Software di conformità

Miglior software DORA 2026 per entità finanziarie (Consob, Banca d'Italia)

Software DORA per entità finanziarie nel 2026: registro delle informazioni, gestione del rischio ICT, test di resilienza e reporting incidenti verso Consob e Banca d'Italia.

Also available in:English·Polski·Deutsch·Español

Un software di conformità DORA automatizza gli obblighi che il Regolamento (UE) 2022/2554 (DORA), applicabile dal 17 gennaio 2025, impone alle entità finanziarie: gestione del rischio ICT, tenuta del registro delle informazioni sui contratti con i fornitori terzi di servizi ICT, gestione, classificazione e segnalazione degli incidenti connessi alle tecnologie dell’informazione e della comunicazione, test di resilienza operativa digitale (compresi i test di penetrazione guidati dalle minacce, TLPT) e presidio del rischio derivante da terze parti. In Italia le autorità di vigilanza competenti sono Consob, Banca d’Italia e IVASS, ciascuna per il proprio comparto. Nel 2026 il prezzo di questi strumenti va da circa EUR 10.000/anno per le entità di dimensioni contenute a oltre EUR 150.000/anno per gli intermediari significativi che devono gestire test avanzati e un ampio parco di fornitori ICT.

Il DORA nasce da una constatazione semplice: la resilienza operativa di banche, assicurazioni e mercati non dipende più solo dai loro sistemi, ma dalla catena di fornitori tecnologici — cloud provider, software house, servizi di pagamento — su cui il settore si appoggia. Il regolamento risponde con un quadro armonizzato e direttamente applicabile in tutta l’Unione, senza margini di recepimento nazionale sui contenuti sostanziali; il testo integrale del Regolamento (UE) 2022/2554 è disponibile su EUR-Lex. Per le entità italiane questo si traduce in obblighi puntuali, in un registro delle informazioni da trasmettere alle autorità e in una responsabilità dell’organo di amministrazione che non può essere delegata alla sola funzione IT.

La complessità è tale che la gestione manuale è impraticabile per la maggior parte delle entità in ambito. Il registro delle informazioni da solo richiede di censire ogni contratto ICT, classificarne la criticità e mappare le dipendenze; gli obblighi di segnalazione degli incidenti hanno finestre temporali definite; i test di resilienza vanno pianificati e documentati. Questa guida spiega i pilastri del DORA, cosa deve fare un software dedicato, quali criteri usare per sceglierlo e chi rientra nel perimetro.

Trasparenza: Legiscope è il nostro prodotto. Lo includiamo perché rientra in questa categoria; ogni strumento è trattato con lo stesso spirito critico.

Quali sono i cinque pilastri del DORA?

Il regolamento si articola su cinque aree, e un software serio deve coprirle tutte o integrarsi con chi le copre.

Il primo pilastro è la gestione del rischio ICT: un quadro strutturato per identificare, proteggere, rilevare, rispondere e ripristinare, con inventario degli asset informatici, politiche di sicurezza, gestione delle vulnerabilità e continuità operativa. È il fondamento su cui poggia tutto il resto.

Il secondo è la gestione, classificazione e segnalazione degli incidenti connessi alle TIC: le entità devono classificare gli incidenti secondo criteri di gravità armonizzati e segnalare quelli gravi alle autorità competenti secondo lo schema di notifica iniziale, intermedia e finale. In Italia il canale passa per l’autorità di vigilanza di riferimento (Banca d’Italia, Consob o IVASS).

Il terzo è il registro delle informazioni sui contratti con fornitori terzi di servizi ICT: ogni entità deve mantenere e tenere aggiornato un registro strutturato secondo il modello tecnico previsto, che le autorità raccolgono periodicamente. È l’adempimento più oneroso in termini di dati e quello dove un software fa la differenza maggiore.

