“Il Parlamento Europeo ha raggiunto l’accordo finale sul Digital Operational Resilience Act (DORA). Si tratta della più importante iniziativa regolamentare a livello UE in materia di resilienza operativa digitale nel settore dei servizi finanziari e si può dire che ha una portata rivoluzionaria”, afferma Andrea Rigoni, EU Digital Policy Center Director di Deloitte, nel commentare la notizia dell’approvazione del nuovo regolamento.
“Infatti, il DORA porta con sé un profondo cambio di paradigma nella gestione del digitale e dei relativi rischi di interruzione, promuovendo un approccio olistico e dinamico adatto a rispondere prontamente all’evoluzione continua delle minacce e delle vulnerabilità”, spiega Rigoni.
“DORA spinge le organizzazioni ad assumere che gravi incidenti siano inevitabili nell’attuale contesto e a sviluppare elevati livelli di resilienza a tali eventi nel modello operativo di funzioni e servizi critici in ottica di resilience by design. Con tale obiettivo sono rafforzati il ruolo e le responsabilità del top management a cui è richiesto un elevato livello di risk culture per la comprensione dei nuovi rischi, lo sviluppo di strategie di prevenzione e risposta efficaci e l’assunzione di decisioni consapevoli e tempestive per la mitigazione degli stessi, è introdotto il regime di vigilanza per i fornitori ICT di servizi critici e rafforzati i modelli di stress testing, è promosso lo sviluppo di capabilities strategiche come la threat intelligence, solo per citare alcune delle più rilevanti novità”, aggiunge Gianfranco Tessitore, Regulatory Strategy & Controls Transformation Leader di Deloitte Risk Advisory.
Secondo l’analisi degli esperti di Deloitte, il nuovo regolamento ha una portata amplissima e impatterà non solo tutte le banche, ma anche gli operatori del settore assicurativo e gli operatori del mercato finanziario, indipendentemente dalle loro dimensioni. Già questo è un primo importantissimo cambiamento, perché verranno imposte le stesse regole a tutti.
Saranno inclusi nel perimetro anche i provider di servizi informatici e gli operatori di nuova generazione, come le fintech, inclusi i gestori di Crypto Assets o fornitori di servizi finanziari in Crowdfunding.
DORA chiederà al top management di tutti questi operatori di garantire la propria capacità di definire strategie e modelli in grado di minimizzare gli impatti da eventi derivanti dal dominio digitale che potrebbero minare la confidenzialità, la disponibilità o l’integrità dei servizi e delle funzioni più critiche.
DORA imporrà un cambio di paradigma nell’approccio al digitale e ai rischi connessi, andando a influire sul modello di business: al top management di tutti gli operatori interessati verrà richiesto di non preoccuparsi più solo della sostenibilità finanziaria, ma anche della “resilience“, ovvero della capacità di continuare ad operare anche in caso di incidenti o eventi perturbanti causati dal dominio digitale.
Tali obblighi entreranno in vigore entro 24 mesi dalla pubblicazione di DORA: gli operatori avranno fino a dicembre 2024 per prepararsi a rispondere ai nuovi requisiti, tenendo conto che la regolamentazione di secondo livello (RTS – Regulatory Technical Standards) dovrà essere presentata entro 12 mesi, lasciando poco tempo agli operatori finanziari per adeguarsi ai nuovi requisiti.
Il DORA è il primo intervento di questo genere che imporrà anche degli obblighi e un regime di vigilanza delle terze parti Digitali e ICT. Di fatto, gli operatori del settore finanziario dovranno considerare nei loro piani tutti i rischi derivati dall’adozione di specifici servizi digitali e ICT.
Le autorità presupposte avvieranno con DORA un regime di vigilanza diretta su questi operatori, che dovranno rispondere quindi non solo ai nuovi e più stringenti requisiti, ma anche prepararsi alla pressione delle autorità, aprendo nuovi scenari di regolamentazione e controllo del settore del Digitale, spiegano gli esperti di Deloitte.
DORA conferma la linea del regolatore Europeo di utilizzare l’Information Sharing, la condivisione di informazioni e dati, al fine di fronteggiare le minacce di nuova generazione. L’ecosistema finanziario da proteggere non solo è fortemente interconnesso, favorendo la propagazione di incidenti da un operatore all’altro, ma è anche caratterizzato da infrastrutture e tecnologie comuni, nonché da minacce che spesso prendono di mira l’intero settore, indipendentemente dal singolo operatore finanziario.
Un approccio olistico è fondamentale per poter anticipare i continui cambiamenti sia degli scenari di minaccia, sia nei servizi digitali, imponendo un cambio di passo nella gestione dei rischi, che con DORA diventa “dinamica e pervasiva“.
Viene inoltre introdotta la pratica degli “stress test“, utilizzata già in altri contesti ad alto livello di complessità. È un approccio che si aggiunge alle pratiche di compliance, che vengono arricchite di questo ulteriore strumento: l’operatore finanziario verrà testato periodicamente a fronte di scenari di minaccia che saranno definiti sulla base delle minacce più recenti e verosimili, verranno riprodotte le tipiche tecniche di intrusione e di attacco per verificare l’effettiva efficacia delle strategie di difesa messe in atto dall’operatore finanziario.
Su questo fronte, la regolamentazione accelererà lo sviluppo di nuove soluzioni tecnologiche basate su AI, come simulatori dei sistemi di attacco e difesa e dei cosiddetti “digital twin“, ovvero copie digitali dei sistemi dell’operatore, totalmente fedeli, sui quali poter effettuare test invasivi senza danneggiare i sistemi reali.
Si tratta quindi – sottolinea Deloitte – di una regolamentazione che imporrà un cambio di approccio a tutti i livelli, a partire dal Top Management: è questa la prima sfida da vincere, portare la giusta cultura e le giuste componenti nella leadership. In futuro questo porterà a un numero maggiore di competenze digitali e sicurezza rappresentate nei consigli di amministrazione degli operatori.
Tale cultura e tali competenze saranno anche necessarie nel business, nelle funzioni di controllo e nei dipartimenti ICT, creando la necessità di nuove figure specialistiche sul rischio digitale: si tratta di esperti trasversali che sono in grado di collegare i vari ambiti aziendali. Inoltre, per gli operatori più piccoli, sarà necessario valutare modelli di sourcing diversi, al fine di poter disporre di queste capacità attraverso servizi specializzati, senza però perdere il controllo e la responsabilità sulle scelte più strategiche, conclude Deloitte.
