Dal 17 gennaio 2025 entrerà in vigore il Regolamento sulla resilienza operativa digitale del settore finanziario, noto come DORA (Digital Operational Resilience Act), che introdurrà un quadro normativo armonizzato a livello europeo per la gestione dei rischi ICT (Information and communications technology). La Banca d’Italia, in linea con l’approccio della Vigilanza unica europea, ha anticipato il dibattito con una comunicazione che evidenzia criticità e priorità per gli intermediari finanziari italiani.
Negli ultimi tre anni, le segnalazioni di incidenti operativi e cibernetici sono in costante aumento, con un picco di eventi nel 2023 legati soprattutto a accessi non autorizzati e violazioni della riservatezza dei dati. Secondo l’analisi della Banca d’Italia riportata nel documento “Digital resilience in the Italian financial sector: evidences from the supervisory incident reporting framework”, gran parte di questi episodi derivano da inadeguatezze nei processi di gestione dei cambiamenti ICT (ICT change management) e da abusi dei diritti di accesso da parte di personale interno o fornitori autorizzati.
Il Regolamento DORA, richiamando le linee guida dell’EBA, obbliga gli intermediari vigilati ad adottare strategie di prevenzione, monitoraggio e gestione dei rischi ICT. Tra le aree di intervento, il Regolamento enfatizza il miglioramento delle politiche di controllo degli accessi, la protezione dei dati e la capacità di individuare attività anomale nei sistemi informatici (artt. 9, 10 e 16 del Regolamento DORA).
Un’indagine condotta dalla Banca d’Italia sulla capacità di gestione e aggregazione dei dati di rischio, descritta nel documento “Indagine su Risk Data Aggregation e Risk Reporting”, ha messo in evidenza possibili carenze nei sistemi ICT utilizzati dalle banche italiane. Queste criticità possono compromettere la solidità dei processi decisionali e l’efficacia della governance dei rischi.
La Banca d’Italia ha richiesto agli intermediari di condurre un’autovalutazione completa sul proprio sistema di gestione dei rischi ICT. Tale valutazione, che dovrà essere approvata dagli organi di amministrazione e trasmessa entro il 30 aprile 2025, include:
- la verifica delle misure contro fughe di dati e violazioni della riservatezza;
- il rafforzamento del controllo sugli accessi ai sistemi;
- la conformità ai requisiti di ICT change management previsti dal Regolamento DORA.
L’obiettivo del Regolamento è rafforzare la resilienza digitale del settore finanziario italiano, mitigando i rischi che potrebbero compromettere la reputazione e la continuità operativa degli operatori. La sfida è chiara: integrare una gestione rigorosa del rischio ICT con una visione strategica, adeguando rapidamente i propri sistemi alle nuove normative per garantire un futuro digitale sicuro e sostenibile.
