DORA nel 2026: cosa ci hanno insegnato 15 mesi di applicazione

Cos'è DORA, in un paragrafo

DORA è il quadro armonizzato dell'UE per la resilienza operativa digitale nel settore finanziario. Si applica a quasi tutte le entità finanziarie regolamentate (banche, assicurazioni, gestori patrimoniali, fornitori di servizi di pagamento, fornitori di servizi di cripto-asset e altro ancora), insieme ai loro fornitori di servizi ICT, anche quando tali fornitori hanno sede al di fuori dell'UE. È entrato in vigore il 16 gennaio 2023 ed è diventato pienamente applicabile il 17 gennaio 2025. Il regolamento si basa su cinque pilastri: gestione del rischio ICT, segnalazione degli incidenti legati all'ICT, test di resilienza operativa digitale, gestione del rischio dei fornitori terzi ICT e condivisione delle informazioni sulle minacce informatiche.

A che punto siamo ad aprile 2026

Il traguardo dei 15 mesi è un utile punto di osservazione perché diverse tappe fondamentali del primo ciclo sono ormai state superate.

Le prime comunicazioni per il Registro delle Informazioni sono state completate. Le entità finanziarie hanno presentato i loro primi Registri delle Informazioni (RoI) alle autorità nazionali competenti all'inizio del 2025, con i registri consolidati che hanno raggiunto le ESAs entro il 30 aprile 2025. La banca centrale olandese, la BaFin tedesca, le entità svizzere adiacenti alla FINMA con esposizione all'UE e altre NCA hanno tutte completato un ciclo completo. Feedback del settore, anche da parte di AFME, è stato schietto: le presentazioni del primo ciclo sono state difficili, con tempistiche frammentate tra le NCA, orientamenti incoerenti e sorprese nelle regole di convalida. Il secondo ciclo, previsto per la primavera del 2026, dovrebbe essere più agevole, ma sta già rivelando che la qualità dei dati, non la raccolta dei dati, è la vera sfida.

I primi CTPP sono stati designati. Nel novembre 2025, le ESA hanno designato la prima tranche di fornitori terzi critici di servizi ICT, un gruppo di circa 19 fornitori i cui servizi al settore finanziario dell'UE sono ora sotto la diretta supervisione a livello UE. Le designazioni hanno conseguenze pratiche sia per i fornitori (che devono affrontare l'impegno di supervisione dell'UE, le commissioni e gli obblighi di segnalazione formale) sia per le entità finanziarie (i cui registri di terze parti devono ora riflettere lo status di CTPP e i cui accordi contrattuali con tali fornitori sono soggetti a un controllo più rigoroso).

Le regole di subappalto sono state finalizzate. Le norme tecniche di regolamentazione sul subappalto ICT sono state risolte nel marzo 2025 dopo una lunga negoziazione tra le ESA e la Commissione Europea. Questo è importante perché il sub-outsourcing è dove risiede la maggior parte del rischio di terze parti, e le RTS offrono ai supervisori una base più chiara per porre domande difficili sulle catene di dipendenza.

Il TLPT sta passando dalla teoria alla programmazione. Le istituzioni identificate come rientranti nell'ambito dei test di penetrazione basati sulle minacce sono ora impegnate in conversazioni attive sulla definizione dell'ambito. Il TLPT non è un esercizio di igiene annuale, è un programma serio, plurimensile e basato sull'intelligence, e la prima ondata di istituzioni sta scoprendo esattamente quanto sia serio.

Cosa richiedono effettivamente i cinque pilastri DORA

Con la distanza di 15 mesi, è possibile descrivere ogni pilastro con meno astrazione.

