regolamentare

DORA, spiegato in modo semplice: la legge che protegge la finanza da guasti e attacchi informatici

4

Min

06.07.2026

In sintesi: DORA obbliga le banche, le assicurazioni e gli altri attori finanziari, insieme ai loro fornitori tecnologici, a continuare a funzionare anche in caso di guasto informatico o di attacco informatico. La legge è già in vigore da gennaio 2025 e il 2026 segna l'inizio dei controlli.

Che cos'è esattamente DORA?

DORA è una legge europea: il Regolamento (UE) 2022/2554. Il suo nome completo, «Digital Operational Resilience Act», significa semplicemente «legge sulla capacità di resistere dei sistemi digitali».

L'idea sta in una frase: quando una banca o un'assicurazione dipende dall'informatica per funzionare, un guasto o un attacco informatico non è più un semplice problema tecnico, è un rischio per tutto il sistema finanziario. DORA impone quindi regole comuni per evitare questi incidenti, reagire in fretta quando succedono e continuare a servire i clienti.

Due cose da ricordare:

  • La legge è applicabile dal 17 gennaio 2025. Si applica direttamente, senza passare per una legge nazionale.
  • Riguarda una ventina di tipi di attori finanziari (banche, assicurazioni, prestatori di servizi di pagamento, fintech, gestori di fondi), e anche i loro fornitori di tecnologia.

Chi è coinvolto (e perché va oltre le banche)

Il punto spesso frainteso: DORA non si ferma alle istituzioni finanziarie. Si applica anche ai loro fornitori informatici. Un'azienda di software che vende i suoi servizi a una banca diventa, agli occhi della legge, un anello della sua solidità. Deve quindi essere in grado di rispondere agli stessi requisiti: sicurezza, disponibilità, diritto di controllo del cliente.

In altre parole: se fornisci tecnologia al settore finanziario, DORA riguarda anche te, anche se non sei una banca.

Cosa richiede DORA, in 5 punti

1. Gestire i rischi informatici

Mappare i propri strumenti, individuare i punti sensibili, prevedere un piano per continuare a funzionare in caso di imprevisto grave. La responsabilità arriva fino alla direzione.

2. Segnalare gli incidenti gravi

Ogni incidente informatico rilevante deve essere dichiarato alle autorità, con tempi e formato identici in tutta Europa.

3. Testare la propria solidità

Gli attori più importanti devono far testare le proprie difese con vere simulazioni di attacco, almeno una volta ogni tre anni.

4. Sorvegliare i propri fornitori informatici

È il punto più strutturante. I contratti con i fornitori devono prevedere garanzie chiare: sicurezza, diritto di audit, regolamentazione della subfornitura, localizzazione dei dati, possibilità di cambiare fornitore. I fornitori giudicati più critici sono addirittura sorvegliati direttamente a livello europeo.

5. Condividere le informazioni sulle minacce informatiche

DORA incoraggia gli attori finanziari a scambiarsi informazioni sulle minacce per difendersi meglio collettivamente.

A che punto siamo nel 2026?

La legge è applicata da circa diciotto mesi. In Italia, come in Francia con l'ACPR, le autorità sono passate dall'accompagnamento ai controlli rafforzati. I cantieri in corso: tenere aggiornato il registro dei propri fornitori informatici, designare i fornitori critici e avviare i test di sicurezza per gli attori più grandi.

Il punto chiave: conoscere bene i propri fornitori e prestatori

DORA ricorda un'evidenza: una banca è solida solo se lo sono anche i suoi fornitori. Questo obbliga le istituzioni a valutare meglio le aziende con cui lavorano.

È esattamente la logica del Know Your Supplier (KYS) e, più in generale, del KYB: verificare un'azienda, i suoi dirigenti e la sua affidabilità prima e durante la relazione, grazie a un punteggio di fiducia dell'azienda.

Quanto costa la non conformità

Le sanzioni sono pesanti. Un'istituzione finanziaria rischia fino al 2 % del suo fatturato annuo mondiale. Un fornitore critico può essere sanzionato ogni giorno in cui non è in regola, fino all'1 % del suo fatturato giornaliero medio, per sei mesi. Oltre alla multa, è in gioco la fiducia dei clienti.

DORA e la lotta alla frode

Restare operativi e combattere la frode è la stessa battaglia: percorsi clienti affidabili e disponibili. Un sistema di identità e di rilevamento della frode che va in tilt è una porta aperta ai frodatori. Mettere in sicurezza questi percorsi serve quindi sia alla conformità DORA sia alla protezione contro la frode.

La tua checklist DORA

Sei sulla buona strada se puoi rispondere sì a ogni punto:

  • L'elenco dei tuoi fornitori informatici è aggiornato.
  • I tuoi contratti con i fornitori prevedono le garanzie DORA (audit, sicurezza, reversibilità).
  • Sai rilevare e segnalare un incidente informatico rilevante.
  • I tuoi test di sicurezza sono pianificati.
  • Valuti l'affidabilità dei tuoi fornitori e clienti aziendali (KYS / KYB).

In conclusione

DORA trasforma la solidità informatica in un obbligo di legge, non più in una semplice buona pratica. E invia un messaggio chiaro a tutto l'ecosistema: conoscere i propri fornitori, mettere in sicurezza i propri percorsi e conservare traccia delle proprie decisioni non è più facoltativo. La buona notizia: sono riflessi che proteggono anche dalla frode.

Fonti: Regolamento (UE) 2022/2554 (DORA), Gazzetta ufficiale dell'Unione europea; ACPR, dossier DORA.

Valuta i tuoi fornitori, rendi affidabili i tuoi percorsi

Meelo aiuta gli attori finanziari a conoscere e valutare i loro fornitori e clienti aziendali (KYB, punteggio di fiducia, Know Your Supplier) e a mettere in sicurezza i loro percorsi di identità e anti frode. Una decisione in 2 o 5 secondi, documentata e verificabile.

Cassandre Nolf
Strategy Marketing Manager