You are here
DORA: la resilienza digitale è ora responsabilità del CDA

THE INTEGRITY TIMES

ANALISI  ·  NORMATIVA  ·  GOVERNANCE

Norme & Compliance  ·  Analisi Normativa

DORA: la resilienza digitale è ora una responsabilità del CdA

Dal 17 gennaio 2025 il Regolamento (UE) 2022/2554 impone a banche, assicurazioni e intermediari finanziari un quadro integrato di gestione del rischio ICT con responsabilità diretta e non delegabile dell’organo di gestione. Il decreto italiano di adeguamento — D.Lgs. 23/2025 — ha fissato sanzioni fino al 10% del fatturato e l’interdizione per i vertici aziendali inadempienti.

The Integrity Times  ·  Norme & Compliance  ·  Marzo 2026  ·  Fonti: GU UE L 333 del 27.12.2022 · Reg. (UE) 2022/2554 · D.Lgs. 23/2025 · Banca d’Italia · EUR-Lex

Il rischio informatico non è più una questione tecnica. Dal 17 gennaio 2025 è una questione di governance. Il Regolamento (UE) 2022/2554 — noto come DORA, Digital Operational Resilience Act — stabilisce che la responsabilità finale per la gestione del rischio ICT spetta all’organo di gestione dell’entità finanziaria: il consiglio di amministrazione, nella sua interezza. Non al Chief Information Officer. Non al responsabile della cybersicurezza. Al CdA. Direttamente, personalmente, in modo non delegabile. Per banche, assicurazioni, intermediari finanziari, istituti di pagamento, gestori di fondi e decine di altre categorie del settore finanziario europeo, l’era della delega tecnica è finita.

1. Che cos’è DORA e perché è diverso da tutto ciò che è venuto prima

Il Regolamento (UE) 2022/2554, pubblicato nella Gazzetta Ufficiale dell’Unione Europea L 333 del 27 dicembre 2022, è entrato in vigore il 16 gennaio 2023 ed è diventato pienamente applicabile il 17 gennaio 2025. A differenza della Direttiva NIS2 — che richiede recepimento nazionale — DORA è un regolamento europeo direttamente applicabile in tutti gli Stati membri senza necessità di trasposizione.

L’obiettivo dichiarato è conseguire un «livello comune elevato di resilienza operativa digitale» per l’intero settore finanziario europeo, armonizzando un quadro normativo che fino al 2025 era frammentato in decine di discipline settoriali diverse — con regole differenti per banche, assicurazioni, gestori di fondi, intermediari. DORA sostituisce e unifica questo insieme disomogeneo con un framework unico, strutturato in cinque pilastri:

I cinque pilastri del Regolamento DORA (Reg. UE 2022/2554)

  • Pilastro I — Governance e gestione del rischio ICT: framework integrato con responsabilità dell’organo di gestione (Art. 5-16)
  • Pilastro II — Gestione, classificazione e segnalazione degli incidenti ICT: notifica obbligatoria alle autorità competenti (Art. 17-23)
  • Pilastro III — Test di resilienza operativa digitale: test periodici, inclusi i Threat-Led Penetration Test (TLPT) per gli enti più rilevanti (Art. 24-27)
  • Pilastro IV — Gestione del rischio dei fornitori terzi ICT: contratti obbligatori con clausole stringenti, registro delle informazioni, sorveglianza sui fornitori critici (Art. 28-44)
  • Pilastro V — Condivisione delle informazioni: scambio volontario di informazioni sulle minacce informatiche tra entità finanziarie (Art. 45)

Il tratto distintivo di DORA rispetto alle normative precedenti non è la complessità tecnica — è lo spostamento della responsabilità verso il vertice. Prima di DORA, la gestione del rischio informatico era tipicamente delegata a strutture tecniche o funzioni di controllo. Dopo DORA, il rischio digitale diventa un rischio strategico che il vertice aziendale deve definire, approvare, sovrintendere e di cui è responsabile.

2. Chi è coinvolto: un perimetro più ampio del previsto

L’Articolo 2 del Regolamento DORA elenca le categorie di entità finanziarie soggette agli obblighi. Il perimetro è significativamente più ampio di quanto la denominazione «settore finanziario» possa suggerire.

