Sicurezza dei dati

DORA per le banche italiane: obblighi e scadenze

DORA per le banche italiane: Banca d'Italia integra la resilienza ICT con la Circolare 285, rischio terze parti, test TLPT e responsabilità del board.

Also available in:English

Per le banche italiane DORA (Reg. (UE) 2022/2554), applicabile dal 17 gennaio 2025, si innesta su un impianto di vigilanza già maturo: la Banca d’Italia integra i requisiti di resilienza operativa digitale con la governance dei rischi della Circolare 285/2013. Il punto di massima pressione per il settore bancario italiano è il rischio ICT di terze parti, in un mercato storicamente incentrato sull’esternalizzazione a consorzi e outsourcer tecnologici. A ciò si aggiungono i test avanzati di resilienza (TLPT), la classificazione e segnalazione degli incidenti a Banca d’Italia e una chiara responsabilità del consiglio di amministrazione.

Questa guida approfondisce gli obblighi DORA specifici per le banche, distinti dal quadro generale del regolamento.

Key Takeaways

  • Banca d’Italia integra DORA con la governance dei rischi della Circolare 285/2013.
  • Il rischio ICT di terze parti è la priorità per il settore bancario italiano, forte utilizzatore di consorzi e outsourcer.
  • Le banche più rilevanti devono affrontare i Threat-Led Penetration Testing (TLPT).
  • Gli incidenti ICT gravi vanno classificati e segnalati a Banca d’Italia secondo gli standard tecnici.
  • Il consiglio di amministrazione approva e sorveglia il framework: la responsabilità è del vertice.

DORA sulla governance esistente di Banca d’Italia

Le banche non partono da zero. La Circolare 285 già impone un solido sistema di governo e controllo dei rischi, comprese le regole sull’esternalizzazione di funzioni aziendali importanti. DORA non cancella questo impianto: lo specializza sul rischio ICT, aggiungendo requisiti direttamente applicabili e più prescrittivi su gestione del rischio informatico, incidenti, test e fornitori tecnologici.

In pratica, la banca deve mappare i requisiti DORA sui presidi esistenti, colmare i gap (in particolare su registro dei fornitori ICT, strategie di uscita e test avanzati) e aggiornare le politiche interne. Il framework di gestione del rischio ICT va approvato e sorvegliato dall’organo di amministrazione, non delegato interamente alle funzioni tecniche. Il quadro generale del regolamento e delle autorità è nella guida a DORA in Italia.

Il nodo del rischio ICT di terze parti

Il settore bancario italiano è particolarmente esposto sul quinto pilastro di DORA per una ragione strutturale: molte banche, soprattutto medie e piccole, esternalizzano l’IT a consorzi e outsourcer condivisi. Questo concentra il rischio su pochi fornitori critici, la cui indisponibilità può colpire contemporaneamente numerose banche.

DORA impone di conseguenza:

  • contratti con requisiti minimi obbligatori (livelli di servizio, sicurezza, audit, cooperazione con le autorità);
  • valutazione preventiva della concentrazione del rischio su un unico fornitore;
  • strategie di uscita documentate e testate per le funzioni critiche;
  • il registro delle informazioni su tutti i contratti ICT, trasmesso a Banca d’Italia tramite Infostat.

La formalizzazione di questi rapporti si sovrappone, quando il fornitore tratta anche dati personali, con la disciplina della nomina del responsabile del trattamento ex art. 28. Mantenere aggiornato il registro dei fornitori e le clausole contrattuali è un lavoro continuo che piattaforme come Legiscope aiutano a strutturare; per un confronto degli strumenti si veda il software per la conformità DORA.

Test di resilienza e TLPT

DORA richiede un programma di test di resilienza proporzionato al profilo di rischio. Per le banche più rilevanti scattano i Threat-Led Penetration Testing (TLPT): test avanzati basati su scenari di minaccia realistici, condotti secondo il framework europeo TIBER e coordinati con l’autorità. Le banche più piccole applicano test proporzionati ma comunque strutturati (vulnerability assessment, scenario testing).

Il TLPT non è un semplice penetration test: coinvolge threat intelligence, red team e una governance formalizzata, e produce un piano di remediation verificato dall’autorità.

Classificazione e segnalazione degli incidenti

Gli incidenti ICT gravi vanno classificati secondo i criteri degli standard tecnici (numero di clienti colpiti, durata, perdite economiche, criticità dei servizi) e segnalati a Banca d’Italia entro le tempistiche previste. Quando l’incidente coinvolge dati personali dei clienti, si aggiunge la notifica di violazione al Garante entro 72 ore ex art. 33 GDPR. La procedura interna deve gestire questo doppio binario, analogamente a quanto avviene per la notifica degli incidenti in ambito NIS2.