• ‍Gestione del rischio ICT. Un quadro documentato e di proprietà del consiglio di amministrazione. La responsabilità ricade sull'organo di gestione, non sul CISO. In pratica, i supervisori vogliono vedere prove che il consiglio di amministrazione abbia letto, discusso e approvato il quadro, e che gli artefatti di governance (verbali del comitato, approvazioni, registri delle escalation) lo supportino.‍
• Segnalazione di incidenti relativi all'ICT. Gli incidenti gravi relativi all'ICT devono essere segnalati all'autorità competente con tempistiche ristrette: notifica iniziale entro poche ore, aggiornamento intermedio entro 72 ore, rapporto finale entro un mese. Le soglie di classificazione sono la parte più impegnativa dal punto di vista operativo. Nel 2025 e all'inizio del 2026, i supervisori si sono particolarmente interessati a capire se le istituzioni stiano segnalando in eccesso o in difetto, e se la classificazione sia difendibile rispetto alle RTS.
• ‍Test di resilienza operativa digitale. Un programma di test che va dalle valutazioni di vulnerabilità al TLPT completo per le entità designate. I test di penetrazione non sono una novità per le banche. Il TLPT, con la sua definizione dell'ambito basata sull'intelligence delle minacce e le sue meccaniche di red-team, è nuovo per la maggior parte, e i primi impegni stanno richiedendo tempi significativamente più lunghi di quanto le istituzioni avessero previsto.‍
• Gestione del rischio di terze parti ICT. Qui è dove è confluita la maggior parte degli sforzi del 2025, e dove continuerà la maggior parte degli sforzi del 2026. Il Registro delle Informazioni è l'artefatto, ma il vero lavoro è la disciplina sottostante: comprendere da dove provengono i servizi ICT, quali supportano funzioni critiche o importanti, dove le catene di sub-outsourcing introducono rischi di concentrazione e se i contratti contengono effettivamente le clausole richieste da DORA.‍
• Condivisione di informazioni sulle minacce informatiche. Il pilastro meno invasivo nella pratica, ma che si prevede si svilupperà ulteriormente nel 2026 man mano che matureranno gli accordi di condivisione delle informazioni specifici per settore.

Le cinque cose che si sono rivelate effettivamente difficili

Analizzando gli ultimi 15 mesi, certi schemi si sono ripetuti in tutte le istituzioni, indipendentemente dalle dimensioni.

• ‍Qualità dei dati del Registro delle Informazioni. Le presentazioni del primo ciclo sono state completate, ma i cicli di feedback derivanti dalle regole di convalida e dai controlli delle NCA hanno rivelato significative lacune qualitative. Sono stati utilizzati campi di testo libero dove ci si aspettava vocabolari controllati. Gli identificatori delle entità erano incoerenti. Le relazioni di sub-outsourcing erano sottorappresentate. Il ciclo del 2026, per molte istituzioni, riguarda meno la costruzione del registro e più la sua riparazione.‍
• Mappatura delle funzioni critiche o importanti. Il RoI è organizzato attorno a funzioni critiche o importanti (CIF), ma la mappatura dai processi aziendali alle CIF e ai servizi ICT di supporto non è banale, in particolare nelle banche universali con sistemi legacy estesi. Ottenere questa mappatura correttamente è un prerequisito per tutto il resto.‍
• Rimediazione contrattuale su larga scala. DORA richiede clausole specifiche nei contratti ICT che coprono le CIF, inclusi diritti di audit, strategie di uscita, trasparenza del sub-outsourcing e obblighi di resilienza. Riscrivere o aggiungere migliaia di contratti entro una finestra di 12-18 mesi ha rappresentato un serio onere legale e operativo, e la rimediazione non è ancora terminata nella maggior parte delle istituzioni.‍
• Visibilità multi-cloud e multi-giurisdizione. Gli ambienti ibridi e multi-cloud rendono difficile dimostrare dove i dati sensibili vengono effettivamente elaborati e archiviati in un dato momento. Questa era una sfida già prima di DORA. DORA l'ha semplicemente trasformata in una questione di audit.‍
• Coerenza tra le normative. DORA, NIS-2, GDPR e le linee guida FINMA (per le istituzioni svizzere) coprono tutte aree sovrapposte da diverse angolazioni. Le istituzioni soggette a più regimi hanno scoperto che armonizzare i controlli una volta vale più che rispondere separatamente alle domande di ciascun regolatore.

