Il 10 novembre il Parlamento Europeo voterà il DORA - Digital Operational Resilience Act -, il nuovo regolamento europeo che darà il via ad un cambiamento epocale del settore finanziario. Il regolamento impatterà non solo tutte le banche, ma anche gli operatori del settore assicurativo e gli operatori del mercato finanziario, indipendentemente dalle loro dimensioni. Già questo è un primo importantissimo cambiamento, imponendo le stesse regole a tutti. Saranno inclusi nel perimetro anche i provider di servizi informatici e gli operatori di nuova generazione, come le fintech, inclusi o gestori di Crypto Assets o fornitori di servizi finanziari in Crowdfunding. DORA chiederà al top management di tutti questi operatori di garantire la propria capacità di definire strategie e modelli in grado di minimizzare gli impatti da eventi derivanti dal dominio digitale che potrebbero minare la confidenzialità, la disponibilità o l’integrità dei servizi e delle funzioni più critiche.
DORA imporrà un cambio di paradigma nell'approccio al digitale e ai rischi connessi, andando ad influire sul modello di business: al top management di tutti gli operatori interessati verrà richiesto di non preoccuparsi più solo della sostenibilità finanziaria, ma anche della "resilience", ovvero della capacità di poter continuare ad operare anche in caso di incidenti o eventi perturbanti causati dal dominio digitale. Tali obblighi entreranno in vigore entro 24 mesi dalla pubblicazione di DORA: gli operatori avranno fino a Dicembre 2024 per prepararsi a rispondere ai nuovi requisiti, tenendo conto che la regolamentazione di secondo livello (RTS - Regulatory Technical Standards) dovrà essere presentata entro 12 mesi, lasciando poco tempo agli operatori finanziari per adeguarsi ai nuovi requisiti.
Il DORA è il primo intervento di questo genere che imporrà anche degli obblighi e un regime di vigilanza delle terze parti Digitali e ICT. Di fatto, gli operatori del settore finanziario dovranno considerare nei loro piani tutti i rischi derivati dall'adozione di specifici servizi digitali e ICT; le autorità presupposte avvieranno con DORA un regime di vigilanza diretta su questi operatori, che dovranno rispondere quindi non solo ai nuovi e più stringenti requisiti, ma anche prepararsi alla pressione delle autorità, aprendo nuovi scenari di regolamentazione e controllo del settore del Digitale.
DORA conferma la linea del regolatore Europeo di utilizzare l'Information Sharing, la condivisione di informazioni e dati, al fine di fronteggiare le minacce di nuova generazione. L'ecosistema finanziario da proteggere non solo è fortemente interconnesso, favorendo la propagazione di incidenti da un operatore all'altro, ma è anche caratterizzato da infrastrutture e tecnologie comuni, nonché da minacce che spesso prendono di mira l'intero settore, indipendentemente dal singolo operatore finanziario. Un approccio olistico è fondamentale per poter anticipare i continui cambiamenti sia degli scenari di minaccia, sia nei servizi digitali, imponendo un cambio di passo nella gestione dei rischi, che con DORA diventa "dinamica e pervasiva".
Viene inoltre introdotta la pratica degli "stress test", utilizzata già in altri contesti ad alto livello di complessità. È un approccio che si aggiunge alle pratiche di compliance, che vengono arricchite di questo ulteriore strumento: l'operatore finanziario verrà testato periodicamente a fronte di scenari di minaccia che saranno definiti sulla base delle minacce più recenti e verosimili, verranno riprodotte le tipiche tecniche di intrusione e di attacco per verificare l'effettiva efficacia delle strategie di difesa messe in atto dall'operatore finanziario. Su questo fronte, la regolamentazione accelererà lo sviluppo di nuove soluzioni tecnologiche basate su AI, come simulatori dei sistemi di attacco e difesa e dei cosiddetti "digital Twin", ovvero copie digitali dei sistemi dell'operatore, totalmente fedeli, sui quali poter effettuare test invasivi senza danneggiare i sistemi reali.
Si tratta quindi di una regolamentazione che imporrà un cambio di approccio a tutti i livelli, a partire dal Top Management: è questa la prima sfida da vincere, portare la giusta cultura e le giuste componenti nella leadership. In futuro questo porterà a un numero maggiore di competenze digitali e sicurezza rappresentate nei consigli di amministrazione degli operatori. Tale cultura e tali competenze saranno anche necessarie nel business, nelle funzioni di controllo e nei dipartimenti ICT, creando la necessità di nuove figure specialistiche sul rischio digitale: si tratta di esperti trasversali che sono in grado di collegare i vari ambiti aziendali. Inoltre, per gli operatori più piccoli, sarà necessario valutare modelli di sourcing diversi, al fine di poter disporre di queste capacità attraverso servizi specializzati, senza però perdere il controllo e la responsabilità sulle scelte più strategiche.