RegTech · Finanza · Italia · 2026
DORA Compliance Italia 2026: Guida per Banche, Fintech e Assicurazioni
Il Regolamento (UE) 2022/2554 (DORA) è applicabile dal 17 gennaio 2025. Scopri gli obblighi per gli istituti finanziari italiani: ICT risk management, incident reporting in 4 ore, TLPT ogni 3 anni, gestione dei fornitori TIC e supervisione della Banca d'Italia.
17 gen 2025
Data applicazione obbligatoria DORA
4 ore
Termine notifica iniziale incidente grave
3 anni
Frequenza TLPT per entità significative
Fonte: Regolamento (UE) 2022/2554 (DORA); EBA RTS incident reporting; Banca d'Italia Circolare 285
Risposta diretta
DORA è obbligatorio dal 17 gennaio 2025 per tutte le entità finanziarie italiane (banche, fintech, assicurazioni, SGR, ecc.). Obblighi chiave: framework ICT risk, incident reporting in 4 ore/72 ore/1 mese, TLPT ogni 3 anni per entità significative, registro contratti fornitori TIC con clausole obbligatorie. Supervisione: Banca d'Italia (enti creditizi), CONSOB (investimento), IVASS (assicurazioni).
Domande frequenti su DORA in Italia
Cos'è il Regolamento DORA e da quando è in vigore in Italia?
DORA (Digital Operational Resilience Act) è il Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale del settore finanziario. Pubblicato nella Gazzetta Ufficiale dell'Unione Europea il 27 dicembre 2022, è entrato in vigore il 17 gennaio 2023 con un periodo di adattamento di 24 mesi. La data di applicazione obbligatoria è il 17 gennaio 2025: da questa data le autorità competenti (Banca d'Italia, CONSOB, IVASS per l'Italia; BCE, EBA, ESMA, EIOPA a livello europeo) possono avviare procedimenti di supervisione e irrogare sanzioni. DORA è direttamente applicabile in tutti gli Stati membri UE senza necessità di recepimento nazionale (a differenza di una Direttiva). Il Regolamento stabilisce requisiti uniformi per la gestione del rischio TIC (Tecnologie dell'Informazione e della Comunicazione), la segnalazione degli incidenti, i test di resilienza, la gestione dei fornitori TIC terzi e lo scambio di informazioni sulle cyberminacce. Per l'Italia, DORA è supervisionato principalmente dalla Banca d'Italia per gli enti creditizi, dalla CONSOB per le imprese di investimento e dall'IVASS per le assicurazioni.
Quali soggetti devono conformarsi a DORA in Italia?
DORA si applica a un'ampia platea di soggetti finanziari operanti in Italia (art. 2 del Regolamento): (1) Enti creditizi: banche, filiali di banche extra-UE, istituti di credito cooperativo, Cassa Depositi e Prestiti per le attività bancarie. (2) Istituti di pagamento e di moneta elettronica: PayPal Europe, Satispay, Tinaba, ecc. (3) Imprese di investimento (SIM — Società di Intermediazione Mobiliare), società di gestione del risparmio (SGR), SICAV, fondi alternativi (FIA). (4) Depositari centrali di valori mobiliari (Monte Titoli, Euronext Securities Milan). (5) Controparti centrali (Cassa di Compensazione e Garanzia — CC&G). (6) Imprese di assicurazione e riassicurazione (Generali, Unipol, Assicurazioni Generali, etc.) soggette a vigilanza IVASS. (7) Enti pensionistici aziendali o professionali. (8) Agenzie di rating del credito con sede in Italia. (9) Piattaforme di crowdfunding autorizzate ai sensi del Regolamento (UE) 2020/1503. (10) Fornitori di servizi di criptoattivi autorizzati ai sensi di MiCA (Regolamento (UE) 2023/1114). Sono escluse le microimprese finanziarie con meno di 10 dipendenti e fatturato/totale di bilancio annuo inferiore a €2 milioni, nonché alcune categorie specifiche (agenti di assicurazione persone fisiche, alcuni intermediari minori). DORA si applica anche ai fornitori terzi critici di servizi TIC che servono queste entità.
Quali sono le scadenze chiave di DORA per il 2025 e 2026?