Adempimento Riferimento
Framework rischio ICT Approvato dal CdA, integrato con Circolare 285
Registro fornitori ICT Trasmesso a Banca d’Italia via Infostat
Segnalazione incidenti A Banca d’Italia secondo standard tecnici
Test TLPT Banche rilevanti, framework TIBER
Notifica data breach Al Garante entro 72 ore se coinvolti dati personali

Responsabilità del consiglio di amministrazione

DORA responsabilizza esplicitamente l’organo di amministrazione: approva la strategia di resilienza ICT, ne sorveglia l’attuazione, alloca risorse adeguate e mantiene competenze aggiornate. Per le banche italiane questo si somma alla responsabilità già prevista dalla Circolare 285 sul sistema dei controlli interni. La cybersicurezza diventa materia di board, con obblighi di formazione per gli amministratori. La documentazione delle misure di sicurezza va tenuta insieme al registro dei trattamenti per assicurare coerenza tra i due perimetri.

Il problema della concentrazione nel modello consortile

Il modello bancario italiano, con la sua forte dipendenza da consorzi tecnologici condivisi, pone un problema che DORA affronta esplicitamente: la concentrazione del rischio. Quando decine di banche si affidano allo stesso outsourcer per i sistemi core, il fornitore diventa un punto singolo di fallimento a livello sistemico. Un incidente grave presso quel fornitore può propagarsi contemporaneamente a molte banche.

DORA richiede quindi alle banche di valutare e monitorare la concentrazione dei propri fornitori critici, di considerare il rischio di lock-in tecnologico e di predisporre strategie di uscita realistiche. Per un fornitore consortile profondamente integrato, una strategia di uscita credibile è tecnicamente complessa, ma il regolamento non ammette che resti sulla carta: va documentata e, per quanto possibile, verificata.

Come organizzare il progetto di conformità

Per una banca, mettere a terra DORA significa coordinare più funzioni. Un percorso ordinato prevede: una gap analysis tra i presidi esistenti (Circolare 285) e i requisiti DORA; la costruzione o l’aggiornamento del registro delle informazioni sui contratti ICT; la revisione dei contratti con i fornitori critici per inserire le clausole minime obbligatorie; la definizione del programma di test e, per le banche rilevanti, la pianificazione del TLPT; l’aggiornamento della procedura di gestione e segnalazione degli incidenti con il doppio binario verso Banca d’Italia e Garante; e il coinvolgimento formale del consiglio. Trattare questi filoni come un unico programma coordinato, e non come adempimenti isolati, è ciò che distingue una conformità sostanziale da una di facciata.

FAQ

Come si integra DORA con la Circolare 285 di Banca d’Italia?

DORA non sostituisce la Circolare 285 ma la specializza sul rischio ICT. Le banche mappano i requisiti DORA sui presidi di governance già esistenti, colmano i gap — in particolare su registro dei fornitori, strategie di uscita e test avanzati — e aggiornano politiche e contratti. L’organo di amministrazione resta responsabile dell’intero impianto.

Tutte le banche devono fare i test TLPT?

No. I Threat-Led Penetration Testing sono richiesti alle banche più rilevanti per dimensione e profilo di rischio, secondo i criteri definiti dalle autorità. Le banche minori applicano test di resilienza proporzionati, comunque strutturati, ma non necessariamente il TLPT completo secondo il framework TIBER.

Perché il rischio di terze parti è così critico per le banche italiane?

Perché molte banche italiane, soprattutto medie e piccole, esternalizzano l’IT a consorzi e outsourcer condivisi, concentrando il rischio su pochi fornitori critici. DORA impone contratti rafforzati, valutazione della concentrazione, strategie di uscita e il registro delle informazioni sui contratti ICT trasmesso a Banca d’Italia.

Un incidente ICT va segnalato sia a Banca d’Italia sia al Garante?

Sì, quando coinvolge dati personali. La segnalazione a Banca d’Italia segue i criteri di classificazione DORA e i relativi standard tecnici; la notifica al Garante segue l’art. 33 GDPR con il termine di 72 ore. Sono obblighi distinti che la procedura interna deve gestire in parallelo.

Vedi anche: la guida generale al DORA in Italia e gli adempimenti del GDPR per le banche.


Fonti ufficiali: Banca d’Italia · Regolamento (UE) 2022/2554 (DORA) su EUR-Lex

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →