Il Regolamento DORA (Reg. (UE) 2022/2554) sulla resilienza operativa digitale si applica alle entità finanziarie italiane dal 17 gennaio 2025. Riguarda banche, assicurazioni, SIM, SGR, istituti di pagamento, fornitori di servizi cripto e molti altri, imponendo un quadro unico di gestione del rischio ICT, segnalazione degli incidenti, test di resilienza e controllo dei fornitori tecnologici. In Italia le autorità competenti sono Banca d’Italia, Consob e IVASS, coordinate dal decreto di adeguamento nazionale. Questa guida spiega chi è coinvolto, i cinque pilastri e gli adempimenti pratici.
DORA non è «l’ennesima normativa IT»: è la prima volta che la resilienza digitale del settore finanziario europeo viene armonizzata con obblighi direttamente applicabili.
Key Takeaways
- DORA (Reg. 2554/2022) si applica dal 17 gennaio 2025 a tutte le entità finanziarie in ambito.
- Autorità italiane: Banca d’Italia, Consob e IVASS, secondo le rispettive competenze.
- Cinque pilastri: gestione del rischio ICT, segnalazione incidenti, test di resilienza, rischio terze parti, condivisione informazioni.
- Il registro delle informazioni sui contratti ICT va trasmesso alle autorità (via Banca d’Italia).
- Si applica il principio di proporzionalità: obblighi calibrati sulla dimensione e sul profilo di rischio.
Chi è in ambito
DORA ha un perimetro ampio: banche, imprese di assicurazione e riassicurazione, intermediari assicurativi, imprese di investimento (SIM), società di gestione del risparmio (SGR), istituti di pagamento e di moneta elettronica, fornitori di servizi per le cripto-attività, gestori di sedi di negoziazione, controparti centrali, agenzie di rating e altri. Rientrano anche i fornitori terzi critici di servizi ICT, sottoposti a un regime di sorveglianza a livello europeo.
Il regolamento introduce la proporzionalità: le microimprese e le entità più piccole applicano un quadro semplificato di gestione del rischio, mentre gli obblighi pieni gravano sugli operatori più rilevanti. Le SIM e SGR di dimensioni contenute beneficiano di adattamenti specifici.
Le autorità competenti in Italia
L’assetto italiano ripartisce la vigilanza tra le autorità di settore secondo il modello già esistente:
| Autorità | Perimetro |
|---|---|
| Banca d’Italia | Banche, intermediari finanziari, istituti di pagamento e moneta elettronica, SGR |
| Consob | SIM, gestori di sedi di negoziazione, mercati |
| IVASS | Imprese di assicurazione e riassicurazione, intermediari |
Il decreto di adeguamento nazionale ha definito poteri, procedure e sanzioni, allineando DORA all’architettura di vigilanza esistente. Le tre ESA europee (EBA, ESMA, EIOPA) hanno emanato gli standard tecnici (RTS/ITS) che completano il regolamento.
I cinque pilastri di DORA
Il regolamento si articola in cinque aree, ciascuna con obblighi operativi precisi.
1. Gestione del rischio ICT. L’entità adotta un framework di governance del rischio informatico approvato e sorvegliato dall’organo di amministrazione, con identificazione degli asset, protezione, rilevamento, risposta e ripristino. È la spina dorsale del sistema.
2. Segnalazione degli incidenti ICT. Gli incidenti gravi vanno classificati e segnalati all’autorità competente secondo tempistiche e soglie definite dagli standard tecnici. Quando l’incidente coinvolge dati personali, resta dovuta anche la notifica di violazione al Garante.
3. Test di resilienza operativa digitale. Programmi di test periodici, fino ai Threat-Led Penetration Testing (TLPT) per gli operatori più rilevanti, che simulano attacchi realistici.
4. Gestione del rischio di terze parti ICT. Il cuore pratico di DORA: contratti con requisiti minimi obbligatori, valutazione dei fornitori, strategie di uscita e — adempimento chiave — il registro delle informazioni su tutti i contratti ICT, da trasmettere alle autorità tramite i canali di Banca d’Italia (Infostat). La formalizzazione dei rapporti con i fornitori si intreccia con la nomina del responsabile del trattamento ex art. 28 quando i fornitori trattano anche dati personali.
5. Condivisione delle informazioni. Meccanismi volontari di scambio di informazioni sulle minacce cibernetiche tra entità finanziarie.