Le scadenze principali del framework DORA sono: (1) 17 gennaio 2025 — Applicazione obbligatoria di DORA: tutte le entità in scope devono avere implementato il framework completo di gestione del rischio TIC, le politiche di sicurezza, il registro dei contratti con fornitori TIC e le procedure di incident reporting. (2) Primo trimestre 2025 — Prima revisione del registro dei contratti TIC: le entità devono completare il censimento e la revisione di tutti i contratti con fornitori TIC critici per adeguarli ai requisiti DORA (clausole obbligatorie art. 30). (3) 17 luglio 2025 — Termine per gli RTS (Regulatory Technical Standards) definitivi: la Commissione Europea ha adottato gli RTS di secondo livello (EBA/ESMA/EIOPA) che specificano i dettagli tecnici su incident reporting, ICT risk management e TLPT. (4) 2025-2026 — Primo ciclo TLPT (Threat-Led Penetration Testing): le entità significative (banche sistemiche, assicurazioni di grandi dimensioni) devono completare il primo ciclo di test TLPT entro 3 anni dall'applicazione. (5) Continuo — Reporting trimestrale degli incidenti significativi alle autorità competenti (Banca d'Italia, CONSOB, IVASS) tramite i template standardizzati EBA. Le autorità di supervisione nazionali hanno iniziato le prime verifiche formali da marzo 2025.
Come funziona l'incident reporting obbligatorio sotto DORA?
DORA (Capitolo III, artt. 17-23) stabilisce un sistema di notifica in tre fasi per gli incidenti TIC gravi ('major ICT-related incidents'): (1) Notifica iniziale (Initial notification): entro 4 ore dalla classificazione dell'incidente come grave (e comunque entro 24 ore dal momento in cui l'entità ne prende conoscenza). Contenuto: prima descrizione dell'incidente, impacto iniziale stimato sui clienti e operazioni, prime misure adottate, stima della gravità. (2) Rapporto intermedio (Intermediate report): entro 72 ore dalla notifica iniziale. Contenuto: aggiornamento sull'evoluzione dell'incidente, impatto reale misurato (numero di clienti colpiti, sistemi interessati, perdite finanziarie stimate), causa probabile, indicatori di compromissione (IoC) se si tratta di un attacco informatico, misure di mitigazione in corso. (3) Rapporto finale (Final report): entro 1 mese dalla notifica iniziale (o entro 1 settimana dalla risoluzione, se prima). Contenuto: analisi forense completa, causa radice definitiva, impatto totale e definitivo, misure correttive implementate, lezioni apprese. Soglie per qualificare un incidente come 'grave': impatto su più del 5% dei clienti; perdite economiche superiori allo 0,1% del capitale di classe 1; indisponibilità di sistemi critici per più di 2 ore; perdita di dati; cyberattack riuscito su sistemi critici. La notifica avviene tramite i sistemi di reporting dell'autorità competente nazionale (portale Banca d'Italia per gli enti creditizi).
Cosa sono i TLPT e ogni quanto vanno eseguiti?
I TLPT (Threat-Led Penetration Testing, o in italiano 'test di penetrazione basati sulle minacce') sono test di sicurezza avanzati disciplinati dal Capitolo IV di DORA (art. 24-27). Si basano sul framework TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) sviluppato dalla BCE, adottato in Italia dalla Banca d'Italia. Caratteristiche principali dei TLPT: (1) Frequenza: almeno ogni 3 anni per le entità significative (banche di importanza sistemica nazionale, principali imprese di assicurazione, infrastrutture di mercato). (2) Scope: simulano cyberattacchi reali e sofisticati (avversario APT — Advanced Persistent Threat) contro i sistemi in produzione dell'entità. A differenza dei penetration test tradizionali, i TLPT partono da intelligence reale sulle minacce applicabili al settore e all'entità. (3) Autorizzazione: i TLPT sono approvati preventivamente dalla Banca d'Italia/CONSOB/IVASS, che riceve il 'Threat Intelligence Report' prima dell'esecuzione. (4) Team esterno certificato: i TLPT devono essere condotti da fornitori esterni ('Red Team') certificati secondo i requisiti DORA e TIBER-EU. (5) Riconoscimento transfrontaliero: i risultati di un TLPT supervisionato dalla Banca d'Italia possono essere riconosciuti dalle autorità di altri paesi UE, evitando duplicazioni per i gruppi bancari pan-europei. I test di resilienza ordinari (vulnerability assessment, penetration test standard) devono essere svolti almeno annualmente da tutte le entità in scope.
