inseguire checklist obsolete.
Questa osservazione non è una critica, ma un segnale di maturità e capacità. La soluzione è chiara: formazione interfunzionale e collaborazione più stretta tra team legali, procurement e tecnici, così che le domande giuste raggiungano gli esperti giusti al momento opportuno. Anche da prospettive esterne emerge la stessa esigenza: responsabilità, governance e meccanismi di reporting chiari devono essere integrati trasversalmente tra le diverse funzioni aziendali, evitando approcci a compartimenti stagni.
L’onda normativa (e come sfruttarla in sicurezza)
Il ritmo con cui sta emergendo una nuova legislazione sembra più veloce che mai e orientarsi non è semplice. Tuttavia, queste nuove regole rappresentano un passo avanti positivo per la nostra società digitale.
DORA fa parte di una più ampia ondata di normative recenti che include NIS2, l’AI Act dell’UE e l’European Cybersecurity Certification Scheme for Cloud Services (EUCS). Questi framework condividono lo stesso DNA (responsabilità, supervisione sulle terze parti e trasparenza sugli incidenti) ma, messi insieme, possono mettere a dura prova la disponibilità di risorse interne che possano occuparsene. Un recente sondaggio di settore ha rivelato che lo 0% degli intervistati era pienamente conforme e operativo rispetto a DORA, NIS2 e AI Act, a dimostrazione che anche le aziende più avanzate sono ancora nel pieno del percorso di adeguamento.
Consapevole di questa sfida, la Commissione europea sta cercando attivamente di semplificare e armonizzare queste norme attraverso il suo prossimo pacchetto Digital Omnibus. Questa iniziativa mira a ridurre gli oneri amministrativi e i costi di conformità, in particolare per quanto riguarda la comunicazione, mantenendo nel contempo elevati standard di sicurezza, equità e privacy. È un passo positivo per rendere il panorama normativo più navigabile per aziende di tutte le dimensioni.
Per cavalcare questa “onda normativa” in sicurezza, le aziende devono dare priorità alla preparazione proattiva investendo in framework di conformità, promuovendo la collaborazione tra team fin dalle prime fasi dei processi e sviluppando (o rafforzando) le competenze interne, con l’obiettivo finale di tradurre tutto ciò in controlli tecnici operativi efficaci.
Cosa verrà dopo? Enforcement e test nel mondo reale
Con il quadro normativo ormai sostanzialmente completo, incluso il regolamento delegato sui servizi ICT in subappalto, finalizzato nel luglio 2025, le autorità di regolamentazione si stanno ora concentrando sulla supervisione e l’enforcement. La fase successiva riguarderà probabilmente la classificazione matura degli incidenti, le notifiche tempestive e il test dei controlli tecnici e procedurali in scenari controllati. La prontezza del settore sarà infine verificata in incidenti reali, che richiederanno azioni rapide e sicure. Questi momenti saranno decisivi per dimostrare se la documentazione è effettivamente supportata da capacità operative concrete.
DORA è ancora agli albori: nonostante i progressi compiuti, c’è ancora molta strada da fare. La resilienza operativa reale non è più un optional, ma una necessità. Il pieno successo di DORA rappresenterà un vantaggio condiviso per autorità e aziende. La sfida ora è trasformare la conformità sulla carta in una resilienza concreta, così che, al prossimo imprevisto, le difese del settore possano dimostrare la loro efficacia senza discussioni.
