Il regolamento DORA (Digital Operational Resilience Act), entrato in vigore il 17 gennaio 2023, diventerà vincolante a decorrere dal 17 gennaio 2025, quindi gli attori del mondo finanziario hanno a disposizione poco più di un anno per adeguarsi. Il DORA si applica alla totalità delle società operanti nel settore finanziario (banche, assicurazioni, Fintech) oltre che ai relativi fornitori di servizi ICT. Pensato per elevare la cyber resilienza a livello sistemico nel mondo finanziario fissa un quadro regolamentare comune per

– Un’efficace gestione dei rischi ICT
– Il monitoraggio dei fornitori di ICT critici
– La segnalazione e la condivisione di informazioni sugli incidenti
– La verifica e l’auditing dei sistemi e dei processi ICT.

Come conformarsi agli obblighi più imminenti? Nel corso del Banking Summit 2023 di The Innovation Group, lo scorso settembre a Baveno, durante il Workshop “Il Trust come Valore: Cyber Security e Protezione dei Dati”, sono stati analizzati gli impatti di DORA con un Panel di esperti del settore.

Il regolamento DORA impone a terze parti come fornitori di servizi IT di elevare processi e misure di cybersecurity. “Credo che ci fosse necessità del regolamento DORA – ha commentato Alessandro Bulgarelli, Group CISO di BPER Banca -. Il mondo della supply chain è diventato molto rischioso per la sicurezza delle grandi organizzazioni, che potrebbero scoprire il fianco alle terze parti non in linea con gli indirizzi che ci si è dati internamente. Il regolamento obbliga chi fa parte dell’ecosistema a elevare i propri presidi. Potrebbe però essere molto difficile adeguarsi ed essere conformi a questa norma in tempi così brevi, gennaio 2025 è una scadenza prossima. Chi non sarà pronto ad adottare queste logiche potrebbe rimanere escluso dagli ecosistemi digitali sempre più sfidanti. Per essere resilienti e reattivi a determinate tipologie di incidenti servirebbe però poter contare su una community più attiva dal punto di vista della cooperazione. Potrebbe servire a questo scopo un orchestratore comune”.

Tra le novità di DORA, in primo piano va sottolineata l’introduzione di un nuovo mindset, in particolare il passaggio da requisiti di continuità operativa a una visione più ampia di cyber resilienza, che deve essere incorporata in tutti i processi organizzativi. “Intesa Sanpaolo ha investito molte risorse nella cybersecurity – ha detto Domenico De Angelis, Head of Cybersecurity Group Architecture and Framework di Intesa Sanpaolo -. Il regolamento non ci coglie quindi impreparati, lo consideriamo uno strumento utile e necessario per tutti gli attori che insistono nella digitalizzazione dei servizi. Il singolo operatore bancario, per portare il servizio fino alla clientela, deve utilizzare una serie di attori che concorrono a garantire la resilienza end-to-end, che ora avranno gli stessi requisiti di cybersecurity da dover soddisfare.

Per il settore finanziario questo deve essere visto come un vantaggio, considerando il passaggio che sta avvenendo verso i concetti di cyber resilienza, quindi di una sicurezza di sistema. Resta invece qualche perplessità sulla possibilità di fare sinergia e di omogeneizzare i requisiti. L’esempio classico in questo caso è quello del processo di Incident Reporting, dove, in caso di incidente, è sempre maggiore il tempo necessario per riconciliare template di comunicazione, informazioni richieste e tempistiche di notifica da rispettare nei confronti dei regolatori, con possibili ripercussioni sulla gestione degli incidenti stessi. Servirebbe quindi un’omogeneizzazione dei requisiti di compliance, mentre la stratificazione delle normative nazionali e internazionali rende molto difficile il percorso. Inoltre, restano alcune perplessità sulla supervisione delle terze parti che dovranno adeguarsi a queste normative. Le banche sono vigilate, le terze parti invece da chi saranno supervisionate? Questo onere non dovrebbe ricadere sugli istituti, in quanto il rapporto tra cliente e fornitore potrebbe rendere poco efficace la supervisione”.

Una delle sfide maggiori per le banche che puntano a un più ampio miglioramento della propria capacità di risposta a eventi cyber riguarda però la revisione della propria organizzazione. “DORA è una grande opportunità perché allinea il regolamento di tutte le banche italiane a quello delle banche europee – ha commentato Giuseppe Galati, Head of Group ICT and Security Risk di Mediobanca -.  Faremo riferimento, di fatto, al regolamento europeo condividendone il piano delle regole e i requisiti di sicurezza. Affronteremo inoltre le stesse sfide, in alcune occasioni faremo altresì scelte comuni forti di esperienze identiche. Questa iniziativa rappresenta quindi un’importante occasione per gestire al meglio le situazioni di crisi aumentando al contempo il livello di scambio di informazioni e di cooperazione. Inoltre, DORA sancisce ufficialmente regole già applicate. Chi lavora nel mondo bancario sa che il 40mo aggiornamento di Banca d’Italia ha già richiesto agli istituti finanziari di adeguarsi a questi temi, di creare le unità di controllo di secondo livello per la gestione dei rischi IT oltre che di lavorare sui rischi ICT e di sicurezza dei fornitori, tutte tematiche ampliamente incluse e dettagliate ora all’interno di DORA. Oggi tutte le organizzazioni, per competere sui mercati finanziari, devono essere attrezzate per gestire rischi IT e di sicurezza supportando in modo adeguato e robusto le unità di business. I clienti retail e istituzionali sono sempre più consapevoli della necessità di lavorare con servizi bancari sicuri scambiando informazioni confidenziali in modo protetto. Siamo oramai abituati a essere attaccati sempre più frequentemente da organizzazioni criminali, negli ultimi anni spalleggiate in alcuni casi anche da agenzie governative e apparati militari, quindi sempre più forti, strutturate e con importanti risorse finanziarie e tecnologiche. Rispondere solo con il CISO è una lotta impari. Il Gruppo Mediobanca già da tempo si è ampiamente strutturato per rispondere come Organizzazione a questo genere di attacchi, continuando a rafforzare le proprie strategie di difesa grazie anche agli stimoli regolatori (vedi ad esempio il Cyber resilience stress test di ECB). Le organizzazioni che non si stanno ancora muovendo in tal senso saranno forzate a farlo dalle nuove norme, come DORA e NIS2. Chi lo ha compreso in anticipo, ha già creato al proprio interno dei centri di competenza per la gestione della crisi cyber, centri trasversali che coinvolgono il DPO, il legale, la comunicazione di gruppo, passando dal procurement e includendo chiaramente le strutture IT e le nuove unità di controllo per la gestione del rischio IT e di sicurezza. DORA non ha fatto altro che prendere atto di questa situazione e mettere ordine richiedendo alle aziende di organizzarsi per rispondere agli attacchi come un’organizzazione unita, strutturata e resiliente, altrimenti nel nuovo contesto cyber potranno avere diversi problemi e importanti impatti”.