Il quarto è il test di resilienza operativa digitale: test periodici degli strumenti e dei sistemi ICT e, per le entità significative, test di penetrazione guidati dalle minacce (TLPT) con cadenza pluriennale, condotti da soggetti qualificati.

Il quinto è la gestione del rischio derivante da terze parti ICT: valutazione preventiva dei fornitori, clausole contrattuali obbligatorie, strategie di uscita e monitoraggio della concentrazione, con particolare attenzione ai fornitori critici sottoposti a sorveglianza a livello europeo.

Quali criteri di valutazione contano di più?

Criterio Cosa deve fare lo strumento Perché è decisivo
Registro delle informazioni ICT Popolamento guidato, validazione dei campi, esportazione nel formato richiesto dalle autorità È l’obbligo più oneroso e il più controllato
Gestione del rischio ICT Inventario asset, politiche, gestione vulnerabilità, tracciamento del rischio residuo È il fondamento richiesto dal pilastro 1
Segnalazione incidenti Classificazione per gravità, modelli di notifica iniziale/intermedia/finale, scadenzario Le finestre e i criteri sono armonizzati e vincolanti
Test di resilienza Pianificazione dei test, tracciamento delle remediation, gestione TLPT per le entità significative Obbligo periodico documentato
Rischio terze parti ICT Repository contratti, clausole obbligatorie, strategie di uscita, monitoraggio concentrazione La supply chain è il cuore del DORA
Reportistica all’organo di gestione Cruscotti per il board, tracciabilità delle approvazioni La responsabilità è dell’organo di amministrazione
Hosting nell’UE Infrastruttura europea, garanzie sui trasferimenti Coerenza con il quadro di sovranità e con il GDPR

Come per ogni scelta di questo tipo, i criteri utili sono gli stessi che consigliamo per il software di conformità GDPR: profondità funzionale reale, non promesse; capacità di ridurre le ore-uomo; e integrazione con gli adempimenti che già gestite. Molte entità finanziarie, infatti, trattano volumi rilevanti di dati personali e devono coordinare il DORA con gli obblighi di notifica delle violazioni al Garante: un incidente ICT grave è spesso anche un data breach.

Chi è soggetto al DORA?

Il perimetro del DORA è ampio e copre circa venti tipologie di entità finanziarie: enti creditizi (banche), istituti di pagamento e di moneta elettronica, imprese di investimento (SIM), gestori di fondi, imprese di assicurazione e riassicurazione, fornitori di servizi per le cripto-attività, controparti centrali, sedi di negoziazione, agenzie di rating e altri intermediari, oltre ai fornitori terzi di servizi ICT considerati critici, sottoposti a un regime di sorveglianza a livello europeo.

Il regolamento applica il principio di proporzionalità: le microimprese e alcune entità di dimensioni ridotte sono soggette a un quadro semplificato di gestione del rischio, mentre gli intermediari significativi affrontano gli obblighi più stringenti, inclusi i test TLPT. Per le fintech in fase di crescita questo significa che gli obblighi crescono con la dimensione e la criticità dei servizi offerti: conviene impostare fin da subito un impianto scalabile piuttosto che rincorrere gli adempimenti.

Un punto spesso sottovalutato riguarda l’interazione con la NIS2. Per le entità finanziarie il DORA opera come normativa settoriale di riferimento sugli aspetti di rischio ICT, ma la logica organizzativa è la stessa e molte imprese devono mappare entrambi i quadri. Abbiamo affrontato il tema dal lato cyber nella guida al software di conformità NIS2, utile a chi deve tenere insieme i due regimi senza duplicare gli strumenti.

DORA e AI Act: il fronte che si sta aprendo

Molti sistemi ICT delle entità finanziarie incorporano ormai componenti di intelligenza artificiale — dallo scoring del credito all’antifrode, dalla consulenza automatizzata all’antiriciclaggio. Alcuni di questi usi ricadono nell’ambito del Regolamento (UE) 2024/1689 (AI Act) come sistemi ad alto rischio, con obblighi di governance, documentazione e supervisione umana che si aggiungono a quelli DORA. Chi sta valutando strumenti di resilienza operativa dovrebbe considerare fin da ora la convergenza con la governance dell’IA: ne parliamo nella guida dedicata al software di conformità AI Act.

