DORA, le sfide ancora aperte

Il settore finanziario europeo è ufficialmente entrato nell’era DORA. Dal 17 gennaio le entità finanziarie e i fornitori di servizi ICT devono essere conformi ai requisiti stabiliti dal regolamento dell’Unione Europea che rappresenta un salto di qualità e di armonizzazione per la resilienza digitale, fondamentale per rafforzare i livelli di cybersecurity del mondo finanziario. Come sono arrivate le banche italiane a questa importante scadenza? E quali sono le sfide ancora aperte? Lo abbiamo chiesto a Romano Stasi, Direttore Operativo CERTFin e Segretario Generale di ABI Lab.

“Il settore bancario italiano ha portato avanti per tempo tutte le attività previste dai cinque pilastri di DORA che era possibile implementare, investendo ulteriormente su procedure di sicurezza, continuità e resilienza. La tempistica di emanazione degli RTS (Regulatory Technical Standards) e degli ITS (Implementing Technical Standards) - cioè di quegli standard tecnici attuativi necessari per un’applicazione uniforme delle disposizioni - ha però sottoposto le banche a una pressione elevata. Alcuni documenti tecnici su specifici temi sono stati infatti pubblicati molto a ridosso dell’effettiva data di applicabilità del regolamento (17 gennaio). Un esempio è il Registro degli accordi contrattuali con i fornitori terzi di servizi ICT che serve per lo scambio di queste informazioni con le Autorità: il regolamento esecutivo che stabilisce le norme tecniche è stato pubblicato solo il 2 dicembre scorso nella Gazzetta Ufficiale dell’Unione Europea. Nonostante ciò, su molti temi centrali di DORA, l’adeguamento ai nuovi requisiti è già compiuto o estremamente avanzato. Ad esempio, rispetto all’analisi dei rischi informatici, la Circolare 285 della Banca d’Italia aveva già fornito molte indicazioni in linea con la normativa DORA, indicazioni che le banche italiane hanno seguito realizzando misure efficaci per proteggere le operazioni e i propri clienti dai rischi informatici. Le banche italiane sono pronte a portare a termine le ultime attività relative all’adeguamento a DORA non appena sarà completato il quadro tecnico normativo di riferimento”.

“È uno dei fronti ancora aperti nell’adeguamento a DORA. Rappresenta un’attività davvero rilevante perché richiede una forte interazione con soggetti terzi con la quale la banca opera. Molto è stato fatto per rispettare le tempistiche e definire i nuovi requisiti da formalizzare nei contratti, in particolare con i grandi outsourcer. Però è indubbio che la numerosità dei fornitori a cui si applicano questi nuovi requisiti è molto elevata e richiede un lungo percorso di lavoro e di condivisione che coinvolge tutto l’ecosistema”.

Sul tema della gestione degli incidenti, possiamo dire di essere in linea. Le banche erano già ben organizzate, recentemente è intervenuta Banca d’Italia per indicare la procedura di segnalazione, rafforzando ulteriormente l’efficienza del processoAltro fronte sicuramente impegnativo è quello dei test, che DORA ha incrementato, inserendo anche i Threat Led Penetration Testing (TLPT) utili a testare la postura di sicurezza dell’intera organizzazione, inclusi i sistemi IT, i processi aziendali e persino le persone, valutando nella pratica l’efficacia degli investimenti fatti e le eventuali lacune. Anche su questi temi è intervenuta recentemente Banca d’Italia, proprio per definire test più articolati e precisi volti a individuare gli ambiti della sicurezza che la banca deve rafforzare.Tra i pilastri di DORA c’è anche l’infosharing, considerato non come obbligo, ma come opportunità importante per ricevere segnalazioni di nuove minacce e nuovi attacchi. Per questa attività la presenza del CERTFin a livello nazionale offre sicuramente a tutti i soggetti del mondo finanziario nazionale il vantaggio di avere maggiore visibilità sulle nuove minacce. L’auspicio, anche grazie all’impulso di DORA, è di veder crescere ulteriormente il numero di partecipanti a questa rete.

Come ABI Lab daremo continuità all’attività del Tavolo di Lavoro su DORA che abbiamo costituito con i referenti di Resilenza e Continuità operativa per supportare il percorso delle banche non solo nell’implementazione che resta da completare, ma anche nella gestione dell’impatto del Regolamento all’interno del contesto operativo a livello di soluzioni e metodologie. Un tema che è anche al centro anche delle attività dell’Osservatorio sulla Sicurezza informatica del CERTFin. Le attività svolte hanno portato, tra l’altro, alla realizzazione di un Resilience Framework, cioè un modello di analisi di tutte le possibili metodologie utilizzabili in banca da un punto di vista organizzativo per essere resilienti e per rispondere a Dora. Continueremo a lavorare coinvolgendo la constituency con l’obiettivo è approfondire insieme i temi di maggior rilievo che emergeranno, facilitando il coordinamento e il dialogo tra le banche e con le istituzioni e le controparti interessate.

Nello schema di decreto legislativo presentato a gennaio e sottoposto a parere parlamentare (leggilo qui: https://www.senato.it/leg/19/BGT/Schede/docnonleg/50405.htm) è descritto un articolato quadro sanzionatorio, ma l’applicazione è differita al 1° gennaio 2027. Una scadenza posticipata rispetto alle previsioni iniziali accordata proprio per l’impossibilità di adeguarsi a quelle norme ancora non sostanzialmente definite dal punto di vista tecnico. Siamo confidenti che il settore bancario italiano concluda l’adeguamento a DORA senza incorrere in sanzioni.