Cos'è il regolamento DORA e a chi si applica?
Il regolamento DORA (Digital Operational Resilience Act, Regolamento UE 2022/2554) è la normativa europea sulla resilienza operativa digitale del settore finanziario, in applicazione dal 17 gennaio 2025. Si applica a oltre 20 tipi di entità finanziarie — banche, imprese di investimento (SIM), istituti di pagamento, imprese di assicurazione e riassicurazione, gestori di fondi, prestatori di servizi cripto (CASP) e agenzie di rating — e, per la prima volta, anche ai fornitori terzi di servizi ICT critici (cloud provider, software house, data center) tramite un quadro di sorveglianza diretto. Essendo un regolamento e non una direttiva, si applica direttamente in tutti i 27 Stati UE senza recepimento nazionale. In Italia vigilano Banca d'Italia, CONSOB e IVASS; a livello europeo EBA, ESMA ed EIOPA. DORA poggia su 5 pilastri: gestione del rischio ICT, gestione e segnalazione degli incidenti, test di resilienza, rischio dei fornitori terzi e condivisione delle informazioni.
Se lavori in banca, in un'assicurazione o fornisci servizi IT al settore finanziario, dal 17 gennaio 2025 hai un acronimo nuovo da conoscere: DORA. È il Regolamento UE 2022/2554 sulla resilienza operativa digitale, e a differenza di tante normative non è un consiglio: è un obbligo che si applica direttamente. BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB), affianca da anni le aziende su NIS2 e GDPR — e DORA aggiunge un tassello che riguarda sia gli istituti finanziari sia chi fornisce loro tecnologia. In questa guida ti spieghiamo, senza giri di parole, cos'è, a chi si applica, i 5 pilastri, le scadenze, la differenza con NIS2 e una checklist pratica per partire.
Cos'è il regolamento DORA (spiegato semplice)
Immagina una banca moderna: l'home banking, i bonifici istantanei, l'antifrode, persino il bancomat dietro le quinte girano su software, cloud e fornitori esterni. Se uno di questi pezzi si rompe — un attacco ransomware, un data center che va giù, un fornitore cloud in tilt — il danno non è solo informatico: è finanziario, è di stabilità del sistema. DORA nasce proprio per questo: garantire che le entità finanziarie reggano l'urto di un incidente ICT e tornino operative in fretta.
In termini formali, DORA è il Digital Operational Resilience Act, il Regolamento UE 2022/2554 approvato dal Parlamento e dal Consiglio europeo. Pubblicato in Gazzetta Ufficiale UE il 27 dicembre 2022, è entrato in vigore il 16 gennaio 2023 e, dopo 24 mesi di transizione, è pienamente applicabile dal 17 gennaio 2025. Il punto chiave: è un regolamento, non una direttiva. Significa che si applica direttamente in tutti i 27 Stati membri, senza bisogno di una legge nazionale di recepimento. In Italia le autorità competenti sono Banca d'Italia, CONSOB e IVASS.
A chi si applica il regolamento DORA?
Qui sta una delle novità più rilevanti. DORA non riguarda solo “le banche”: copre oltre 20 categorie di entità finanziarie e, per la prima volta nel diritto europeo, anche i loro fornitori ICT.
Tra le entità finanziarie soggette a DORA:
- Enti creditizi (banche) e istituti di pagamento e di moneta elettronica
- Imprese di investimento (SIM) e gestori di fondi (SGR, GEFIA)
- Imprese di assicurazione e riassicurazione e intermediari assicurativi
- Prestatori di servizi per le cripto-attività (CASP, ai sensi di MiCA)
- Agenzie di rating del credito, sedi di negoziazione, controparti centrali
La parte che spesso sorprende: DORA si applica anche ai fornitori terzi di servizi ICT critici — i cosiddetti CTPP (Critical Third Party Providers). Cloud provider, software house, gestori di data center che erogano servizi essenziali al settore finanziario finiscono sotto un quadro di sorveglianza diretto delle Autorità di vigilanza europee (EBA, ESMA, EIOPA). Tradotto: se sei un MSP o una software house che lavora con banche e assicurazioni, DORA ti riguarda eccome. Le microimprese finanziarie, invece, beneficiano di un regime semplificato e proporzionato.
Quali sono i 5 pilastri del regolamento DORA?
Tutto DORA si regge su cinque aree di obbligo. Conoscerle è il primo passo per capire da dove cominciare con l'adeguamento.
1. Gestione del rischio ICT. Serve un framework di governance documentato: ruoli, policy, responsabilità chiare dell'organo di gestione (il CdA non può più delegare e dimenticarsene). Identificazione degli asset critici, protezione, rilevamento, risposta e ripristino.
2. Gestione e segnalazione degli incidenti ICT. Le entità devono rilevare, classificare e segnalare gli incidenti gravi alle autorità competenti entro tempistiche precise, con un report iniziale, uno intermedio e uno finale. Niente più incidenti gestiti “in silenzio”.
3. Test di resilienza operativa digitale. Vulnerability assessment periodici e, per le entità più significative, Threat-Led Penetration Testing (TLPT) almeno ogni 3 anni: simulazioni d'attacco realistiche per verificare la tenuta reale.
