Il settore dei servizi finanziari è da sempre sottoposto a una rigorosa regolamentazione. A differenza di altri settori che si sono affrettati a conformarsi a normative come la NIS2, le organizzazioni del settore FS si distinguono per la loro diligenza in materia di resilienza dei dati e sicurezza informatica. Abituate a operare sotto alcuni degli standard normativi più stringenti, la maggior parte dovrebbe essere in grado di gestire la conformità al DORA per quanto riguarda le operazioni interne.

Tuttavia, nonostante la fiducia che molte organizzazioni del settore FS ripongono nella loro capacità di superare audit e report DORA, non possono permettersi di abbassare la guardia. La conformità al DORA va oltre le sole procedure interne, estendendosi anche ai fornitori di servizi terzi. Ed è proprio qui che molte organizzazioni rischiano di inciampare nelle prime fasi di applicazione del regolamento. Con conseguenze che vanno da sanzioni significative a gravi danni al marchio e alla reputazione, trascurare questo aspetto può rivelarsi un errore costoso.

Essere preparati

A differenza di altri settori chiamati a conformarsi al NIS2, le organizzazioni di servizi finanziari si trovano inevitabilmente in una posizione di vantaggio sul fronte della conformità normativa. Per molte, i requisiti del DORA rappresentano un’opportunità per consolidare e valorizzare la solidità delle basi già esistenti. Tuttavia, l’aspetto cruciale del DORA per questo settore sarà focalizzato sui test di resilienza operativa, promuovendo una maggiore consapevolezza degli scenari di rischio e del loro potenziale impatto.

La maggior parte delle istituzioni finanziarie e delle banche avrà probabilmente affrontato con fiducia i test di scenario, ritenendo di essere conformi al DORA già dallo scorso gennaio, rispettando la scadenza prevista. Se il regolamento si limitasse alla conformità interna, questa sicurezza sarebbe più che giustificata. Tuttavia, il DORA va oltre, estendendosi anche ai fornitori terzi e all’intera catena di fornitura. Questo introduce un rischio significativo: quello di un potenziale punto cieco che le organizzazioni non possono permettersi di ignorare.

DORA: ecco come iniziare

Le organizzazioni di servizi finanziari possono fare tutto il possibile per garantire la conformità interna al DORA, ma se i loro partner terzi e fornitori non sono altrettanto conformi, il risultato sarà comunque un fallimento. E questo è un rischio che non può essere sottovalutato. Secondo la Global Third-Party Risk Management Survey di EY, solo negli Stati Uniti il 98% delle organizzazioni di servizi finanziari collabora con fornitori terzi. Anche se spesso non ne sono pienamente consapevoli, queste terze parti rappresentano uno dei maggiori fattori di rischio per la conformità al DORA.

Purtroppo, non esiste una soluzione rapida. Come minimo, ogni banca e istituto finanziario nell’UE soggetto al DORA dovrà rinegoziare numerosi Service Level Agreement (SLA) con partner terzi, sia nuovi che esistenti. Le organizzazioni di servizi finanziari devono affrontare la realtà: sarà un compito complesso ma inevitabile. Rendere la conformità al DORA un prerequisito consolidato sarà essenziale per garantirne la continuità nel tempo, ma richiederà uno sforzo collaborativo. I team di sicurezza, gestione del rischio e legali dovranno lavorare in stretta sinergia per raggiungere questo obiettivo.

La doppia funzione di DORA per la resilienza dei dati

Naturalmente, ottenere la conferma della conformità al DORA da parte dei fornitori terzi non renderà la vostra organizzazione completamente immune alle minacce informatiche. Tuttavia, vi metterà in una posizione migliore per riprendervi in caso di attacco. Dopotutto, la conformità normativa non è mai stata sinonimo di sicurezza assoluta. Il DORA si configura piuttosto come un esercizio volto a rafforzare la resilienza operativa, un elemento cruciale per un efficace recupero dagli attacchi informatici.

Questo non significa però che la conformità debba essere considerata un aspetto secondario. Per garantirla e proteggere adeguatamente le terze parti, le organizzazioni di servizi finanziari devono mantenere un’attenzione costante. Non si tratta di un intervento isolato, ma di un processo continuo e reiterato per raggiungere e mantenere la conformità con tutti i fornitori. Trascurare questo aspetto può avere conseguenze disastrose: basti pensare al caos che ha colpito 11.000 negozi Starbucks quando il loro provider cloud di terze parti è stato vittima di un attacco ransomware lo scorso inverno.

Certo, mappare completamente tutti i fornitori terzi e introdurre le necessarie salvaguardie contrattuali richiederà un notevole impegno in termini di risorse. Tuttavia, questo sforzo avrà un duplice vantaggio: non solo assicurerete la conformità, ma rafforzerete anche una solida resilienza dei dati, che diventerà la spina dorsale dei piani di risposta agli incidenti della vostra organizzazione.

Solo l’anno scorso, il costo dei tempi di inattività per le organizzazioni di servizi finanziari ha toccato i 152 milioni di dollari. Se dovesse accadere il peggio, la capacità di riprendersi rapidamente sarà fondamentale per evitare di contribuire a quel numero nel corso del prossimo anno.

La conformità, naturalmente, offre vantaggi significativi, primo fra tutti quello di evitare pesanti conseguenze. Il DORA, in particolare, è supportato dalle autorità di vigilanza europee (ESA), che effettuano controlli regolari e possono imporre sanzioni. Per le organizzazioni di servizi finanziari, il mancato adeguamento dei fornitori esterni di software critici può comportare multe fino al 2% del fatturato annuo o, nei casi più gravi, accuse penali.

La conformità al DORA, quindi, non garantisce una protezione totale contro le minacce, ma essere in grado di dimostrare che tutto è stato predisposto e funziona nei tempi stabiliti vi permetterà di riprendervi più rapidamente dagli attacchi informatici. E, cosa forse più importante, vi proteggerà dalle gravi conseguenze del mancato rispetto delle normative. Le organizzazioni devono compiere un salto di qualità nella conformità al DORA, assicurandosi che anche le terze parti siano sempre al passo.