Entità finanziarie soggette a DORA (Art. 2, Reg. UE 2022/2554)

  • Enti creditizi (banche) — incluse le banche significative sotto vigilanza diretta BCE
  • Istituti di pagamento e istituti di moneta elettronica — incluso Bancoposta
  • Imprese di assicurazione e riassicurazione — sotto vigilanza IVASS
  • Imprese di investimento, OICVM, GEFIA, gestori di fondi EuVECA e EuSEF
  • Depositari centrali di titoli, controparti centrali, sedi di negoziazione
  • Fornitori di servizi di rendicontazione dei dati
  • Prestatori di servizi per le cripto-attività (CASP) — ai sensi del Regolamento MiCA
  • Piattaforme di crowdfunding — ai sensi del Regolamento ECSP
  • Repertori di dati sulle negoziazioni e repertori cartolarizzazioni
  • Fondi pensione — sotto vigilanza COVIP
  • Agenzie di rating del credito, intermediari assicurativi, agenti in attività finanziaria

Sono escluse le microimprese, definite dall’Art. 3 come entità con meno di 10 dipendenti e fatturato o totale di bilancio annuo non superiore a 2 milioni di euro, per le quali si applica un «quadro semplificato di gestione dei rischi informatici» ai sensi dell’Art. 16. Questa esclusione non riguarda tuttavia le sedi di negoziazione, le controparti centrali, i repertori di dati e i depositari centrali, indipendentemente dalle dimensioni.

3. L’Articolo 5: il CdA al centro del sistema

Il cuore normativo di DORA, per quanto riguarda la governance, è l’Articolo 5. La sua formulazione è inequivocabile e non lascia spazio a interpretazioni riduttive.

«L’organo di gestione dell’entità finanziaria definisce e approva l’attuazione di tutte le disposizioni concernenti il quadro per la gestione dei rischi informatici, vigila su tale attuazione e ne è responsabile.»

— Articolo 5, Regolamento (UE) 2022/2554 · DORA

L’Art. 5 declina questa responsabilità in obblighi operativi precisi e verificabili per i componenti dell’organo di gestione:

Obblighi dell’organo di gestione ai sensi dell’Art. 5 DORA

  • Assumere la responsabilità finale per la gestione dei rischi informatici dell’entità
  • Definire, approvare e riesaminare periodicamente la strategia globale di resilienza operativa digitale
  • Approvare e riesaminare la politica relativa ai contratti con i fornitori terzi di servizi ICT
  • Approvare i piani di continuità operativa ICT e i piani di risposta e ripristino in caso di disastro
  • Approvare e riesaminare i piani di audit interno ICT
  • Allocare budget adeguati per la resilienza operativa digitale
  • Ricevere report periodici dal responsabile del controllo ICT e dall’audit interno
  • Mantenere attivamente aggiornate conoscenze e competenze adeguate per comprendere e valutare i rischi informatici — anche mediante formazione specifica su base regolare

L’ultimo punto merita attenzione specifica. DORA — esattamente come l’AI Act per l’AI Literacy e il D.Lgs. 138/2024 per NIS2 — introduce un obbligo di formazione continua per i componenti del board in materia di rischi tecnologici. La formazione deve essere «commisurata ai rischi informatici gestiti» e svolta su base regolare. Non è un’opzione. È un requisito di conformità verificabile in sede ispettiva.

DORA, NIS2 e AI Act convergono su un principio comune: la conoscenza dei rischi tecnologici non è più una competenza tecnica opzionale per i vertici aziendali. È un requisito giuridico. Chi siede in un CdA e non si forma sui rischi ICT non sta solo ignorando buone prassi — sta violando la legge.

— Osservazione editoriale, The Integrity Times

4. La mappa delle scadenze e degli adempimenti

DataMilestone
16 gennaio 2023Entrata in vigore del Reg. (UE) 2022/2554 — DORA
17 gennaio 2025APPLICABILEPiena applicabilità DORA — tutti gli obblighi operativi decorrono da questa data
11 marzo 2025Pubblicazione in GU italiana del D.Lgs. 10 marzo 2025, n. 23 — adeguamento normativo nazionale
15 aprile 2025SCADUTOTrasmissione registro delle informazioni sui fornitori ICT a Banca d’Italia
30 aprile 2025SCADUTOTrasmissione a Banca d’Italia dell’autovalutazione dei rischi ICT — approvata dall’organo di amministrazione
Luglio 2025Designazione Critical Third-Party Providers (CTPP) da parte delle ESA — avvio regime di oversight europeo
Dicembre 2025VERIFICAPrimo ciclo completo di test di resilienza e prima reportistica annuale alle autorità competenti

Un aspetto critico che emerge dalla tabella: la scadenza del 17 gennaio 2025 era la data di piena applicabilità dell’intero Regolamento — non l’avvio di un periodo transitorio. Chi non era conforme a quella data era già in violazione. Le scadenze successive — registro informazioni, autovalutazione, test di resilienza — sono adempimenti progressivi di un quadro già vigente, non tappe di un percorso di adeguamento futuro.