Quali obblighi impone DORA nella gestione dei fornitori TIC terzi?
La gestione dei fornitori TIC terzi (Capitolo V, artt. 28-44) è uno degli aspetti più innovativi e onerosi di DORA. Gli obblighi principali: (1) Registro centralizzato dei contratti TIC: ogni entità deve mantenere un registro aggiornato di tutti i contratti con fornitori TIC, classificando quelli che supportano funzioni critiche o importanti. Il registro deve essere comunicato annualmente all'autorità competente. (2) Due diligence pre-contrattuale: prima di affidarsi a un fornitore TIC per funzioni critiche, l'entità deve valutare il profilo di rischio del fornitore, la sua dipendenza da sub-fornitori, la concentrazione geografica, la continuità operativa. (3) Clausole contrattuali obbligatorie (art. 30): tutti i contratti con fornitori TIC per funzioni critiche devono includere: descrizione completa dei servizi; localizzazione dei dati e dei data center; SLA quantitativi (disponibilità, RPO, RTO); diritti di audit e ispezione da parte dell'entità e delle autorità di supervisione; piani di uscita (exit strategy) con procedure di migrazione e trasferimento dati; obbligo del fornitore di notificare incidenti che possano impattare sull'entità. (4) Valutazione concentrazione rischio: DORA impone di monitorare e mitigare la dipendenza eccessiva da un singolo fornitore TIC (cloud concentration risk — AWS, Azure, Google Cloud per molti istituti italiani). (5) Framework di supervisione dei fornitori critici: la BCE/EBA/ESMA/EIOPA designa i fornitori TIC 'critici' a livello UE (grandi cloud provider, fornitori di software core banking sistemici) e li sottopone a supervisione diretta.
Quali sanzioni prevede DORA per la non conformità?
DORA (art. 50) non stabilisce direttamente le sanzioni, ma impone agli Stati membri di prevedere sanzioni amministrative e misure di vigilanza 'effettive, proporzionate e dissuasive'. Per l'Italia, le sanzioni sono state definite nell'ambito della normativa di recepimento e adattamento. Le sanzioni applicabili agli enti creditizi (Banca d'Italia) seguono il quadro CRD V/CRR: sanzioni pecuniarie fino al 10% del fatturato annuo totale per violazioni gravi, o fino al 2% del fatturato per violazioni meno gravi. Per le imprese di investimento (CONSOB): sanzioni fino al 10% del fatturato (conformemente a MiFID II). Per le assicurazioni (IVASS): sanzioni ai sensi del Codice delle Assicurazioni Private (D.Lgs. 209/2005), adattato per DORA. Per i fornitori TIC critici direttamente supervisionati dalla BCE/EBA/ESMA: fino al 2% del fatturato annuo mondiale (questa è la soglia esplicitamente citata in DORA art. 35). Sanzioni non pecuniarie: sospensione di autorizzazioni, divieto di distribuire dividendi, obbligo di nomina di un commissario straordinario, misure correttive imposte, pubblicazione dei provvedimenti sanzionatori (naming & shaming). L'Ispettorato vigilanza della Banca d'Italia ha avviato le prime ispezioni tematiche DORA nel primo trimestre 2025.
Come si posiziona la Banca d'Italia nella supervisione di DORA?
La Banca d'Italia è l'autorità competente ai sensi di DORA per gli enti creditizi italiani (banche, istituti di credito cooperativo, istituti di pagamento, istituti di moneta elettronica). Il suo ruolo: (1) Supervisione diretta: conduce ispezioni in loco e analisi documentali per verificare la conformità al framework DORA. Ha costituito team specializzati di ispezione in materia di rischio operativo e cyber. (2) Ricezione incident reports: gli enti creditizi italiani notificano gli incidenti TIC gravi alla Banca d'Italia tramite il portale dedicato; la Banca d'Italia trasmette queste notifiche all'EBA e alle autorità di altri paesi UE coinvolte. (3) Autorizzazione TLPT: la Banca d'Italia approva e supervisiona i test TLPT dei principali enti creditizi italiani, coordinandosi con la BCE per i gruppi bancari significativi soggetti a supervisione diretta dell'MVU (Meccanismo di Vigilanza Unico). (4) Circolare 285/2013 aggiornata: la Banca d'Italia ha aggiornato la Circolare 285 ('Disposizioni di vigilanza per le banche') per armonizzarla con DORA, integrando i requisiti TIC nel framework prudenziale. (5) Coordinamento con CONSOB e IVASS: per i gruppi finanziari che includono banche, imprese di investimento e assicurazioni, la supervisione DORA è coordinata tra le tre autorità tramite accordi di cooperazione e il meccanismo di Joint Examination Team previsto dal Regolamento.