4. Gestione del rischio dei fornitori terzi ICT. Registro completo dei contratti con i fornitori, clausole minime obbligatorie (livelli di servizio, diritti di audit, cooperazione in caso di incidente, exit strategy), valutazione del rischio di concentrazione.
5. Condivisione delle informazioni. Scambio volontario di intelligence sulle minacce tra entità finanziarie, per alzare la difesa collettiva del settore.
Qual è la differenza tra DORA e NIS2?
Domanda legittima: in azienda arrivano due acronimi europei quasi insieme e si rischia di confonderli. La regola pratica è semplice: se sei un'entità finanziaria, il tuo riferimento principale è DORA; se sei in un altro settore critico (energia, sanità, manifatturiero), è NIS2. Ecco il confronto diretto.
| Caratteristica | DORA | NIS2 |
|---|---|---|
| Tipo di atto | Regolamento UE 2022/2554 (diretto) | Direttiva UE 2022/2555 (da recepire) |
| Ambito | Solo settore finanziario (verticale) | 18 settori critici (orizzontale) |
| In applicazione da | 17 gennaio 2025 | Recepita in Italia nel 2024 (D.lgs. 138/2024) |
| Focus | Resilienza operativa ICT, test, fornitori terzi | Misure minime di cybersecurity, governance |
| Fornitori ICT terzi | Sorveglianza diretta UE (CTPP) | Sicurezza supply chain (indiretta) |
| Autorità in Italia | Banca d'Italia, CONSOB, IVASS | ACN (Agenzia Cybersicurezza Nazionale) |
| Per chi rientra in entrambe | Prevale DORA (lex specialis) | Cede il passo per gli ambiti coperti da DORA |
Il principio di lex specialis è la chiave: per le entità finanziarie che ricadrebbero sia in NIS2 sia in DORA, prevalgono gli obblighi più specifici di DORA sui temi di resilienza ICT. Se vuoi approfondire l'altra normativa, leggi la nostra guida completa alla direttiva NIS2 per le aziende italiane.
Quali sanzioni prevede il regolamento DORA?
DORA non fissa un tetto sanzionatorio unico a livello europeo per le entità finanziarie: demanda agli Stati membri la definizione di sanzioni amministrative effettive, proporzionate e dissuasive. In Italia, Banca d'Italia, CONSOB e IVASS applicano le sanzioni nell'ambito dei rispettivi quadri di vigilanza, con misure che vanno dalle ingiunzioni alle sanzioni pecuniarie.
Discorso diverso per i fornitori ICT critici (CTPP) sotto sorveglianza diretta europea: per loro le autorità possono imporre penalità di mora fino all'1% del fatturato medio giornaliero mondiale, applicabili per un massimo di 6 mesi finché non si conformano. A questo si aggiunge il rischio reputazionale e la responsabilità diretta dell'organo di gestione: con DORA il CdA non può più scaricare la resilienza ICT sull'ufficio tecnico e lavarsene le mani.
Checklist di adeguamento DORA: 8 passi per partire
Hai capito che DORA ti riguarda e vuoi sapere da dove cominciare. Ecco la checklist pratica che usiamo noi di BullTech per accompagnare entità finanziarie e loro fornitori ICT nell'adeguamento. Se una sola di queste voci non è spuntata, c'è un gap da chiudere.
Gap analysis sui 5 pilastri — fotografa lo stato attuale rispetto agli obblighi DORA e quantifica le lacune. È il punto di partenza di qualsiasi piano di adeguamento serio.
Framework di gestione del rischio ICT — formalizza policy, ruoli e responsabilità dell'organo di gestione. Il CdA deve approvare e supervisionare la strategia di resilienza, non solo prenderne atto.
Processo di gestione incidenti — implementa rilevamento, classificazione e segnalazione degli incidenti gravi alle autorità, con i template di report iniziale, intermedio e finale già pronti.
Piano di test di resilienza — programma vulnerability assessment periodici e, se sei un'entità significativa, il Threat-Led Penetration Testing (TLPT) almeno ogni 3 anni.
Registro dei fornitori ICT — censisci tutti i fornitori di servizi ICT, classifica quelli critici e mappa il rischio di concentrazione su un singolo provider.
Revisione dei contratti ICT — aggiorna i contratti con le clausole minime DORA: livelli di servizio, diritti di audit, cooperazione in caso di incidente, accesso ai dati, exit strategy.
Business continuity e disaster recovery — predisponi e soprattutto testa i piani di continuità operativa e ripristino. Un piano DR mai testato non vale nulla quando serve davvero.
Formazione e cultura della resilienza — forma il personale e l'organo di gestione sui propri obblighi. La compliance non è solo carta: è comportamento quotidiano.
L'adeguamento a DORA non è un progetto da chiudere in una settimana, ma nemmeno una montagna invalicabile: serve metodo e un partner che conosca sia la tecnologia sia la normativa. La maggior parte del lavoro si concentra sui pilastri della sicurezza informatica aziendale e su una solida consulenza di cybersecurity che traduca gli obblighi in misure tecniche e organizzative concrete. Per il monitoraggio continuo e la rilevazione degli incidenti — pilastro centrale di DORA — il nostro servizio SOC e MDR con monitoraggio 24/7 copre il requisito di detection e response. E se operi nel comparto finanziario, scopri le nostre soluzioni di cybersecurity per finanza e assicurazioni.