La recente approvazione del Digital Operational Resilience Act (Dora) da parte del Parlamento europeo segna un momento di svolta epocale nella gestione dei rischi all’interno del settore finanziario. Ad essere impattato, infatti, non è solo il mondo Cyber, bensì tutto il top management chiamato a valutare gli scenari di rischio all’evolversi continuo delle minacce, dei servizi, dei cambi tecnologici e delle terze parti. La portata rivoluzionaria del Dora, tuttavia, non si limita a questa mera dimensione organizzativa, ma va ben oltre coinvolgendo, oltre alle grandi banche, anche le assicurazioni, gli operatori e le infrastrutture di mercato soprattutto Ict, indipendentemente dalle loro dimensioni.
Le implicazioni di Dora
Sottovalutare il Dora e le sue implicazioni, quindi, rappresenta un grave errore che dimostra la mancata comprensione del disegno complessivo del regolatore: non un mero adeguamento di ciascuna organizzazione a più elevati standard sicurezza, bensì la costruzione di un ecosistema finanziario europeo – oggi caratterizzato da una rete di operatori di servizi finanziari eterogenei fortemente interconnessi e addirittura interdipendenti – in grado di scongiurare le conseguenze nefaste (se non tragiche) per i cittadini europei derivante dall’effetto domino a cui possono condurre gravi interruzioni dell’operatività digitale degli operatori finanziari, a fronte di un contesto sociale, geopolitico, ambientale ed economico sempre più complesso.
Come cambia il sistema finanziario
Per meglio navigare in questa complessità, il Dora intende preparare il sistema finanziario europeo a far fronte agli scenari più critici spingendo le organizzazioni ad assumere che gravi incidenti siano inevitabili e a sviluppare elevati livelli di resilienza a tali eventi nel modello operativo di funzioni e servizi critici in un’ottica di resilience by design. A questo proposito, sono rafforzati il ruolo le responsabilità del top management a cui sono richieste competenze e sensibilità adeguate a comprendere e a gestire i nuovi rischi (es. rischi geopolitici), sviluppare strategie di prevenzione e risposta dinamica in continuo adattamento agli scenari di minaccia e assumere decisioni consapevoli e tempestive per la mitigazione degli stessi. È altresì introdotto il regime di vigilanza per i fornitori Ict di servizi critici in cui ricadranno anche fintech, cloud provider, gestori di Crypto Assets o fornitori di servizi finanziari in Crowdfunding, e sono rafforzati i modelli di stress testing in base ai quali l’operatore finanziario verrà periodicamente testato a fronte di scenari di minaccia recenti e verosimili (es. riproduzione delle tipiche tecniche di intrusione e di attacco) per verificare l’effettiva efficacia delle strategie di difesa messe in atto dall’operatore finanziario. Fondamentale risulta la promozione dello sviluppo di capabilities strategiche come la threat intelligence, e l’incoraggiamento dell’information sharing tra le entità finanziarie relativamente a minacce cyber, intelligence, tecniche, alert, tool e altro ancora che possa rafforzare la resilienza digitale.
È chiaro quindi che il Dora impone un cambio radicale di paradigma nell’approccio al digitale e ai rischi connessi che influisce sul modello di business: al top management di tutti gli operatori interessati verrà richiesto di non preoccuparsi più solo della sostenibilità finanziaria, ma anche della “resilience”, ovvero della capacità di continuare ad operare anche in caso di incidenti o eventi perturbanti causati dal dominio digitale.
Agli operatori è concesso un periodo di adeguamento ai nuovi requisiti pari a 24 mesi dalla pubblicazione del regolamento in Gazzetta Ufficiale Ue. Attenzione però che i tempi saranno in realtà più stringenti se si tiene conto che la regolamentazione di secondo livello (RTS – Regulatory Technical Standards) dovrà essere presentata entro 18 mesi, lasciando poco tempo agli operatori finanziari per adeguarsi ai nuovi requisiti.