5. Il quadro sanzionatorio italiano: D.Lgs. 23/2025

Il Regolamento DORA, a differenza di molti altri regolamenti europei, non fissa direttamente le sanzioni ma demanda questa competenza agli Stati membri, richiedendo che siano «effettive, proporzionate e dissuasive» ai sensi degli Artt. 50-52. Il legislatore italiano ha risposto con il Decreto Legislativo 10 marzo 2025, n. 23, pubblicato nella Gazzetta Ufficiale n. 58 dell’11 marzo 2025, che interviene direttamente sul Testo Unico Bancario (TUB), sul Testo Unico della Finanza (TUF) e sul Codice delle Assicurazioni Private (CAP).

Regime sanzionatorio — D.Lgs. 23/2025, Art. 10 (modifica TUB Art. 144 e 144-ter)

  • Violazioni più gravi (governance, organizzazione, gestione del rischio ICT): sanzione pecuniaria da 30.000 euro fino al 10% del fatturato annuo dell’ente — senza tetto assoluto
  • Violazioni meno gravi (classificazione incidenti, adempimenti operativi): sanzione pecuniaria da 30.000 euro fino al 7% del fatturato annuo
  • Persone fisiche in posizioni apicali: sanzione pecuniaria da 5.000 euro a 5 milioni di euro
  • Sanzione accessoria per i vertici: interdizione dallo svolgimento di funzioni di amministrazione, direzione e controllo da un minimo di 6 mesi a un massimo di 3 anni
  • Pubblicazione del provvedimento sanzionatorio sul sito internet dell’autorità competente — danno reputazionale diretto e immediato
  • Misure correttive: ordine di cessazione del comportamento illecito, sospensione temporanea o permanente di pratiche non conformi

Un elemento di particolare rilevanza pratica: il D.Lgs. 23/2025 prevede che, oltre alle sanzioni pecuniarie, le autorità competenti possano disporre la sospensione temporanea o permanente dei rapporti contrattuali con fornitori ICT critici in caso di gravi carenze. Per una banca o un’assicurazione che dipende da infrastrutture cloud critiche, questa misura può avere impatti operativi immediati e devastanti — ben oltre le sanzioni pecuniarie.

6. Le autorità di vigilanza italiane: un sistema plurale

Il D.Lgs. 23/2025 ha adottato un modello di vigilanza plurale, coerente con la struttura del settore finanziario italiano. L’Art. 3 designa quattro autorità competenti DORA, ciascuna responsabile per i soggetti già vigilati secondo le rispettive attribuzioni settoriali:

Autorità competenti DORA in Italia (D.Lgs. 23/2025, Art. 3)

  • Banca d’Italia — banche e gruppi bancari, istituti di pagamento, istituti di moneta elettronica, intermediari finanziari, Cassa Depositi e Prestiti, Bancoposta. Banca d’Italia è l’autorità di riferimento principale e quella con il ruolo più esteso
  • Consob — SIM, SGR, altri soggetti del mercato finanziario regolamentato ai sensi del TUF
  • IVASS — imprese di assicurazione e riassicurazione. IVASS ha già emesso una Lettera al mercato del 14 febbraio 2025 sugli obblighi di segnalazione degli incidenti
  • COVIP — fondi pensione e forme di previdenza complementare
  • ACN/CSIRT Italia — ruolo di coordinamento su incidenti ICT con rilevanza sistemica, in sinergia con le autorità settoriali

Il coordinamento tra le quattro autorità è garantito da protocolli d’intesa che ciascuna è tenuta a stipulare con le altre. Quando un’entità finanziaria è soggetta alla vigilanza di più autorità competenti, la prima a ricevere la segnalazione di un grave incidente ICT deve trasmetterla tempestivamente alle altre. Questo meccanismo è fondamentale per la segnalazione degli incidenti ICT gravi, che deve avvenire entro termini molto stringenti ai sensi del Regolamento Delegato (UE) 2024/1772: notifica iniziale entro 4 ore dalla classificazione come grave, notifica intermedia entro 72 ore, relazione finale entro un mese.

7. Cosa fare: agenda operativa per i vertici del settore finanziario

Per le entità finanziarie che non hanno ancora completato il percorso di adeguamento a DORA, il quadro è senza ambiguità: l’obbligo è in vigore dal 17 gennaio 2025, gli adempimenti immediati erano scaduti ad aprile 2025, il regime di test e reporting è operativo. La priorità è un’analisi del divario tra lo stato attuale e i requisiti normativi, con approvazione formale dell’organo di gestione.