Qual è la differenza tra DORA e NIS2 in Italia?
DORA e NIS2 (Direttiva (UE) 2022/2555, recepita in Italia dal D.Lgs. 138/2024) hanno obiettivi parzialmente sovrapposti (cybersecurity e resilienza digitale) ma con importanti differenze: (1) Ambito soggettivo: DORA si applica esclusivamente al settore finanziario (banche, assicurazioni, fintech, ecc.). NIS2 si applica a un range molto più ampio di settori 'essenziali' e 'importanti' (energia, trasporti, sanità, infrastrutture digitali, PA, acque, ecc.). Gli enti finanziari italiani sono soggetti a DORA (lex specialis) e non alla NIS2 per le stesse materie. (2) Natura giuridica: DORA è un Regolamento UE (direttamente applicabile). NIS2 è una Direttiva (recepita in Italia tramite D.Lgs. 138/2024 con specificità nazionali). (3) Incident reporting: DORA — 4 ore/72 ore/1 mese per incidenti finanziari. NIS2 — 24 ore (pre-notifica) / 72 ore (notifica) / 1 mese per i settori NIS2. (4) Test di resilienza: DORA prevede esplicitamente i TLPT. NIS2 non prevede test obbligatori specifici ma impone misure tecniche adeguate. (5) Gestione fornitori: DORA ha disposizioni molto dettagliate sui fornitori TIC e un sistema di supervisione dei fornitori critici a livello europeo. NIS2 impone misure di sicurezza nella supply chain ma con meno dettaglio normativo. (6) Sanzioni: DORA — fino al 2% fatturato per fornitori critici; sanzioni specifiche per settore finanziario. NIS2 — fino a €10 milioni o 2% fatturato per entità essenziali. In sintesi: una banca italiana applica DORA (non NIS2). Un ospedale italiano applica NIS2 (non DORA). Un gruppo che include sia attività finanziarie che non finanziarie applica entrambi i regimi.
Come può la tecnologia RegTech aiutare nell'implementazione di DORA?
L'implementazione di DORA comporta oneri operativi significativi per gli istituti finanziari italiani: mantenimento del registro fornitori TIC, produzione di report per le autorità, gestione degli incidenti, pianificazione dei TLPT. IgeraRegTech offre soluzioni basate su IA con RAG (Retrieval Augmented Generation) per il settore finanziario: (1) Corpus normativo aggiornato: il testo completo di DORA, gli RTS e ITS tecnici dell'EBA/ESMA/EIOPA, le Circolari della Banca d'Italia, il D.Lgs. 138/2024 (NIS2) e le interazioni tra i framework. I team di compliance possono interrogare il sistema ('Quali clausole obbligatorie devo includere nei contratti con i cloud provider secondo l'art. 30 DORA?') e ricevere risposta con citazione dell'articolo esatto. (2) Supporto alla predisposizione dei report di incident: template pre-compilati secondo i formati EBA, con campi obbligatori guidati dalla normativa. (3) Monitoraggio scadenze DORA: calendario automatico per le revisioni del registro fornitori, la pianificazione dei TLPT, i reporting periodici. (4) Gap analysis: il sistema confronta la documentazione interna dell'istituto con i requisiti DORA e identifica lacune. IgeraRegTech è disponibile per banche, fintech e assicurazioni italiane con un'architettura on-premise o cloud privato per garantire la riservatezza dei dati sensibili.
Timeline DORA: Incident Reporting
Notifica iniziale
Prima segnalazione all'autorità competente: descrizione, impatto stimato, misure iniziali.
Rapporto intermedio
Aggiornamento: impatto reale, causa probabile, IoC se cyberattack, misure in corso.
Rapporto finale
Analisi forense, causa radice definitiva, impatto totale, misure correttive, lezioni apprese.
Automatizza la conformità DORA con IgeraRegTech
IA conversazionale con corpus normativo DORA, EBA/ESMA/EIOPA RTS e Circolari Banca d'Italia. Gap analysis automatica, template incident report, monitoraggio scadenze.
Scopri IgeraRegTech →