Dal 17 gennaio 2025 in Europa è entrata in vigore una normativa che rischia di passare inosservata al grande pubblico, ma che per il mondo finanziario e tecnologico è un vero spartiacque: il Digital Operational Resilience Act (DORA).
Tradotto: banche, assicurazioni, startup fintech, società di pagamenti, crypto exchange e persino i fornitori ICT critici devono dimostrare di saper resistere a shock informatici e interruzioni operative. Non più solo buone pratiche o certificazioni volontarie: adesso è legge.
Un’unica regola per tutti
Per anni il settore finanziario europeo ha convissuto con una giungla di regolamenti nazionali, spesso frammentati e ridondanti. Con DORA l’UE ha deciso di fare pulizia: un quadro unico e armonizzato, uguale per tutti, dal grande istituto centenario alla giovane startup di pagamenti.
Il messaggio è chiaro: la resilienza digitale non è più un “nice to have”, è un requisito minimo per stare sul mercato.
Cosa chiede davvero DORA
Dietro l’acronimo c’è un’agenda molto concreta:
- Mettere ordine in casa propria. Serve un quadro di gestione del rischio ICT vivo e aggiornato: inventari, procedure di backup, tempi di ripristino (RTO/RPO) chiari e, soprattutto, un consiglio di amministrazione che sappia di cosa si parla.
- Segnalare gli incidenti in tempi record. Se subisci un attacco o un blackout grave, hai 4 ore per avvisare l’autorità, massimo 24 ore per l’iniziale notifica e 72 ore per gli aggiornamenti successivi. Non c’è spazio per insabbiamenti.
- Testare sul serio. Non bastano i checklist. Alcune realtà dovranno sottoporsi ogni tre anni a un vero e proprio “crash test” guidato da team esterni che simulano un attacco hacker (Threat-Led Penetration Test).
- Controllare meglio i fornitori. Cloud provider, partner di pagamento, outsourcer: tutti finiscono in un registro obbligatorio, con contratti da rinegoziare e clausole stringenti su audit, continuità e sicurezza.
- Condividere informazioni. DORA spinge le aziende a scambiarsi intelligence sulle minacce per alzare l’asticella della resilienza collettiva.
Perché le fintech non devono spaventarsi
Sì, DORA è complessa. Ma può trasformarsi in un vantaggio competitivo.
In un mercato dove la fiducia è tutto, poter dire “siamo compliant, testiamo regolarmente le procedure di crisi e possiamo dimostrarlo” fa la differenza agli occhi di investitori, partner bancari e clienti finali.
E se le banche tradizionali arrancano sotto il peso dei sistemi legacy, le fintech hanno un asso nella manica: l’agilità. Possono integrare la resilienza nei processi fin dall’inizio, senza dover scardinare decenni di vecchie architetture.
Una tabella di marcia da 90 giorni
Molte startup stanno approcciando la compliance con un piano a fasi rapide:
- Giorni 0–30: nominare un responsabile a livello di board, mappare le funzioni critiche, fare un gap analysis.
- Giorni 30–60: formalizzare il framework ICT, predisporre kit e modelli per la reportistica degli incidenti, avviare la revisione dei contratti con i fornitori.
- Giorni 60–90: simulare una crisi con un’esercitazione tabletop, testare un ripristino da backup, raccogliere evidenze documentali.
Gli errori più comuni
- Aspettare il primo incidente per scoprire quanto sono strette le finestre di notifica.
- Trattare il rischio dei fornitori come secondario, quando invece è centrale per il legislatore.
- Pensare che basti il “pezzo di carta”: DORA chiede prove concrete, dai log ai report dei test.
- Prepararsi troppo tardi ai penetration test guidati, che richiedono mesi di coordinamento.
L’essenza della sfida
DORA non è solo l’ennesimo onere burocratico. È un test di maturità: la tua azienda è in grado di continuare a funzionare durante un attacco informatico o un blackout tecnologico?
Il 2024 è stato l’anno del “costruire velocemente”. Il 2025 sarà l’anno del “dimostrare di saper resistere”.
E in un settore dove la fiducia vale più di qualsiasi algoritmo, questa potrebbe essere la migliore strategia di crescita.