Agenda operativa prioritaria per i vertici del settore finanziario

  • AUTOVALUTAZIONE: Verificare lo stato del gap analysis DORA — se non ancora completata, avviarla immediatamente con approvazione formale del CdA
  • GOVERNANCE: Portare DORA all’ordine del giorno del CdA come tema strategico, non tecnico — la responsabilità è del board, non dell’IT
  • FORMAZIONE: Avviare un programma di formazione continua per i componenti dell’organo di gestione sui rischi ICT — obbligo diretto ex Art. 5
  • REGISTRO: Verificare la predisposizione e trasmissione del registro delle informazioni sui contratti con fornitori ICT a Banca d’Italia
  • FORNITORI: Riesaminare i contratti con i fornitori terzi ICT — DORA impone clausole specifiche obbligatorie ai sensi dell’Art. 30, non negoziabili
  • INCIDENTI: Verificare che i processi di classificazione e notifica degli incidenti gravi siano operativi e rispettino i termini del Reg. Delegato (UE) 2024/1772
  • TEST: Pianificare il primo ciclo completo di test di resilienza secondo le modalità previste dal Regolamento

Un’avvertenza specifica per gli studi legali, i commercialisti e i consulenti che assistono entità del settore finanziario: DORA ha ridisegnato profondamente la struttura dei contratti con i fornitori ICT. L’Art. 30 impone che i contratti con i fornitori di servizi ICT a supporto di funzioni essenziali o importanti includano clausole specifiche su: livelli di servizio, diritti di audit e accesso, obblighi di continuità operativa, exit strategy, localizzazione dei dati. L’assenza di queste clausole nei contratti esistenti costituisce già una violazione del Regolamento.

Conclusione: Tre regolamenti, un principio solo

DORA, NIS2 e AI Act sono tre regolamenti distinti, con perimetri soggettivi e settoriali diversi. Ma su un punto convergono con una coerenza che non può essere casuale: la responsabilità delle scelte tecnologiche e digitali appartiene ai vertici delle organizzazioni, non ai reparti tecnici. Non è una questione di competenza informatica. È una questione di governance, di assetti adeguati, di responsabilità giuridica personale.

Per il settore finanziario, DORA rappresenta la forma più compiuta di questo principio: un regolamento direttamente applicabile, già in vigore, con sanzioni severe e un sistema di vigilanza plurale che coinvolge Banca d’Italia, Consob, IVASS e COVIP. Non c’è più spazio per la delega totale. Chi governa un’entità finanziaria e non ha ancora affrontato DORA come tema del CdA, non sta solo perdendo tempo: sta accumulando responsabilità.

Fonti e riferimenti normativi

  • Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, 14 dicembre 2022 — GU UE L 333 del 27.12.2022, pagg. 1-79 (ELI: eur-lex.europa.eu/eli/reg/2022/2554/oj)
  • Articolo 2, Reg. (UE) 2022/2554 — Ambito di applicazione: entità finanziarie soggette a DORA
  • Articolo 3, Reg. (UE) 2022/2554 — Definizioni, inclusa microimpresa (punto 60)
  • Articolo 5, Reg. (UE) 2022/2554 — Governance e organizzazione: responsabilità dell’organo di gestione
  • Articolo 16, Reg. (UE) 2022/2554 — Quadro semplificato per la gestione dei rischi informatici
  • Articolo 19, Reg. (UE) 2022/2554 — Segnalazione degli incidenti gravi TIC
  • Articolo 30, Reg. (UE) 2022/2554 — Disposizioni contrattuali chiave per i fornitori terzi di servizi ICT
  • Articoli 50-52, Reg. (UE) 2022/2554 — Poteri di vigilanza e sanzioni
  • Decreto Legislativo 10 marzo 2025, n. 23 — GU Serie Generale n. 58 dell’11 marzo 2025
  • D.Lgs. 23/2025, Art. 3 — Designazione autorità competenti DORA: Banca d’Italia, Consob, IVASS, COVIP
  • D.Lgs. 23/2025, Art. 10 — Regime sanzionatorio: modifica TUB Art. 144 e 144-ter, TUF e CAP
  • Regolamento Delegato (UE) 2024/1772 — Classificazione e segnalazione degli incidenti ICT gravi
  • Banca d’Italia, Comunicazione al mercato, 23 dicembre 2024 — Autovalutazione rischi ICT
  • Banca d’Italia, Comunicazione al mercato, 30 dicembre 2024 — Prima applicazione Regolamento DORA
  • IVASS, Lettera al mercato, 14 febbraio 2025 — Segnalazione incidenti TIC per le imprese assicurative

© The Integrity Times  ·  Riproduzione Riservata  ·  www.theintegritytimes.com

Leggi anche: NIS2: il CdA non può più dire «non sapevo»