di Redazione
Dal 17 gennaio 2025, le istituzioni finanziarie in tutta Europa saranno obbligate a rispettare le nuove normative introdotte dalla Digital Operational Resilience Act (DORA). Questa normativa mira a rafforzare la capacità delle banche, assicurazioni, fondi pensione e gestori patrimoniali di resistere alle minacce digitali e garantire la continuità operativa, riducendo così i rischi legati agli attacchi informatici o interruzioni globali dei computer.
Tuttavia, con l’avvicinarsi della scadenza, secondo gli esperti, molte istituzioni non sono ancora pronte. Per questo è ancora più importante sapere cosa fare e, soprattutto, quali sono le priorità a cui lavorare.
L’Urgenza della Resilienza Digitale
Gli episodi di gravi malfunzionamenti informatici, come quello accaduto lo scorso luglio quando un aggiornamento software di un’azienda IT americana ha causato gravi problemi globali – bloccando anche il traffico aereo internazionale – hanno evidenziato la vulnerabilità dei sistemi digitali. Anche in Italia, il settore finanziario è sempre più consapevole che la sicurezza informatica non è più solo un’opzione strategica, ma una vera necessità.
Secondo la Banca Centrale Europea (BCE), le debolezze nei sistemi IT delle banche rappresentano una minaccia significativa che richiede un’attenzione prioritaria da parte dei vertici aziendali. Non si tratta più di delegare tutto al reparto IT: la gestione dei rischi informatici deve diventare un elemento centrale della governance.
Le Novità di DORA
DORA introduce una serie di obblighi per le istituzioni finanziarie europee, non solo le banche, ma anche le compagnie assicurative, i fondi pensione e i gestori patrimoniali ed a cascata le loro catene di fornitori esterni e le esternalizzazioni. Infatti, DORA impone regole severe sull’esternalizzazione dei servizi IT a terze parti, con particolare attenzione ai fornitori critici.
Questi i principali obblighi:
- Valutazioni regolari dei sistemi IT: Le aziende dovranno eseguire test di resilienza e aggiornare costantemente le loro tecnologie per affrontare eventuali minacce.
- Monitoraggio delle forniture esterne: Le organizzazioni dovranno garantire che anche i loro fornitori rispettino gli standard di sicurezza richiesti.
- Segnalazione degli incidenti: Qualsiasi problema significativo legato all’ICT dovrà essere tempestivamente comunicato alle autorità competenti.
- Responsabilità dei dirigenti: In caso di carenze nella gestione dei rischi informatici, anche i membri dei consigli di amministrazione potranno essere ritenuti responsabili.
La Responsabilità diretta per i Dirigenti
Una delle principali novità riguarda la responsabilità dei dirigenti (CdA e Consiglieri). Se la gestione dei sistemi informatici è insufficiente, anche i vertici aziendali – tra cui consigli di amministrazione, consiglieri e commissari – possono essere ritenuti responsabili per eventuali malfunzionamenti. In passato, la sicurezza informatica era principalmente affidata al responsabile IT, ma ora anche il CdA dovrà monitorare attivamente questi aspetti, per evitare sanzioni e danni reputazionali. Nei board nasce quindi spontanea la domanda, “Come devo leggere i report forniti dall’IT?”
Le sfide della Gestione dei Fornitori Critici
Uno degli aspetti più complessi introdotti dalla DORA riguarda la gestione dei fornitori esterni. Le istituzioni finanziarie dovranno mappare e monitorare tutti i partner esternalizzati, poiché anche questi dovranno rispettare i requisiti previsti dalla normativa. Questo include fornitori di software – compresi quelli che forniscono software per le risorse umane -, gestori di infrastrutture IT o anche aziende che gestiscono la rete o i sistemi di pagamento. Per esempio, se una banca si appoggia a decine di fornitori per gestire le risorse umane o la contabilità, dovrà assicurarsi che ciascuno di questi partner sia conforme alle normative DORA, un compito che si preannuncia impegnativo ma necessario per garantire la sicurezza e la continuità operativa. Si pensi che un piccolo gestore patrimoniale ha facilmente 70 fornitori. Tutti i relativi contratti devono essere modificati: con tempi di lavoro e costi non indifferente.
La sfida per le Piccole Realtà e gli altri Punti Deboli
Se le grandi banche e assicurazioni sono già in grado di affrontare queste sfide, grazie a risorse dedicate e team specializzati, molte piccole e medie realtà finanziarie stanno faticando a conformarsi. La complessità delle nuove regole, unite al ritardo con cui sono stati pubblicati alcuni standard tecnici (luglio dell’anno scorso), ha messo molte organizzazioni in difficoltà. E, questo divario nella preparazione è preoccupante, soprattutto in un contesto in cui DORA punta a un monitoraggio continuo dei rischi ICT lungo tutta la catena di fornitura.
