Image by RawPixel on FreePik
Il mondo finanziario è prossimo a una rivoluzione senza precedenti, guidata dal Digital Operational Resilience Act, meglio conosciuto come Dora, una normativa europea che istituisce un quadro vincolante e completo per la gestione dei rischi legati alle tecnologie dell'informazione e della comunicazione nel settore finanziario dell'Ue. L’obiettivo primario è lo sviluppo di un framework di risk management che assicuri la resilienza digitale delle imprese finanziarie.
Il regolamento diventerà vincolante e operativo a partire dal 17 gennaio 2025. Entro meno di un anno, quindi, banche, compagnie assicurative, fintech, istituti di moneta elettronica, società di investimento, piattaforme di spend management e ulteriori soggetti del variegato settore finanziario dovranno adeguare i propri sistemi interni di cyber resilience. È, quindi, fondamentale avviare una pianificazione ragionata per prepararsi all’adeguamento. Prima di farlo, però, è essenziale capire in dettaglio cosa rende Dora realmente “rivoluzionario”, motivo per cui abbiamo preso in esame i principali concetti attorno cui ruota questo regolamento, per dipanare alcuni dubbi e aiutare a comprendere le implicazioni delle misure che propone.
Jacopo Tupac Santaiti, cybersecurity lead di Soldo.
Con l'implementazione di Dora, avremo un'unica normativa europea che diventerà vincolante per tutti i soggetti coinvolti nel settore finanziario, portando molte aziende a confrontarsi con sfide simili e ad adottare scelte comuni. Tuttavia, sorgono preoccupazioni riguardo alla possibilità di creare sinergie e standardizzare i requisiti, soprattutto nel complesso processo di segnalazione degli incidenti, il cui coordinamento potrebbe richiedere tempi aggiuntivi e influenzare la gestione degli stessi. In merito, l'importanza della preparazione rappresenterà uno step fondamentale: anticipare e strutturare gli aspetti gestibili in anticipo permetterà di affrontare solo ciò che è necessario al momento critico.
I punti fermi e le modalità di adeguamento
Il regolamento poggia su sei diversi pillar che le organizzazioni dovranno implementare, ovvero Ict governance, Ict risk management, gestione degli incidenti, test di resilienza, rischi di terze parti e condivisione delle informazioni. Ogni entità dovrà affrontare sfide uniche, considerando la diversità di business, dimensioni e livelli di esperienza degli attori coinvolti da Dora. Ogni pillar ha le sue peculiarità e la sua rilevanza nella direttiva nel suo complesso, ma quelli di Ict Governance e Ict Risk Management sono cruciali, perché forniscono una struttura solida e un quadro di riferimento per tutte le altre attività. La loro implementazione, inoltre, è sfidante in quanto si fondano sulla necessità di un cambiamento culturale e organizzativo.
Come conformarsi agli obblighi più imminenti, quindi? Ci sono tre azioni principali da compiere, prima tra tutte una gap analysis che coinvolga tutti i pillar, essenziale per identificare le mancanze, definire le priorità e avere una corretta lettura della propria Organizzazione. Dora, infatti, tocca così tante aree e competenze differenti che una gap analysis condotta da un solo team sarebbe limitante per via delle competenze necessarie. Ciò premesso, sarà essenziale procedere con una revisione del report degli incidenti e un assessment dei fornitori critici, con successiva rinegoziazione dei contratti con gli stessi.
Una delle principali novità introdotte da Dora, poi, risiede nell’assumere che gravi incidenti siano inevitabili nell’attuale contesto e che sia essenziale sviluppare elevati livelli di resilienza a tali eventi nel modello operativo di funzioni e servizi critici in ottica di resilience by design. La normativa, quindi, offre un nuovo paradigma introducendo il concetto di resilienza, che si contrappone per forza di cose a quello più diffuso di ripristino/recupero di un servizio. In questo modo, si spostano gli sforzi dalla gestione dei business recovery plan - che si focalizzano principalmente sul post incidente e sulla capacità di reagire ad un’interruzione di servizio - al momento precedente, ossia alla capacità di resistere all’incidente stesso.
Inoltre, per garantire la resilienza, tutti gli operatori finanziari saranno soggetti a stress test, già impiegati in contesti ad alto livello di complessità. Questi test, condotti periodicamente, esporranno gli operatori finanziari a scenari basati sulle più recenti e realistiche minacce, chiedendo loro di affrontare le tipiche tecniche di intrusione e attacco per valutare l'efficacia delle strategie di difesa implementate dagli operatori finanziari. Ciò porterà, quindi, a servizi più resilienti, un vantaggio non solo per i consumatori finali, che avvertiranno maggiore sicurezza, ma anche per le aziende e le terze parti, che potranno avere la certezza che i loro servizi critici siano protetti e il loro business più sicuro.
I margini di interpretazione
Secondo alcuni, le norme tecniche emesse per completare il quadro di Dora lasciano troppo spazio all’interpretazione e rimandano la scelta degli aspetti più pratici alla valutazione soggettiva del singolo ente coinvolto, ma in realtà questo è probabilmente un punto di forza del regolamento. D’altronde, offrire interpretazioni oggettive avrebbe complicato ulteriormente la situazione. La platea delle aziende coinvolte è così eterogenea per tipologia e per dimensioni che definire regole, parametri e misure ne avrebbero minato l’efficacia e la credibilità. Peraltro, l’intento finale è quello di fornire un linguaggio comune a tutti gli operatori del settore, dunque l’unico modo per farlo è includere e non limitare. Da questo punto di vista, si è lasciato agli Rts (norme tecniche di regolamentazione) il compito di definire soglie e regole, per lo più qualitative.
In definitiva, già prima dell’entrata in vigore di Dora, le fintech dovevano rispettare i più elevati standard di sicurezza richiesti dalle autorità di regolamentazione nazionali e sovranazionali, garantendo la sicurezza dei propri prodotti e servizi. L’avvento di Dora rappresenterà un ulteriore tassello in questa direzione, accompagnando gli operatori più giovani verso i livelli di maturità di governance propri di realtà più strutturate e concedendo a queste l’opportunità di rivedere i propri processi in una nuova ottica; ma soprattutto offrirà a tutti un linguaggio comune, o almeno un alfabeto, su cui strutturare una visione più olistica della resilienza e della sicurezza.