DORA, cosa sapere per una finanza resiliente

A cinque mesi dalla sua entrata in vigore, l’adeguamento delle realtà finanziarie agli standard previsti dal Regolamento DORA - Digital Operational Resilience Act (Regolamento UE 2022/2554) sta entrando nel vivo dei processi e della cultura aziendale.

Come è ormai noto, l’obiettivo del Regolamento è quello di garantire la resilienza operativa digitale, ovvero è la capacità degli operatori (entità finanziarie e fornitori di servizi ICT) di continuare ad offrire specifici risultati nonostante il verificarsi di incidenti e di violazioni all’infrastruttura ICT. E lo fa prevedendo un corpus armonizzato di misure tecnico-organizzative volte ad abilitare e sostenere il potenziale innovativo della finanza digitale mitigando, al contempo, i rischi che derivano dall’innovazione tecnologica medesima.

Tra gli elementi chiave introdotti dal Regolamento DORA rientra l’obbligo previsto all’art. 5 per le entità finanziarie di dotarsi di un quadro organizzativo e procedurale di governance interna tale da garantire la efficace e prudente gestione dei rischi informatici, ovvero un insieme di strategie, policy, procedure, strumenti organizzativi e tecnici che dovranno essere implementate.

Le implicazioni di questo intervento normativo e le principali evidenze da considerare per il mondo della finanza (tra cui banche, assicurazioni, imprese di investimento, aziende di servizi di cripto-asset) e per i fornitori di servizi ICT sono state raccolte e sintetizzate con grande chiarezza in due white paper realizzati da P4I - Partners4Innovation, e rappresentano un riferimento utilissimo per tutti gli operatori coinvolti (possono essere scaricati gratuitamente, previa registrazione, qui e qui).

Un tema che merita particolare attenzione è quello della gestione dei rischi ICT, non solo interni, ma anche derivanti dalle terze parti. Tra gli elementi chiave introdotti dal Regolamento DORA rientra l’obbligo previsto all’art. 5 per le entità finanziarie di dotarsi di un quadro organizzativo e procedurale di governance interna tale da garantire la efficace e prudente gestione dei rischi informatici, ovvero un insieme di strategie, policy, procedure, strumenti organizzativi e tecnici che dovranno essere implementate.

Come evidenziano i white paper di P4I, «la gestione dei rapporti con i fornitori – e di conseguenza con eventuali subfornitori – riveste un’importanza cruciale nella normativa in materia bancaria e finanziaria. Sinora, tuttavia, tale importanza era riservata unicamente ai fornitori di servizi informatici a cui le entità finanziarie avessero esternalizzato dei servizi o delle funzioni essenziali o importanti, prevendendo norme per lo più di carattere generale. Inoltre, la regolamentazione dei rapporti con tali service provider era data da obblighi di monitoraggio e controllo gravanti unicamente in capo alle banche e agli istituti finanziari, che perciò inserivano tali obblighi nei contratti coi propri fornitori di servizi ICT, senza tuttavia che vi fosse un chiaro sistema di norme che regolassero specificamente e in maniera chiara e mirata il contenuto delle disposizioni contrattuali stipulate con tali soggetti».

Il Regolamento DORA presenta perciò una serie di adempimenti normativi e contrattuali che disegnano un chiaro ciclo di vita della fornitura dei servizi ICT disciplinando sia gli aspetti preliminari alla stipulazione dell’accordo contrattuale, sia i contenuti minimi dell’accordo sia, infine, le fasi di esecuzione del contratto e di dismissione della fornitura.