Il filo conduttore, come sempre, è evitare i silos. Un incidente su un sistema di antifrode basato su IA può attivare simultaneamente la segnalazione DORA all’autorità di vigilanza, la notifica di data breach al Garante e obblighi documentali ai sensi dell’AI Act. Strumenti che condividono l’inventario degli asset e il registro degli incidenti riducono il rischio di notifiche incoerenti tra autorità diverse.

Legiscope affronta questo scenario partendo dall’impianto GDPR — registro dei trattamenti, valutazioni d’impatto, gestione delle violazioni — con hosting interamente nell’Unione europea e una metodologia disegnata da ricercatori con dottorato, così da fornire alle funzioni compliance e risk delle entità finanziarie una base unica da estendere agli obblighi documentali del DORA. Se state ancora valutando il fondamento della vostra compliance, la nostra rassegna del miglior software GDPR è un buon punto di partenza.

Domande frequenti

Quanto costa un software di conformità DORA?

Nel 2026 il prezzo dipende dalla dimensione dell’entità e dalla complessità del suo ecosistema ICT. Per le entità di dimensioni contenute e le fintech in crescita le piattaforme partono da circa EUR 10.000 all’anno; per gli intermediari significativi, che devono gestire un ampio registro di fornitori, test di resilienza avanzati e reportistica strutturata, il costo può superare EUR 150.000 all’anno. Il fattore che incide di più non è la licenza, ma il tempo interno necessario a popolare e mantenere il registro delle informazioni: uno strumento che automatizza questa parte ha di norma un ritorno superiore rispetto a un’alternativa più economica ma manuale.

Quali sono le autorità competenti per il DORA in Italia?

La vigilanza è ripartita per comparto: Banca d’Italia per banche, intermediari e istituti di pagamento; Consob per il mercato mobiliare e gli intermediari sottoposti alla sua vigilanza; IVASS per il settore assicurativo. A queste si affianca il regime europeo di sorveglianza dei fornitori terzi di servizi ICT considerati critici. La classificazione degli incidenti e la trasmissione del registro delle informazioni passano per l’autorità di riferimento dell’entità.

Il DORA sostituisce gli obblighi GDPR sulla sicurezza?

No. Il DORA e il GDPR operano su piani complementari: il primo disciplina la resilienza operativa digitale del settore finanziario, il secondo la protezione dei dati personali. Un incidente ICT grave sotto il DORA può integrare anche una violazione dei dati personali da notificare al Garante entro 72 ore ai sensi dell’art. 33 GDPR. Le entità devono quindi gestire i due flussi in parallelo, ed è preferibile farlo da strumenti che condividano l’inventario degli asset e il registro degli incidenti.

Conclusione

Il DORA ha reso la resilienza operativa digitale un obbligo direttamente applicabile per le entità finanziarie italiane, presidiato da Consob, Banca d’Italia e IVASS e centrato su cinque pilastri: gestione del rischio ICT, segnalazione degli incidenti, registro delle informazioni sui fornitori, test di resilienza e presidio delle terze parti. La parte più onerosa — il registro delle informazioni e la documentazione dimostrativa — è anche quella in cui un software ben progettato produce il ritorno maggiore, riducendo le ore-uomo e mantenendo il tutto aggiornato e coerente con gli altri regimi (GDPR, NIS2, AI Act) che spesso si attivano insieme. La scelta migliore è lo strumento che integra questi flussi invece di moltiplicarli, con hosting nell’Unione europea e capacità reale di popolare e aggiornare il registro senza ricominciare da capo a ogni revisione.

Vedi anche: la guida a DORA in Italia e la sua applicazione alle banche italiane.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →