IT governance e DORA: come potenziare la resilienza digitale

Il DORA interessa un'ampia gamma di entità operanti nel settore finanziario dell'UE. Oltre alle tradizionali banche e società di investimento, il DORA coinvolge istituti di pagamento, fornitori di servizi di criptovalute, società fintech e piattaforme di crowdfunding.

Un aspetto cruciale del regolamento è l'estensione delle sue disposizioni anche ai fornitori terzi di servizi IT considerati critici, come i provider di servizi cloud e data center. Questo significa che non solo le istituzioni finanziarie, ma anche i loro partner tecnologici, devono conformarsi ai requisiti imposti dal DORA, garantendo un approccio coerente alla gestione dei rischi IT lungo tutta la catena del valore.

Il DORA si articola in diverse aree chiave, ciascuna delle quali richiede un'attenzione specifica per garantire la resilienza operativa digitale.

La fase iniziale, più corposa, è sicuramente quella di analisi dell’as-is per individuare eventuali vulnerabilità e gap di sicurezza, con particolare attenzione ai seguenti ambiti:

• IT governance e Risk Management. Le entità finanziarie devono sviluppare e implementare un framework completo per la gestione del rischio IT. Questo include la mappatura dettagliata dei sistemi e degli asset digitali, valutazioni periodiche dei rischi, l'adozione di misure di cybersecurity adeguate e la predisposizione di piani di business continuity e disaster recovery. Inoltre, le entità finanziarie devono dotarsi di un board che indirizzi e gestisca in modo olistico i rischi derivanti dall’utilizzo delle infrastrutture IT
• Segnalazione e risposta agli incidenti. È fondamentale definire procedure efficaci per la gestione a 360 gradi degli incidenti: monitoraggio, classificazione e segnalazione. A seconda della gravità, potrebbe essere necessario notificare tali eventi alle autorità di regolamentazione, ai clienti e ad altri stakeholder rilevanti;
• Test di resilienza operativa digitale. Il regolamento impone l'esecuzione regolare di test sui sistemi IT per valutarne la sicurezza e identificare eventuali vulnerabilità. Questi test devono essere condotti almeno annualmente, mentre per le entità più critiche sono previsti test di penetrazione basati su minacce (TLPT) ogni tre anni;
• Gestione del rischio di terze parti. Vista la crescente dipendenza da fornitori esterni per servizi IT, il DORA pone un'enfasi particolare sulla gestione dei rischi associati. Le entità finanziarie devono valutare attentamente i propri fornitori critici, assicurarsi che rispettino gli standard di sicurezza richiesti e formalizzare accordi contrattuali che delineino chiaramente le responsabilità e le aspettative in termini di sicurezza e resilienza.

A seguire, risulta essenziale la fase di pianificazione delle attività di remediation, ossia programmare accuratamente tutte le misure correttive necessarie per l’adeguamento ai parametri di sicurezza ottimali.

Infine, è fondamentale attivare un processo di monitoraggio continuo, per verificare la corretta implementazione delle misure, valutarne l’efficacia nel tempo e individuare eventuali ottimizzazioni necessarie a garantire maggiore efficienza.

L’adeguamento al DORA rappresenta una sfida significativa per le entità finanziarie e i loro fornitori di servizi IT; pertanto, è fondamentale avviare tempestivamente un percorso strutturato di conformità, che parta da una valutazione approfondita dei processi, asset IT e funzioni esistenti, per individuare eventuali gap rispetto ai requisiti del regolamento e implementare le misure correttive necessarie.

In questo contesto, GFT ha sviluppato un framework olistico, progettato per supportare a 360 gradi il percorso di compliance alla normativa, con un focus specifico sull’ambito tecnologico. L’approccio si articola su due direttrici principali: consulenza strategica e soluzioni tecnologiche.

