Settore finanziario e DORA: la resilienza operativa digitale è norma

Il 17 gennaio 2023 è entrato in vigore il Digital Operational Resilience ACT (DORA), ovvero il nuovo regolamento europeo relativo alla resilienza operativa digitale per il settore finanziario. Il regolamento diventerà vincolante dal 17 gennaio 2025 e nel frattempo l’impianto normativo sarà completato da norme tecniche che saranno predisposte dalle principali autorità europee del settore quali EBA, ESMA e IOPA. Il regolamento DORA fa parte di un pacchetto più ampio della strategia che l’EU sta applicando nell’ambito della cosiddetta finanza digitale. Infatti è prevista l’emissione di una norma per i mercati della cripto-valute (MiCA) e per la Distributed Ledger Technology (DLT) che è alla base della piattaforma Ethereum e delle varie block-chain. Ma perché DORA e perché la resilienza operativa nel settore finanziario sono così importanti?

di Garibaldi Conte - Managing Director di atsec information security srl

È ormai noto a tutti che il massiccio utilizzo delle Tecnologie dell’Informazione e delle Comunicazioni (ICT) ha rivoluzionato il settore finanziario e ha assunto un ruolo centrale nella sua operatività quotidiana. Questa veloce digitalizzazione non è stata però sempre accompagnata da una crescente consapevolezza dei rischi a cui il settore si esponeva e questo è dimostrato dai sempre più numerosi attacchi cyber, che hanno assunto gravità sempre più elevata.

La prima Direttiva europea, che possiamo definire un apripista nel settore, è stata la Payment Service Directive (PSD2) che ha cercato di mettere in sicurezza il mondo dei pagamenti digitali, visto che era il più bersagliato dagli hackers e che aveva registrato negli ultimi anni delle perdite legati alle frodi elettroniche da record. La pandemia COVID-19 ha infine dato il colpo di grazia a tutto il settore rendendo la cybersecurity di fatto un’emergenza mondiale e ha spinto tutte le Autorità, nazionali ed europee, a legiferare su tale ambito, anche se in maniera non omogenea e coordinata tra di loro.

DORA: obiettivi e pilastri

Per tale ragione è stato predisposto il regolamento DORA, il cui principale obiettivo è quello di rafforzare e armonizzare in Europa i requisiti di Cybersecurity nel settore finanziario al fine di creare una base comune che assicuri un livello di sicurezza dei servizi finanziari adeguato sia per gli operatori che operano in tale settore che per i consumatori dei loro servizi.

I pilastri su cui si fonda il DORA e verso i quali tutte le aziende del settore devono adeguarsi sono:

• Governance aziendale: viene richiesto un rafforzamento delle responsabilità per le funzioni che gestiscono l’ICT e, in particolare, un coinvolgimento importante dell’organo di gestione della società, che deve rivestire un ruolo centrale nella gestione dei rischi ICT e Cyber e in tutti i processi ad essi connessi;

• Gestione dei rischi ICT e Cyber: le aziende devono dotarsi di un framework di gestione di tali rischi completo ed efficace e adottare una strategia molto forte in ambito Business Continuity e Disaster Recovery;

• Gestione degli incidenti ICT e Cyber: le aziende devono rafforzare il processo di gestione di tali incidenti applicando i criteri di classificazione previsti dal Regolamento e comunicare tali incidenti alla Autorità competenti nelle modalità richieste;

• Gestione dei test di resilienza digitale: il Regolamento standardizza le regole per l’esecuzione di test di resilienza operativa che dovranno essere risk-based e proporzionali alle dimensioni della società, alla tipologia delle attività e al profilo di rischio della società;

• Gestione dei rischi delle terze parti ICT: il regolamento prevede l’inclusione nel perimetro normativo di tutti i fornitori critici di servizi ICT, per i quali si applicheranno dei requisiti sempre più stringenti e che saranno anch’essi soggetti alla vigilanza da parte della Autorità competenti;

• Condivisione delle informazioni: il Regolamento incoraggia la creazione di un sistema strutturato di comunicazione e condivisione tra le varie società del settore delle informazioni inerenti minacce e attacchi cyber al fine di aumentare la consapevolezza dei rischi connessi e acquisire una migliore capacità di risposta e prevenzione verso di essi. 

A chi si applica

Il regolamento DORA si applica circa 22000 aziende operanti nel settore dei servizi finanziari come banche, compagnie di assicurazione, società di servizi di criptovalute, istituzioni finanziarie e i loro fornitori. Ma le aziende sono pronte? Quanto sono distanti dal Dora e quale è l’entità dell’investimento che devono sostenere? La risposta è complessa e articolata. Come detto prima, il DORA armonizza requisiti in ambito cybersecurity che erano dis-omogeni tra i vari settori e tra i vari Stati dell’Unione. Se in Italia la Banca d’Italia da anni norma l’ambito della sicurezza ICT e della Cyber security (vedi Circolare 285 e Provvedimento per gli IP e gli IMEL), allineando di fatto la normativa italiana ai requisiti del DORA, lo stesso non si può dire per gli altri settori, tipo quello assicurativo, dove il gap è sicuramente maggiore. 

Sovrapposizioni normative

Altro aspetto rilevante è connesso alla sovrapposizione del DORA con altre normative europee e nazionali (vedi NIS 1 e 2, il perimetro cibernetico italiano, PSD2,..), soprattutto quando le aziende soggette al DORA sono anche coinvolte da tali normative/iniziative. Anche qui la risposta è complessa e articolata, anche se la tendenza delle Autorità nazionali ed europee è quella di applicare i requisiti delle norme che regolano settori specifici quando essi siano equivalenti, se non più stringenti, delle altre norme a cui l’azienda è soggetta.

Un punto di partenza

In conclusione, anche se il Regolamento DORA rappresenta per le autorità nazionali ed europee un punto di arrivo per garantire la resilienza digitale operativa, almeno a livello regolamentare, per le aziende che operano nel settore finanziario esso rappresenta un’ottima base di partenza per costruire dei modelli operativi più solidi e sicuri per offrire delle tutele adeguate ai consumatori dei propri servizi e costruirsi così una solida reputazione nel mercato in cui operano.