Un esempio emblematico è rappresentato dai fornitori di servizi IT che lavorano per le banche: queste aziende, pur non essendo direttamente coinvolte nella gestione finanziaria, hanno accesso a dati e sistemi critici, diventando potenziali punti di vulnerabilità.
Un aspetto cruciale, come sottolineato dagli esperti, è che la maggiore minaccia non proviene solo dai criminali informatici, ma da errori banali come la gestione inadeguata delle password o la negligenza nell’aggiornamento dei software. Se un errore simile avviene in un’istituzione finanziaria, le ripercussioni possono essere devastanti, non solo per l’azienda stessa ma anche per la stabilità del sistema finanziario nel suo complesso.
Un Cambiamento Necessario
Gli esperti sottolineano come DORA rappresenti un passo fondamentale per colmare le lacune nella gestione della sicurezza digitale. Anche se la conformità richiede sforzi considerevoli, specialmente per le realtà più piccole, il beneficio finale è quello di un settore finanziario più stabile e sicuro.
I Rischi del Futuro
Nonostante l’introduzione delle nuove normative, nessun sistema può essere considerato completamente immune da minacce. C’è sempre un punto debole, una via d’accesso da cui entrare e questo lo confermano anche gli esperti che verificano la cyber-resilienza. Il rischio maggiore, però, non proviene solo dagli attacchi informatici, ma anche da errori interni come aggiornamenti mal gestiti o una cattiva archiviazione delle credenziali.
La Resilienza Nella Catena di Fornitura: alcuni Punti Critici
Un altro tema fondamentale riguarda la resilienza lungo la catena di fornitura. Le piccole imprese che collaborano con le grandi istituzioni finanziarie spesso non hanno la stessa capacità di difesa contro le minacce informatiche. Aziende che trattano informazioni estremamente sensibili ma che non sono direttamente coinvolte nei processi bancari, come quelle che gestiscono i database delle risorse umane, rappresentano un punto di vulnerabilità. Se un attacco informatico penetra in una di queste aziende, può facilmente propagarsi verso l’interno della banca, causando danni ingenti.
Un altro esempio è un’azienda che gestisce le offerte di lavoro per una grande banca. ‘Un’azienda del genere non ha una funzione diretta all’interno della banca, ma ha accesso ai suoi sistemi critici, come il database del personale.’ Esistono numerose di queste connessioni che gli hacker potrebbero sfruttare. Si pensi alle aziende che convertono documenti cartacei in formato digitale e per farlo hanno varie connessioni con i database delle maggiori banche del paese, o a un pacchetto di contabilità che una banca offre come extra ai suoi clienti PMI. C’è molta incertezza sulla resilienza nella catena di fornitori ma occorre ricordarsi che: “esternalizzare non significa che si esternalizzano anche le proprie responsabilità”.
Per concludere, il caso delle aziende fornitrici che non si considerano fornitori dell’industria finanziaria, ma che vengono comunque classificate come tali dai loro clienti (le istituzioni finanziarie).
Prepararsi a DORA: Partecipa al Webinar del 6 Febbraio
Il regolamento DORA impone un impegno significativo, ma è anche una grande opportunità per rivedere e rafforzare la resilienza operativa. Se sei parte di una istituzione finanziaria, o fornisci servizi a queste realtà:
il webinar “DORA in Azione: Gestione dei Rischi Terze Parti e Monitoraggio Continuo per Garantire la Compliance“, che si terrà il 6 febbraio,
è l’occasione giusta per approfondire come affrontare questo cambiamento.
Il webinar vedrà la partecipazione di esperti del settore, tra cui Agostino Carta e Emanuele Greco di Opentech (gruppo Deda) e, Paolo Francesco Lenti di Deda Tech (gruppo Deda), che condivideranno le loro competenze sulla gestione dei fornitori critici, la cybersecurity e il monitoraggio continuo. Fabio Accardi, esperto GRC e Autore di Risk & Compliance, modererà l’incontro, offrendo spunti preziosi per affrontare le sfide della compliance e della resilienza digitale.
Iscriviti ora per non perdere l’opportunità di prepararti al meglio all’entrata in vigore di DORA e di scoprire le soluzioni per gestire al meglio i rischi ICT e rafforzare la sicurezza digitale della tua organizzazione.
Conclusione
Mentre la data del 17 gennaio si avvicina, è cruciale che tutte le istituzioni finanziarie, grandi e piccole, intensifichino i loro sforzi per adeguarsi alle normative DORA. La sicurezza informatica non è più solo una questione tecnica, ma una responsabilità strategica che coinvolge tutti i livelli dell’organizzazione. Solo attraverso un impegno collettivo è possibile garantire la stabilità del sistema finanziario europeo in un mondo sempre più digitalizzato.