Consulenza e advisory

La prima linea di intervento si basa su un’attività di advisory, che prende avvio con il cosiddetto DORA Readiness Assessment. Questo assessment diagnostico consente di misurare il livello di preparazione dell’ente finanziario e delle sue legal entity, analizzando aspetti cruciali come l’identificazione delle FEI (Funzioni Essenziali Importanti), la presenza di una IT governance strutturata, l’esistenza di una strategia di test e la solidità dei presidi di cybersecurity. In sostanza, si tratta di un “termometro” utile a comprendere quanto un’organizzazione sia pronta per affrontare il percorso di adeguamento.

Tra gli obiettivi dell’assessment è prevista anche l’identificazione di chiare azioni da mettere in campo per migliorare il livello di preparazione alla DORA.

L’attività di advisory prosegue con la classificazione degli asset IT, compresi incidenti, rischi, processi di comunicazione e gestione contrattuale con le terze parti. Viene anche fornito supporto nella predisposizione della documentazione necessaria per audit e reportistica, come nel caso del ROI (Registro delle Informazioni), in modo da assicurare una gestione documentale coerente e allineata ai requisiti regolamentari.

Soluzioni tecnologiche

Alla componente consulenziale si affianca una seconda linea di intervento, di natura più tecnica, basata su strumenti e applicativi progettati per rafforzare i processi interni e consolidare i framework di riferimento IT.

Il primo pilastro tecnologico è rappresentato dalla DORA Dashboard, una piattaforma che consente di aggregare e correlare tutte le informazioni rilevanti ai fini della compliance. A partire dalla mappatura delle FEI, lo strumento aiuta a costruire una rete di relazioni che collega il core business aziendale con le componenti applicative, infrastrutturali, organizzative e di governance, secondo una chiara mappatura del cd “lineage applicativo”.

La piattaforma offre un monitoraggio end-to-end, supportato da una tassonomia dettagliata di elementi e fornitori, e si integra con altri tool interni per alimentare automaticamente il proprio sistema informativo. Questo approccio garantisce una visione completa e coerente del rischio ICT, e include funzionalità operative che permettono di reagire prontamente agli eventi identificati, seguendo linee guida definite. Una volta censito il rischio, l’organizzazione può agire in autonomia, scegliendo le azioni più efficaci per mitigarne l’impatto.

A completare l’offerta c’è lo Smart Compliance, un tool basato su AI e GenAI, progettato per supportare le funzioni di controllo nella verifica dei contratti con i fornitori IT. Lo strumento analizza i contratti per valutare il grado di conformità rispetto ai requisiti del DORA, verificando la presenza di elementi chiave come SLA, exit strategy, clausole di subappalto e altre disposizioni obbligatorie. Il tool non solo automatizza un processo oggi spesso manuale, ma propone anche suggerimenti mirati per l’adeguamento dei contratti, semplificando così l’intero processo di compliance.

Infine, GFT offre una serie di servizi IT accessori, a supporto dell’identificazione dei KPI rilevanti e della selezione degli strumenti più adatti per accompagnare il percorso di trasformazione.

“In un contesto ideale, una normativa come il DORA avrebbe un impatto minimo su organizzazioni già mature ma, nella realtà operativa, essa rappresenta una leva importante per rafforzare la governance IT e introdurre pratiche virtuose, che migliorano non solo la resilienza digitale, ma anche la reputazione e la solidità del business. Il regolamento si distingue per la sua ampiezza e per un certo grado di flessibilità: ad esempio, sono gli operatori a identificare le proprie FEI. Ma una cosa è chiara: in caso di attacco o malfunzionamento, la responsabilità finale ricade sempre sull’istituto finanziario, non sul suo fornitore tecnologico, per questo è necessario adeguarsi e tutelare se stessi e i clienti finali”.

Davide Coccia, CTO di GFT Italia

Fonti:

• https://www.esma.europa.eu/esmas-activities/digital-finance-and-innovation/digital-operational-resilience-act-dora#:~:text=The%20Digital%20Operational%20Resilience%20Act,in%20the%20remit%20of%20ESMA