Che cos'è DORA e cosa cambia per il settore finanziario
Risposta rapida
DORA è il regolamento europeo che introduce requisiti uniformi di resilienza operativa digitale per il settore finanziario. Cambia l’approccio perché non basta più dimostrare di avere procedure ICT: occorre provare che l’organizzazione sa prevenire, rilevare, gestire, segnalare e recuperare da incidenti e interruzioni digitali. Il cambiamento riguarda governance, fornitori ICT, test, incident reporting, continuità operativa e documentazione verso le autorità.
Perimetro, cinque pilastri, gap analysis e report audit-ready.
Perché questo tema è importante
Molte aziende finanziarie hanno già policy di sicurezza, contratti con fornitori tecnologici, piani di continuità e procedure di incident response. DORA però cambia il modo in cui questi elementi devono essere letti: non più come presidi separati, ma come un sistema unico di resilienza digitale. La domanda non è soltanto “abbiamo un firewall?” o “abbiamo un piano di disaster recovery?”, ma “possiamo dimostrare con evidenze aggiornate che un servizio finanziario essenziale resta governato anche quando una componente ICT fallisce?”.
Il regolamento arriva in un contesto in cui il settore finanziario usa cloud, SaaS, API banking, infrastrutture di pagamento, sistemi di autenticazione e outsourcer specializzati. La dipendenza da pochi grandi provider o da fornitori molto verticali genera rischi di concentrazione, lock-in e interruzione. DORA chiede di rendere visibili questi rischi, governarli e documentarli.
Quadro normativo e fonti ufficiali
DORA è il Regolamento (UE) 2022/2554. È un regolamento, quindi ha applicazione diretta negli Stati membri, pur richiedendo coordinamento con autorità nazionali e atti tecnici. Le ESA descrivono DORA come un quadro armonizzato per garantire che le entità finanziarie possano resistere, rispondere e riprendersi da perturbazioni ICT, inclusi cyberattacchi e guasti dei sistemi.
Il quadro tecnico è composto dal testo principale e da standard di dettaglio. Tra questi rientrano il Regolamento delegato (UE) 2024/1774 sul framework di gestione del rischio ICT, il Regolamento delegato (UE) 2024/1772 sui criteri di classificazione degli incidenti ICT, il Regolamento di esecuzione (UE) 2024/2956 sui template del Register of Information e il Regolamento di esecuzione (UE) 2025/302 sui modelli di segnalazione degli incidenti maggiori.
Cosa significa per l'azienda
Per l’azienda, “cosa cambia” può essere riassunto in sei passaggi. Primo: il rischio ICT diventa oggetto di governance strutturata e non soltanto di gestione tecnica. Secondo: gli incidenti devono essere rilevati, classificati e documentati con criteri coerenti. Terzo: i test di resilienza non possono essere episodici, ma devono entrare nella pianificazione ordinaria. Quarto: i contratti ICT devono contenere dati, clausole e informazioni utili al controllo. Quinto: il Register of Information diventa un patrimonio informativo vivo. Sesto: la direzione deve ricevere reporting e assumere decisioni documentabili.
Questo significa che anche organizzazioni già mature possono scoprire gap rilevanti: non perché siano insicure, ma perché non hanno un sistema unico di evidenze, owner, controlli, test e decisioni.
Cosa deve fare concretamente l'organizzazione
- Tradurre DORA in processi interni: creare una matrice che colleghi requisiti, policy, controlli, owner ed evidenze.
- Rivedere le dipendenze ICT: identificare fornitori, servizi, subfornitori, funzioni supportate e criticità.
- Allineare incident response e reporting: definire criteri di classificazione, escalation, ruoli e template.
- Integrare business continuity e disaster recovery: collegare RTO, RPO, test, risultati e piani di miglioramento.
- Attivare reporting direzionale: produrre dashboard comprensibili per il management, non solo report tecnici.
- Mantenere aggiornamento continuo: ogni nuovo contratto, servizio, incidente o test deve aggiornare il quadro DORA.
