La resilienza digitale non è un tema tecnico, ma di governance. È questo il principio chiave con cui le banche devono leggere l’applicazione del Regolamento DORA, a poco più di un anno di distanza.
Il primo approccio è documentale
Con l’entrata in vigore del Digital Operational Resilience Act, tutte le istituzioni finanziarie si sono da subito focalizzate su attività di risk assessment e gap analysis, hanno aggiornato le policy interne, rivisto i contratti con i fornitori e implementato il Registro delle Informazioni, da alimentare con costanti aggiornamenti.
«Tuttavia, se guardiamo oltre l’adempimento formale, emergono alcune evidenze. Innanzitutto, in molti casi l’approccio è stato inizialmente “documentale”, con un focus sulla produzione di evidenze più che sulla revisione sostanziale dei processi – racconta William Marenaci, Squad Leader - DORA Expert di Cetif Advisory. In secondo luogo, il Registro delle Informazioni rappresenta ancora uno dei nodi più complessi: alimentazione, aggiornamento continuo, integrazione e coerenza con i sistemi di vendor management e risk assessment ICT rappresentano sfide rilevanti».
Serve un salto culturale e tecnologico
In sintesi, la gestione integrata dei rischi ICT, cyber e di terze parti richiede un salto culturale e tecnologico che non tutte le organizzazioni hanno ancora completato.
«Si può parlare di una buona aderenza normativa di base – evidenzia Marenaci –, ma con ampi margini di evoluzione in termini di resilienza operativa effettiva e capacità di governo nel continuo».
Verso un modello di governance integrata
Il tema della governance, con DORA, si fa preponderante nella sfida della resilienza digitale, con cambiamenti strutturali per le banche.
«La responsabilità ultima è in capo all’organo amministrativo, che deve comprendere i rischi ICT e presidiare le scelte strategiche – spiega Marenaci. Questo sta producendo alcuni cambiamenti strutturali, tra cui: maggiore formalizzazione dei flussi informativi verso il board su rischio ICT, incidenti, terze parti critiche; maggiore integrazione tra IT, Risk Management, Compliance, Procurement; evoluzione dei modelli di Third Party Risk Management, con mappature più granulari delle dipendenze critiche. Stiamo assistendo a un passaggio da una governance “a silos” a un modello più integrato, in cui il rischio ICT viene letto in chiave integrata e diffusa. È un’evoluzione coerente con le aspettative delle Autorità di Vigilanza e con l’impianto complessivo della normativa europea sulla resilienza digitale».
I tre vantaggi concreti del DORA
L’obbligo di compliance può quindi tradursi in una opportunità per le banche, ma dimostrarlo, nel concreto, può risultare complesso.
«Nel caso del DORA, l’opportunità si concretizza su tre direttrici. In primo luogo – elenca Marenaci –, quella di un framework strutturato di gestione del rischio ICT, al fine di ridurre la probabilità e l’impatto di incidenti operativi, con benefici diretti su continuità del servizio e reputazione. In secondo luogo, c’è un tema di maggiore efficienza nei processi interni. La mappatura dei fornitori ICT, la standardizzazione delle clausole contrattuali, la tracciabilità degli incidenti portano ordine dove spesso regnava frammentazione. Infine, in un contesto di crescente digitalizzazione, dimostrare robustezza e affidabilità diventa un elemento distintivo nei confronti di clienti e partner».
La tecnologia per la resilienza digitale
Affinché questo accada, però, è necessario superare una gestione “analogica” degli adempimenti. Perché la complessità del Registro delle Informazioni, la gestione continuativa dei fornitori ICT e l’allineamento tra controlli di primo e secondo livello richiedono piattaforme tecnologiche dedicate.
«Servono soluzioni per governare il ciclo di vita del fornitore ICT e dell’intera supply chain, valutando i rischi associati, per alimentare e mantenere aggiornato il Registro delle Informazioni e generare la reportistica verso il management e le Autorità – chiarisce Marenaci. Tuttavia, l’approccio non può essere di mero adeguamento, ma deve portare alla costruzione di una vera architettura di resilienza digitale, dove c’è una convergenza di assetti organizzativi, processi e tecnologia».
Il cambio di paradigma
DORA sta quindi dettando un cambio di paradigma: dalla sicurezza come funzione tecnica alla resilienza come responsabilità strategica.
«E le organizzazioni che sapranno cogliere questa trasformazione, investendo in governance e strumenti adeguati, non solo saranno compliant – conclude Marenaci –, ma saranno strutturalmente più solide in un contesto digitale sempre più complesso e competitivo».
Questo articolo è stato pubblicato sul numero di marzo 2026 di AziendaBanca ed è eccezionalmente disponibile gratuitamente anche sul sito web. Se vuoi ricevere AziendaBanca, puoi abbonarti nel nostro shop.