Quanto affermato dal CEO di SecureSafe, Alexander Sommer

"Non è più sufficiente mettere in sicurezza la propria infrastruttura tecnica. Le banche e i fornitori di servizi finanziari devono essere in grado di dimostrare in qualsiasi momento come i dati sensibili vengono elaborati, archiviati e trasmessi, sia internamente che esternamente." — Alexander Sommer, CEO, SecureSafe, citato su Springer Professional.

A quindici mesi di distanza, la dichiarazione suona meno come un avvertimento e più come una descrizione dell'attuale realtà di vigilanza. Dimostrarlo, ripetutamente, lungo tutta la catena di fornitura, è ciò che DORA ha reso una parte permanente del lavoro.

Cosa è utile ora

Il manuale pratico si è evoluto. Per le istituzioni che devono ancora mettersi al passo, o per quelle che si preparano al secondo ciclo di RoI, tre elementi sono costantemente d'aiuto.

• ‍Un'analisi delle lacune accurata. Non una checklist, ma un confronto reale tra ciò che la regolamentazione richiede e ciò che l'istituzione può effettivamente dimostrare. Le lacune riscontrate nel 2025 erano diverse da quelle che le istituzioni si aspettavano nel 2024.‍
• Una gestione disciplinata dei fornitori esterni. Proprietà centrale del RoI, modelli di contratto centralizzati, classificazione centralizzata della criticità. Le istituzioni che hanno agito in anticipo sono ora quelle che affrontano meno difficoltà nel secondo ciclo.‍
• Strumenti che producono tracce di audit come effetto collaterale. Strumenti di monitoraggio, reporting e risposta agli incidenti che generano prove difendibili per impostazione predefinita, piuttosto che richiedere la ricostruzione delle prove a posteriori.

Come SecureSafe supporta le operazioni allineate a DORA

SecureSafe, gestito da DSwiss AG, è basato su un'architettura che si allinea direttamente a diverse aspettative rilevanti per DORA per la gestione di dati e documenti sensibili.

• ‍Localizzazione dei dati in Svizzera, sotto giurisdizione svizzera (revDSG / FADP), con data center Tier III e tripla ridondanza. Per le entità finanziarie dell'UE che utilizzano SecureSafe nell'ambito di contratti transfrontalieri, ciò si traduce in un chiaro profilo di terze parti ICT con confini legali e operativi definiti.‍
• Crittografia e architettura a conoscenza zero: AES-256 a riposo, TLS in transito, crittografia a busta e un modello a conoscenza zero in cui il personale di SecureSafe non ha accesso ai contenuti decifrati dei clienti durante le normali operazioni. L'accesso eccezionale è protetto da doppio controllo (approvazione M-su-N), flussi di lavoro just-in-time a tempo determinato e logging immutabile.‍
• Gestione delle identità e degli accessi: applicazione MFA, SSO tramite SAML e OIDC, ciclo di vita utente basato su SCIM, modelli di accesso RBAC e ABAC e log di audit completi che supportano la prova su richiesta.‍
• Assicurazione: certificazione ISO/IEC 27001, allineamento con revDSG / FADP e GDPR e supporto per i requisiti DORA e NIS-2 per le istituzioni che rientrano in tali regimi.

Queste proprietà da sole non rendono un'istituzione conforme a DORA. La conformità è una determinazione fatta dall'entità finanziaria, non da un fornitore. Ciò che fanno è ridurre l'attrito nella documentazione di una specifica classe di accordi con terze parti ICT in modo chiaro nel Registro delle Informazioni e nelle conversazioni di audit.