DORA: opportunità e criticità nella gestione del TPRM
di Orazio Mardente*
-
4 Luglio 2025
Il Digital Operational Resilience Act ha portato le entità finanziarie a confrontarsi concretamente con il tema della gestione delle terze parti. Il ruolo di Cybersel in questa sfida
Il Digital Operational Resilience Act (DORA), in vigore dal 17 gennaio 2025, ha portato le entità finanziarie a confrontarsi concretamente con il tema della gestione delle terze parti (TPRM), anche attraverso la prima trasmissione del Registro delle Informazioni aggiornata al 31 marzo. Ad oggi abbiamo una situazione molto eterogenea, soprattutto relativamente alla presenza di un processo completamente automatizzato e integrato. Negli ultimi mesi, le attività delle entità finanziarie sono state intense: analisi dei regolamenti, definizione dei servizi TIC da includere, adeguamento contrattuale e revisione del modello organizzativo.
Cybersel ha supportato i propri clienti nell'applicazione pratica di politiche e procedure, garantendo non solo conformità, ma anche efficienza ed efficacia operativa. Tuttavia, persistono criticità: molte organizzazioni non riescono ancora a monitorare le terze parti in modo continuo e strutturato. Questo perché il rischio si estende lungo tutta la supply chain e impatta anche attori non direttamente soggetti alla normativa. Per questo, è fondamentale adottare un approccio collaborativo, trasparente e proporzionato, fondato sulla cultura del rischio, la governance e strumenti tecnologici adeguati.
Le aziende più mature traggono vantaggio competitivo dal TPRM, riducendo rischi e costi, migliorando la reputazione e semplificando audit e verifiche. Sistemi automatizzati e servizi gestiti aiutano a rendere il processo sostenibile. Le opportunità principali derivano da un approccio data-driven, con dati di qualità, condivisi e strutturati, su cui applicare l'intelligenza artificiale per valutazioni rapide e affidabili. Le criticità, invece, riguardano la carenza di risorse con competenze multifunzionali e la disponibilità/frammentazione delle informazioni. Il TPRM, ormai centrale nelle agende di Risk Manager, CISO e Procurement, deve diventare tema strategico, con il supporto del top management.
Non basta la mera conformità: serve un approccio concreto, misurabile e progressivo, per affrontare con successo un percorso complesso ma imprescindibile.
*Orazio Mardente è Business Development soluzioni Risk & Compliance di Cybersel