Esempio pratico
Un istituto di pagamento disponeva già di un piano di continuità operativa, ma il piano era centrato sul data center storico. Dopo l’adozione di nuovi servizi SaaS per onboarding clienti e monitoraggio transazioni, le dipendenze erano cambiate: il processo critico non dipendeva più solo dall’infrastruttura interna ma anche da provider esterni, API, autenticazione e servizi cloud. DORA impone di rileggere il piano alla luce della catena digitale effettiva.
Il cambiamento reale è passare dal documento statico alla mappa viva: quali servizi sostengono una funzione importante, chi li eroga, quali livelli di servizio sono contrattualizzati, quali test sono stati svolti, quale alternativa esiste e quali evidenze lo dimostrano.
Errori comuni da evitare
- Pensare che DORA sia solo un adempimento una tantum.
- Delegare tutto all’IT senza coinvolgere legal, procurement, risk e direzione.
- Ignorare i fornitori SaaS minori che supportano processi importanti.
- Aggiornare policy ma non contratti, registri e workflow.
- Confondere “sicurezza” con “resilienza”: un sistema può essere protetto ma non sufficientemente ripristinabile o governato.
Come GAPOFF aiuta
GAPOFF aiuta a trasformare il cambiamento introdotto da DORA in un modello operativo. Il modulo DORA diventa il punto di raccolta dei requisiti; Vendor Risk Management collega fornitori e contratti; Incident & Breach Ops struttura il ciclo di vita degli incidenti; Business Continuity collega servizi, impatti, RTO/RPO e test. In questo modo l’azienda non deve rincorrere informazioni sparse tra reparti, ma può mantenere una vista integrata sullo stato della resilienza digitale.
Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.
Scopri il modulo DORA →Checklist operativa
- Definizione interna di resilienza operativa digitale approvata.
- Mappa dei processi finanziari supportati da ICT.
- Elenco aggiornato di fornitori e servizi ICT.
- Workflow incidenti integrato con classificazione DORA.
- Piano test e risultati storicizzati.
- Dashboard management con rischi, gap e remediation.
- Evidenze collegate ai requisiti, non archiviate in modo isolato.
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →
FAQ
DORA è una direttiva o un regolamento?
DORA è un regolamento europeo: il riferimento principale è il Regolamento (UE) 2022/2554.
Cosa cambia rispetto alle vecchie linee guida ICT?
DORA armonizza e rafforza il quadro europeo, trasformando molti presidi già noti in requisiti più strutturati e documentabili, con attenzione specifica a fornitori ICT, incidenti, test e resilienza operativa.
DORA riguarda anche i fornitori?
Sì, soprattutto quando forniscono servizi ICT a entità finanziarie. Alcuni fornitori ICT critici possono essere soggetti a oversight europeo; gli altri devono comunque essere gestiti dall’entità finanziaria nel proprio framework di terze parti.
Serve un software dedicato?
Non è obbligatorio usare un software specifico, ma nella pratica il numero di registri, evidenze, contratti, incidenti, test e remediation rende fragile una gestione solo documentale o basata su fogli Excel.
Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.
Vai al modulo DORA →Fonti ufficiali e riferimenti
- EUR-Lex - Regolamento (UE) 2022/2554 DORA
- EIOPA - Digital Operational Resilience Act DORA
- ESMA - Digital Operational Resilience Act DORA
- Banca d'Italia - Comunicazione Regolamento DORA
- Commissione Europea - DORA implementing and delegated acts
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.
FAQ
DORA è una direttiva o un regolamento?
DORA è un regolamento europeo: il riferimento principale è il Regolamento (UE) 2022/2554.
Cosa cambia rispetto alle vecchie linee guida ICT?
DORA armonizza e rafforza il quadro europeo, trasformando molti presidi già noti in requisiti più strutturati e documentabili, con attenzione specifica a fornitori ICT, incidenti, test e resilienza operativa.
DORA riguarda anche i fornitori?
Sì, soprattutto quando forniscono servizi ICT a entità finanziarie. Alcuni fornitori ICT critici possono essere soggetti a oversight europeo; gli altri devono comunque essere gestiti dall’entità finanziaria nel proprio framework di terze parti.
Serve un software dedicato?
Non è obbligatorio usare un software specifico, ma nella pratica il numero di registri, evidenze, contratti, incidenti, test e remediation rende fragile una gestione solo documentale o basata su fogli Excel.
Ultima revisione: 2026-05-19.