Perimetro e soggetti coinvolti

Chi deve adeguarsi a DORA: soggetti obbligati, casi limite e fornitori ICT

Redazione GAPOFF · Aggiornato il 2026-05-19 · Revisione: 2026-05-19

Risposta rapida

Devono verificare l’adeguamento DORA le entità finanziarie rientranti nel perimetro del Regolamento, tra cui banche, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, gestori, assicurazioni, intermediari, infrastrutture di mercato e altri soggetti indicati dal testo. Anche i fornitori ICT non sempre sono direttamente obbligati come entità finanziarie, ma diventano centrali perché l’entità cliente deve censirli, valutarli, contrattualizzarli e monitorarli. I fornitori ICT critici possono inoltre ricadere nel regime europeo di oversight.

Verifica se la tua organizzazione rientra in DORA

Perimetro, cinque pilastri, gap analysis e report audit-ready.

Verifica gratis →

Perché questo tema è importante

La prima domanda operativa non è “quali documenti servono?”, ma “siamo nel perimetro e con quale livello di obblighi?”. Un errore di scoping può produrre due danni opposti: sottovalutare obblighi applicabili o investire risorse in controlli non proporzionati. Nel settore finanziario, gruppi societari, outsourcing, fintech, intermediari, società di servizi, provider tecnologici e partnership commerciali possono creare situazioni ibride.

Il perimetro DORA deve quindi essere analizzato su due piani. Il primo è il soggetto: che tipo di entità è, quale autorizzazione o vigilanza ha, quali servizi presta. Il secondo è la funzione digitale: quali servizi ICT supportano funzioni critiche o importanti, quali fornitori sono coinvolti e quali rischi derivano dalla catena tecnologica.

Quadro normativo e fonti ufficiali

L’articolo 2 del Regolamento DORA definisce l’ambito soggettivo, includendo numerose categorie di entità finanziarie. Le ESA e l’EIOPA ricordano che DORA si applica a 20 tipi di entità finanziarie e ai fornitori ICT terzi nei termini previsti dal regolamento. Il regime dei fornitori ICT critici è oggetto di oversight europeo coordinato dalle ESA, mentre l’entità finanziaria mantiene obblighi di gestione del rischio e controllo dei propri accordi contrattuali ICT.

Cosa significa per l'azienda

Per l’azienda, la verifica del perimetro deve produrre una decisione documentata. Non basta una risposta verbale del tipo “siamo una fintech, quindi sì” o “siamo solo un fornitore, quindi no”. Occorre classificare il soggetto, individuare autorità competente, servizi prestati, gruppo di appartenenza, funzioni supportate, contratti ICT e possibili obblighi indiretti.

Per i fornitori ICT, la questione commerciale è altrettanto importante. Anche quando un fornitore non è direttamente vigilato come entità finanziaria, i clienti soggetti a DORA gli chiederanno evidenze, clausole, livelli di servizio, informazioni su subfornitori, test, incidenti e continuità. Prepararsi significa diventare più credibili nella supply chain finanziaria.

Cosa deve fare concretamente l'organizzazione

  1. Classificare il soggetto giuridico: verificare autorizzazioni, attività, vigilanza, gruppo e servizi prestati.
  2. Confrontare la categoria con l’articolo 2 DORA: identificare se l’entità rientra direttamente nel perimetro.
  3. Valutare esclusioni e proporzionalità: alcuni soggetti possono avere regimi specifici o semplificazioni; la valutazione dipende dal caso concreto.
  4. Mappare i servizi ICT: anche per soggetti obbligati, il perimetro operativo passa da sistemi, fornitori e funzioni supportate.
  5. Verificare ruolo da fornitore ICT: se l’azienda serve clienti finanziari, preparare evidenze e contratti coerenti con richieste DORA.
  6. Documentare la conclusione: conservare analisi, fonti, decisione e data di revisione.

Esempio pratico

Una software house italiana sviluppa una piattaforma usata da istituti di pagamento per onboarding clienti. La software house non è automaticamente una banca o un istituto finanziario, ma i clienti soggetti a DORA la considerano fornitore ICT rilevante. In fase di rinnovo contrattuale le vengono richieste informazioni su sicurezza, subfornitori, localizzazione dati, business continuity, incident management e audit rights.

La software house non deve limitarsi a dire “DORA non si applica a noi”. Deve costruire un pacchetto di evidenze coerente per i clienti finanziari, perché la sua capacità di risposta diventa parte della compliance dei clienti.

Errori comuni da evitare

Come GAPOFF aiuta

GAPOFF può essere usato per documentare lo scoping DORA, creare workspace per entità o clienti, collegare fornitori e servizi ICT, e mantenere evidenze del processo decisionale. Per un consulente, la piattaforma permette di gestire più clienti con perimetri distinti. Per un fornitore ICT, il Trust Center e Vendor Risk aiutano a preparare evidenze da condividere con clienti finanziari.

La DORA non si gestisce con Excel.

Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo DORA →

Checklist operativa

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →

FAQ

Tutte le aziende ICT devono adeguarsi a DORA?

Non tutte sono direttamente soggette come entità finanziarie, ma molte saranno coinvolte come fornitori ICT di clienti finanziari.

Come capisco se la mia azienda rientra nel perimetro?

Serve una verifica su attività autorizzata, categoria regolamentare, servizi prestati, gruppo e ruolo nella catena finanziaria.

I fornitori ICT critici sono vigilati direttamente?

DORA prevede un framework europeo di oversight per i critical ICT third-party providers designati. La designazione dipende dai criteri ufficiali e dal processo delle ESA.

Un consulente può usare GAPOFF per più clienti DORA?

Sì, la logica multi-tenant e i workspace separati sono utili per gestire scoping, gap analysis, evidenze e report per clienti diversi.

Approfondimenti correlati
Perimetro e soggetti coinvolti DORA per PMI finanziarie, fintech e operatori minori: cosa cambia davvero Perimetro e soggetti coinvolti Fornitori ICT e Register of Information DORA: come gestire contratti, dati e rischio concentrazione Perimetro e soggetti coinvolti Settori coinvolti da DORA: banche, assicurazioni, pagamenti, fintech e intermediari
Oppure passa all'azione: modulo DORA →
Modulo GAPOFF DORA

Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.

Vai al modulo DORA →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

FAQ

Tutte le aziende ICT devono adeguarsi a DORA?

Non tutte sono direttamente soggette come entità finanziarie, ma molte saranno coinvolte come fornitori ICT di clienti finanziari.

Come capisco se la mia azienda rientra nel perimetro?

Serve una verifica su attività autorizzata, categoria regolamentare, servizi prestati, gruppo e ruolo nella catena finanziaria.

I fornitori ICT critici sono vigilati direttamente?

DORA prevede un framework europeo di oversight per i critical ICT third-party providers designati. La designazione dipende dai criteri ufficiali e dal processo delle ESA.

Un consulente può usare GAPOFF per più clienti DORA?

Sì, la logica multi-tenant e i workspace separati sono utili per gestire scoping, gap analysis, evidenze e report per clienti diversi.

Fonti ufficiali e riferimenti
Contenuto informativo generale; non costituisce consulenza legale o parere professionale. Validare con consulenti qualificati e fonti ufficiali aggiornate.
Ultima revisione: 2026-05-19.