Post di Fabio Pascali, Regional Vice President di Cloudera –

Cuore pulsante dell’economia globale, il mondo finance si trova oggi ad affrontare una nuova e cruciale sfida per la resilienza digitale: l’entrata in vigore del Digital Operational Resilience Act (DORA).

Pur offrendo enormi opportunità di innovazione ed efficienza, la crescente dipendenza dalle tecnologie digitali e l’adozione pervasiva del cloud hanno amplificato la superficie di attacco per i criminali informatici. A titolo d’esempio, in Italia, gli attacchi cyber sono aumentati del 23% nel primo semestre del 2024, come riporta l’ultimo Rapporto Clusit. Proprio per contrastare questo trend in costante crescita e mitigare i rischi per la stabilità del sistema finanziario, nel 2020 la Commissione Europea ha proposto la normativa DORA che mira a introdurre requisiti stringenti per la gestione del rischio, la risposta agli incidenti e la supervisione dei fornitori di servizi ICT.

Entrata in vigore in tutti i 27 paesi dell’UE il 17 gennaio 2025, DORA prevede l’imposizione di sanzioni fino a 10 miliardi di euro o al 5% del fatturato mondiale dell’anno precedente alle istituzioni che non si saranno adeguate. Tra i soggetti interessati rientrano istituti finanziari e di credito, fornitori di servizi di pagamento e di cripto-asset, compagnie assicurative, vendor ICT, gestori patrimoniali e terze parti, compresi i provider di servizi cloud.

Tuttavia, è importante comprendere che DORA non è solo una normativa, ma una guida strategica, un faro che illumina la rotta verso un futuro più sicuro. Direttive come DORA sono essenziali per gli istituti finanziari che desiderano mantenere la stabilità e mitigare il rischio operativo in un contesto dove la fiducia è necessaria per la funzionalità socio-economica.

Vediamo quindi cosa comporta per le imprese e quali strategie possono essere adottate per assicurare la compliance.

DORA e i nuovi standard per il settore finanziario

La normativa DORA non rappresenta una rivoluzione, ma un’evoluzione degli standard esistenti in un contesto in cui le tecnologie digitali – come le soluzioni ibride e multi-cloud – svolgono un ruolo cruciale. Tuttavia, alla crescente domanda di servizi cloud si affianca la necessità di standard di conformità uniformi. Con l’introduzione di DORA, l’UE crea un quadro omogeneo per le aziende, consentendo loro di gestire e ridurre sistematicamente i rischi informatici e garantire la protezione dei servizi finanziari digitali.

DORA si concentra su quattro obiettivi chiave:

• – Valutazione sistematica del rischio: identificare, valutare e mitigare proattivamente le minacce informatiche.
• – Repo- rting vincolante: segnalare e documentare tempestivamente alle autorità competenti tutti gli incidenti rilevati e condurre periodicamente test di resilienza.
• – Rafforzamento della governance: controlli rigorosi e un quadro di supervisione stringente per i fornitori di servizi ICT critici, come le piattaforme cloud. Sarà compito dell’EBA, l’Autorità bancaria europea, definire un framework di controllo per i provider di servizi cloud.
• – Scambio di informazioni: condividere informazioni sulle minacce informatiche, nel rispetto della protezione dei dati, per una maggiore collaborazione e una risposta più efficace a livello di settore.

Il percorso verso la conformità: soluzioni tecnologiche e strategiche

L’implementazione di DORA rappresenta una sfida organizzativa che coinvolge l’intera catena di fornitura: gli istituti finanziari devono infatti garantire la continuità operativa anche in caso di guasto di un fornitore, il che richiede risorse interne dedicate e una supervisione costante.

Le architetture cloud ibride si sono quindi affermate come strategia cruciale per conformarsi alla nuova normativa e garantire innovazione ed efficienza grazie a un modello che offre la massima flessibilità, scalabilità e sicurezza dei dati, e aiuta le organizzazioni ad adattarsi ai cambiamenti normativi, ottimizzando i costi e garantendo la business continuity. Tuttavia, questo tipo di architetture possono aggiungere ulteriore stress a un sistema già complesso. Per rimanere competitivi e conformi, fin da subito, una piattaforma dati ibrida unificata è essenziale, in quanto consente di spostare dati e applicazioni tra cloud pubblico e on-premise. Questa portabilità affronta le preoccupazioni di DORA relative al vendor lock-in e ai rischi di concentrazione dei servizi su un singolo cloud provider, migliorando al contempo la resilienza operativa digitale.

Immagine creata con AI

In secondo luogo, è necessario integrare la sicurezza e la governance dei dati adottando applicazioni che operano con gli stessi standard di sicurezza ovunque all’interno dell’ambiente IT, – cloud pubblico, privato e on-premise- – applicando automaticamente controlli e politiche di accesso, anche quando dati e carichi di lavoro vengono spostati. Ciò si traduce in maggiore sicurezza, flessibilità multi-cloud e resilienza operativa ottimizzata, riducendo al minimo le interruzioni e garantendo la business continuity.

DORA e una cultura della sicurezza pervasiva

Infine, una piena conformità a DORA non può prescindere dalla promozione di una cultura della sicurezza pervasiva, che coinvolga tutti i livelli aziendali, incentivando la consapevolezza sulle minacce informatiche e sulle modalità per prevenirle.

In conclusione, DORA è un passo avanti decisivo verso un futuro più sicuro e resiliente per il settore finanziario. Le aziende che sapranno cogliere appieno le opportunità offerte da questa normativa non solo si adegueranno ai requisiti, ma si posizioneranno anche come leader nell’innovazione, rafforzando la fiducia dei clienti e consolidando la propria presenza sul mercato.