Il registro delle informazioni
Tra tutti gli adempimenti, il registro delle informazioni sui contratti ICT è quello che assorbe più lavoro iniziale. Deve mappare ogni accordo con fornitori tecnologici — inclusi i subfornitori nelle catene critiche — con dati standardizzati e va trasmesso periodicamente all’autorità. Molte entità hanno scoperto, compilandolo, di non avere una visione completa della propria catena di dipendenze ICT. Piattaforme come Legiscope aiutano a costruire e mantenere aggiornato questo registro e a gestire i requisiti contrattuali; per una valutazione degli strumenti si veda il software per la conformità DORA.
DORA, NIS2 e GDPR: come si incastrano
Per un’entità finanziaria DORA è lex specialis rispetto alla NIS2 sugli aspetti di resilienza ICT: dove DORA disciplina la materia, prevale sui corrispondenti obblighi NIS2. Restano invece pienamente applicabili il GDPR per i dati personali e, per le banche, gli approfondimenti settoriali della guida a DORA per le banche italiane. Il rapporto con la sicurezza informatica generale è chiarito nel confronto NIS2 vs GDPR, utile anche per inquadrare la governance del rischio.
Proporzionalità: cosa cambia per le entità più piccole
DORA non tratta allo stesso modo una grande banca e una piccola SIM. Il principio di proporzionalità permette alle entità di dimensioni ridotte e alle microimprese finanziarie di applicare un quadro semplificato di gestione del rischio ICT, calibrato sul profilo di rischio effettivo. Questo non significa esenzione: significa che l’intensità dei presidi — frequenza dei test, articolazione della governance, dettaglio della documentazione — si adatta alla dimensione.
Anche le entità minori, però, devono avere un framework di gestione del rischio ICT, una procedura di gestione degli incidenti, il registro dei contratti con i fornitori e una strategia per il rischio di terze parti. La proporzionalità riduce l’onere, non l’obbligo di base.
Gli errori da evitare nella fase di avvio
Nelle prime applicazioni di DORA emergono alcuni errori ricorrenti. Il più comune è sottovalutare il registro delle informazioni: molte entità lo affrontano tardi e scoprono di non avere una mappa completa dei fornitori e delle subforniture critiche. Un altro è confinare DORA nell’area IT, quando il regolamento è esplicito nel richiedere il coinvolgimento e la responsabilità dell’organo di amministrazione. Un terzo è trascurare le strategie di uscita dai fornitori critici, che DORA richiede documentate e non solo teoriche.
Affrontare per tempo questi tre nodi — registro, governance del board e uscite — evita la corsa dell’ultimo momento e trasforma la conformità DORA in un reale rafforzamento della resilienza operativa.
FAQ
Da quando si applica DORA in Italia?
DORA (Reg. (UE) 2022/2554) si applica direttamente dal 17 gennaio 2025 a tutte le entità finanziarie in ambito, senza necessità di recepimento perché è un regolamento. Il decreto italiano di adeguamento ha definito autorità competenti, poteri e sanzioni all’interno dell’architettura di vigilanza esistente.
Quali autorità vigilano su DORA in Italia?
Banca d’Italia per banche, intermediari, istituti di pagamento e SGR; Consob per SIM e mercati; IVASS per assicurazioni e intermediari assicurativi. Le tre autorità operano secondo le rispettive competenze, in coordinamento con le ESA europee che hanno emanato gli standard tecnici.
Cos’è il registro delle informazioni DORA?
È il registro di tutti i contratti con fornitori di servizi ICT che ogni entità finanziaria deve tenere e trasmettere all’autorità competente, in Italia tramite i canali di Banca d’Italia. Deve mappare i fornitori, i servizi, la criticità e le catene di subfornitura, ed è uno degli adempimenti più impegnativi del regolamento.
DORA sostituisce la NIS2 per le banche?
Sugli aspetti di resilienza operativa digitale DORA prevale come normativa speciale rispetto alla NIS2 per le entità finanziarie in ambito. Restano però applicabili le altre normative pertinenti, in particolare il GDPR per i dati personali, che DORA non sostituisce.
Vedi anche: l’applicazione di DORA alle banche italiane e la guida al GDPR per le assicurazioni, anch’esse entità finanziarie soggette a DORA.
Fonti ufficiali: Banca d’Italia · Regolamento (UE) 2022/2554 (DORA) su EUR-Lex
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial