DORA all’orizzonte: i cambiamenti chiave per il settore finanziario 🏦

DORA – nuovi standard per la sicurezza informatica 🔒

Nell’era digitale, quando la maggior parte delle transazioni finanziarie avviene online, la sicurezza dei nostri dati e fondi sta diventando una priorità. Di recente abbiamo visto tutti, con l’esempio del crash dei sistemi operativi di Microsoft, cosa succede quando uno dei servizi online più utilizzati dalle aziende, Office 365, viene colpito. ✈️🚫

I collegamenti aerei sono stati cancellati, la Borsa di Londra non ha funzionato e anche i clienti delle banche hanno segnalato problemi (in Polonia sono state colpite, tra le altre, Santander Bank e PKO BP). Microsoft ha stimato che l’incidente ha interessato fino a 8,5 milioni di dispositivi Windows. Gli effetti di quello che si è rivelato essere “solo” un crash hanno fermato per un attimo parte del mondo. L’entità dell’interruzione delle operazioni di enti di molti settori fa pensare a cosa potrebbe accadere quando non si tratta di un crash, ma di un attacco informatico riuscito. 🤔💻

L’Unione Europea, riconoscendo i crescenti rischi nell’ambito della sicurezza digitale per il settore finanziario e i suoi clienti, nel dicembre 2023 ha emanato il Digital Operational Resilience Act (DORA), che stabilisce nuovi standard per la sicurezza informatica delle entità finanziarie, con l’obiettivo di garantirne la resilienza a tutte le interruzioni e le minacce legate alle TIC. 🌐📜

I nuovi regolamenti mirano a:

Ridurre al minimo i rischi associati non solo agli attacchi informatici, ma più in generale agli incidenti di sicurezza. Stabilendo standard e procedure uniformi, la DORA dovrebbe contribuire a proteggere l’integrità, la sicurezza e la continuità dei servizi finanziari nell’Unione Europea. 🛡️🇪🇺

Il conto alla rovescia è partito ⏳

Le entità finanziarie hanno tempo fino al 17 gennaio 2025 per conformarsi al DORA. Dopo questa data, non ci saranno più tariffe agevolate – la FSA, durante i corsi di formazione e gli incontri con il settore finanziario, avverte che non aspetterà i ritardatari e prevede di verificare e imporre l’attuazione dei nuovi obblighi fin dal primo giorno. 📅🔍

È importante notare che il DORA non è una direttiva (come nel caso di un’altra legge sulla sicurezza informatica come la NIS2), ma un regolamento. Ciò significa che è vincolante nella sua interezza per le entità a cui si rivolge ed è direttamente applicabile in tutti i Paesi dell’Unione Europea, senza la necessità di implementarlo negli ordinamenti giuridici locali tramite leggi. 📜⚖️

Chi è interessato dal DORA? 🏦💼

La DORA riguarda principalmente – ma non esclusivamente – un ampio spettro di istituzioni finanziarie ed enti di finanza digitale. Tra gli altri, banche, compagnie di assicurazione, fondi di investimento, istituti di credito, fornitori di criptovalute, istituti di moneta elettronica e altri fornitori di servizi finanziari sono obbligati a rispettare la nuova normativa. 💳🏢

Inoltre, la DORA introduce alcuni obblighi per i fornitori di tecnologia, compresi i fornitori di servizi cloud e altri fornitori di servizi ICT. ☁️💻

Cosa significa DORA per il settore finanziario? 📊🔒

Il DORA impone obblighi agli operatori del settore finanziario, richiedendo alle istituzioni finanziarie non solo di rispondere agli incidenti, ma anche di adottare una serie di misure preventive, in base al principio che prevenire è meglio che curare. 💡🔧

In pratica, ciò significa agire principalmente nelle seguenti aree chiave:

1. Gestione del rischio ICT 🖥️⚠️Instytucje finance dovrebbe sviluppare e implementare una strategia completa di gestione del rischio ICT. Questa strategia dovrebbe includere l’identificazione, la valutazione, il monitoraggio e il controllo dei rischi ICT per garantire la sicurezza e l’integrità dei sistemi IT.
2. Gestione degli incidenti ICT 🛡️🚨La classificazione e la segnalazione degli incidenti ICT sono fondamentali per una gestione efficace della sicurezza, secondo la DORA. Le istituzioni finanziarie saranno tenute a seguire linee guida chiare per la classificazione degli incidenti, che dovrebbero portare a un’appropriata tracciabilità, analisi e risposta. Le responsabilità in quest’area comprenderanno, a titolo esemplificativo e non esaustivo: la creazione e l’implementazione di linee guida uniformi per la classificazione degli incidenti in base al livello di gravità e al tipo di minaccia; la regolare segnalazione degli incidenti alle autorità competenti e agli stakeholder, in conformità con gli standard e le normative applicabili; l’analisi delle cause principali degli incidenti per identificare le vulnerabilità e implementare le azioni correttive.
3. Gestione del rischio da parte di fornitori esterni di servizi ICT 🤝🔍Le istituzioni finanziarie devono definire politiche per la gestione della cooperazione con fornitori esterni di servizi ICT. Le responsabilità in quest’area comprenderanno, tra l’altro, lo sviluppo di criteri per la valutazione e la selezione dei fornitori di servizi ICT per garantire che soddisfino i requisiti di sicurezza e conformità, assicurando che i contratti stipulati con i fornitori di ICT siano conformi ai requisiti stabiliti dalla DORA e monitorando e valutando regolarmente le prestazioni dei fornitori.
4. La verifica della resilienza digitale operativa 🔄🛠️Obowiązki in questo settore comprenderà, tra l’altro, l’istituzione di un programma completo di verifica della resilienza digitale operativa. I soggetti finanziari diversi dalle microimprese saranno tenuti a testare tutti i sistemi e le applicazioni ICT almeno una volta all’anno. Per alcune entità obbligate, la DORA prevede anche l’obbligo aggiuntivo di effettuare test di penetrazione avanzati (TLPT) per la ricerca di minacce almeno ogni 3 anni.

Dove ci sono obblighi, ci sono anche sanzioni ⚖️💰

La comprensione e l’adeguamento ai requisiti della DORA sono essenziali dal punto di vista degli operatori finanziari, non solo per la necessità di garantire un adeguato livello di resilienza digitale operativa, ma anche per evitare gravi conseguenze legali e finanziarie.

Il DORA implica che alle autorità competenti (in Polonia sarà principalmente la FSA) saranno concessi ampi poteri di supervisione e applicazione del DORA. Esse avranno il diritto di richiedere l’accesso a tutti i documenti e i dati che riterranno rilevanti nel contesto delle loro indagini. Gli istituti finanziari devono prepararsi a eventuali revisioni e ispezioni. La mancata collaborazione o la mancata fornitura delle informazioni richieste possono comportare ulteriori sanzioni. 🔍📋

In caso di violazione del DORA, le autorità di vigilanza possono applicare diverse sanzioni amministrative. Queste includono, tra l’altro, ordini di cessazione e desistenza per le attività non conformi, l’obbligo di porre fine alle pratiche contrarie ai regolamenti e l’applicazione di sanzioni finanziarie volte a imporre la conformità. 💼💸

Sintesi 📊✍️

Naturalmente, una valutazione completa dell’impatto della nuova normativa sarà possibile solo dopo qualche tempo, ma osiamo già ipotizzare che il DORA rappresenti una pietra miliare per garantire la resilienza operativa digitale nel settore finanziario dell’UE. Con l’introduzione di nuovi standard di gestione del rischio ICT e l’obbligo di un approccio proattivo alla sicurezza digitale, il DORA non solo dovrebbe contribuire a proteggere le istituzioni finanziarie, ma anche ad aumentare la fiducia dei clienti nei servizi finanziari. La mossa è ora dalla parte del settore finanziario: il raggiungimento dell’obiettivo del DORA e dei vantaggi ad esso associati sarà possibile solo se l’implementazione dei nuovi regolamenti sarà presa sul serio. 🔜🔧