DORA compliance: 15 mesi dopo, a che punto siamo

Il regolamento DORA (Digital Operational Resilience Act) è pienamente applicabile dal 17 gennaio 2025. Dopo 15 mesi di lavoro con istituzioni finanziarie e i loro fornitori ICT, il quadro è chiaro: la maggior parte ha avviato il percorso di DORA compliance. Quasi nessuno l’ha completato davvero.

Il problema non è la volontà. DORA è un regolamento denso, trasversale. Tocca legal, procurement, IT, risk management. E quando tutti pensano che “se ne occupa qualcun altro”, nessuno se ne occupa.

Ecco i 5 gap che trovo più spesso. Alcuni sono ovvi. Altri no.

1. Contratti ICT non aggiornati all’Articolo 30

L’Articolo 30 DORA prescrive clausole obbligatorie per tutti i contratti con fornitori di servizi ICT. Diritti di audit, exit strategy, obblighi di cooperazione con le autorità di vigilanza, livelli di servizio misurabili, requisiti di sicurezza.

In pratica? Molti contratti sono ancora quelli pre-DORA. Firmati anni fa, rinnovati tacitamente, mai rivisti. Il fornitore cloud che gestisce i dati critici opera con un contratto che non prevede nemmeno il diritto di audit dell’ente finanziario.

Cosa fare: Mappare tutti i contratti ICT attivi. Eseguire una gap analysis clausola per clausola rispetto ai requisiti dell’Art. 30. Dare priorità ai contratti con fornitori che supportano funzioni critiche o importanti.

2. Register of Information incompleto o scollegato

Il Register of Information (RoI) è l’inventario di tutti gli accordi contrattuali con fornitori terzi di servizi ICT. DORA lo richiede. Le ESA lo usano per identificare i Critical Third-Party ICT service Providers (CTPP) soggetti a supervisione diretta.

Il problema: spesso il RoI esiste come foglio Excel compilato una volta e dimenticato. Non parla con il procurement, non si aggiorna quando cambiano i fornitori, non riflette le sub-deleghe.

Cosa fare: Integrare il RoI nei processi di acquisto e rinnovo contrattuale. Deve essere un documento vivo, non un adempimento una tantum. Ogni nuovo contratto ICT, ogni rinnovo, ogni cambio di sub-fornitore deve passare dal RoI.

3. TLPT: nessuno sa bene chi deve farlo

Il Threat-Led Penetration Testing (TLPT) è obbligatorio per le entità finanziarie identificate dalle autorità competenti. Ma lo scoping resta il punto critico: quali sistemi testare? Quali fornitori terzi coinvolgere? Chi coordina il test? Con quale framework?

Molte entità non hanno ancora verificato se rientrano nel perimetro TLPT. Altre ci rientrano ma non hanno avviato la pianificazione.

Cosa fare: Verificare con l’autorità competente se la propria entità è soggetta a TLPT. Se sì, definire l’ambito adesso, identificare un provider qualificato, e pianificare il primo ciclo di test. Non a ridosso della scadenza.

4. Soglie di classificazione incidenti non condivise

DORA richiede criteri chiari per classificare gli incidenti ICT e determinare quando scatta l’obbligo di notifica all’autorità di vigilanza. In teoria semplice. In pratica, IT e compliance usano metriche diverse.

Risultato: quando arriva un incidente, si litiga sulla classificazione mentre il tempo di notifica scorre. È la ricetta perfetta per una notifica tardiva o incompleta.

Nota: il Digital Omnibus Package, attualmente in fase legislativa, prevede un portale unico di segnalazione incidenti e l’estensione del termine di notifica a 96 ore. Ma fino all’adozione, gli obblighi attuali restano invariati.

Cosa fare: Organizzare un tavolo congiunto IT-compliance-legal per definire soglie di classificazione condivise. Testarle con simulazioni di incidenti. Documentare i criteri in un playbook accessibile a tutti i team coinvolti.

5. Accordi infragruppo: servono contratti formali

Questo è quello che sorprende sempre. Il servizio ICT lo eroga la capogruppo? La società sorella gestisce l’infrastruttura? Serve comunque un contratto conforme all’Articolo 30 DORA.

“Siamo lo stesso gruppo” non è un’esenzione. DORA non fa distinzioni: ogni rapporto con un fornitore di servizi ICT — interno o esterno al gruppo — richiede una formalizzazione contrattuale con le clausole obbligatorie.

Cosa fare: Censire tutti i servizi ICT erogati all’interno del gruppo. Formalizzarli con contratti conformi all’Art. 30. Sì, anche quelli che “abbiamo sempre fatto così”.

Il quadro d’insieme

Questi 5 gap non sono errori di interpretazione. Sono il risultato di un regolamento complesso che richiede coordinamento tra funzioni che tradizionalmente non parlano tra loro. La resilienza operativa digitale non si ottiene con un progetto IT e una checklist compliance. Serve un approccio integrato.

Le ESA stanno proseguendo con la designazione dei CTPP e l’affinamento degli standard tecnici. Le autorità di vigilanza nazionali stanno costruendo le capacità di supervisione. Il tempo per “prepararsi” si sta riducendo.

Se riconosci più di due di questi gap nella tua organizzazione, è il momento di fare il punto. La consulenza DORA specializzata può aiutarti a chiudere le lacune prima che diventino problemi.

Fonti: ESMA – DORA | EBA – Operational Resilience