Skip to main content
Compliance

Tutto sul Regolamento Digital Operational Resilience Act (DORA)

By Marzo 28, 2023Maggio 20th, 2026No Comments17 min read

Contenuto aggiornato a febbraio 2026, secondo gli ultimi aggiornamenti del DORA.

Digital Operational Resilience Act: impatto su Cyber Security e Risk Management nel 2026

Il Digital Operational Resilience Act è la cornice europea che ha ridefinito gli standard di resilienza operativa digitale per il settore finanziario. Con il DORA pienamente in vigore dal 17 gennaio 2025, il 2026 è l’anno in cui la conformità operativa viene testata sul campo dai supervisori, attraverso ispezioni, richieste di evidenze e i primi cicli completi di reporting.

La crescente regolamentazione nel mondo della finanza ha vissuto un altro capitolo cruciale. Oltre al perimetro regolamentare del mondo Crypto e di quello FinTech, anche l’area informatica è stata investita da obblighi puntuali che oggi le entità finanziarie devono dimostrare di applicare in modo strutturato.

È infatti questa l’area di focus del cosiddetto DORA (Digital Operational Resilience Act), ovvero l’Atto sulla Resilienza Operativa Digitale. Si tratta del Regolamento (UE) 2022/2554 del 14 dicembre 2022, pubblicato in Gazzetta dell’Unione Europea il 27 dicembre 2022 e relativo alla resilienza operativa digitale per il settore finanziario.

Il Regolamento DORA è entrato in vigore all’interno dell’Unione Europea il 17 gennaio 2023 ed è pienamente applicabile dal 17 gennaio 2025. Quello che fino a un anno fa era percepito come un orizzonte di adeguamento ampio si è ora trasformato in un perimetro di verifica attiva: chi non si è munito dei giusti strumenti per adempiere a tutti gli obblighi introdotti dall’UE rischia di trovarsi scoperto proprio nella fase di enforcement.

Indice dei contenuti

Alla scoperta della nuova legge europea sulla resilienza digitale

Prima di entrare nel merito delle novità introdotte dal DORA, è bene identificare quali operatori finanziari devono adeguarsi. E l’elenco è davvero lungo.

Si va dagli enti creditizi e gli istituti di pagamento, fino ai prestatori di servizi di informazione sui conti, gli istituti di moneta elettronica, le imprese di investimento, i fornitori di servizi per le criptovalute, i depositari centrali di titoli, le controparti centrali (CCP), le sedi di negoziazione, i repertori di dati sulle negoziazioni, i gestori di fondi di investimento alternativi e le società di gestione.

Ma il Regolamento DORA si estende anche ai fornitori di servizi di comunicazione dati e di crowdfunding, le imprese di assicurazione e di riassicurazione, gli intermediari assicurativi, riassicurativi e assicurativi a titolo accessorio, gli enti pensionistici aziendali o professionali, le agenzie di rating del credito, gli amministratori di indici di riferimento critici, i repertori di dati sulle cartolarizzazioni e i fornitori di servizi di tecnologie dell’informazione e della comunicazione (ICT).

Insomma, l’intero ecosistema finanziario dell’Unione Europea deve fare i conti con il DORA, caricando di lavoro e responsabilità i dipartimenti di compliance di tutte le realtà sopra elencate.

Cosa cambia con l’adeguamento al Regolamento DORA?

Per chiarire il contesto su cui interviene il DORA, è utile fare riferimento al documento pubblicato dall’European Systemic Risk Board (ESRB) il Comitato Europeo per il Rischio Sistemico, relativo agli strumenti macroprudenziali per la resilienza informatica nel settore finanziario.

Uno dei maggiori rischi per la stabilità finanziaria identificato dall’ESRB è rappresentato dagli incidenti informatici, anche in considerazione della situazione geopolitica attuale, che ha richiesto un ulteriore rafforzamento della resilienza digitale.

Una particolare attenzione deve essere prestata, sempre secondo l’ESRB, agli interventi volti a mitigare il rischio che incidenti informatici compromettano l’erogazione di funzioni economiche chiave e si trasformino in eventi sistemici. Questi incidenti possono infatti causare l’interruzione del funzionamento dei sistemi tecnologici o di disponibilità di un servizio critico, ma anche la perdita di riservatezza, integrità o affidabilità dei dati alla base di un servizio critico.

Una delle cause principali degli incidenti informatici sono gli attacchi informatici, rispetto ai quali sono stati identificati tre livelli di difesa:

  1. capacità di resistenza e rilevamento delle istituzioni finanziarie;
  2. capacità di risposta e recupero delle istituzioni;
  3. capacità di coordinamento e di azione delle autorità.

Tornando al Regolamento DORA, si può dire che questo documento mira proprio a rafforzare gli elementi chiave del primo livello di difesa, le cui capacità di resistenza, rilevamento e risposta iniziale vengono valutate con i test di penetrazione delineati nel Digital Operational Resilience Act.

L’adeguamento al Digital Operational Resilience Act in pillole: i requisiti UE

A questo punto, non resta che dare uno sguardo (generale e non esaustivo) agli obblighi introdotti dal DORA, seguendo come traccia le macro-aree di applicazione del Regolamento stesso.

Governance e organizzazione interna

Predisporre policy interne che garantiscano un controllo efficace e prudente dei rischi ICT legati alla Cyber Security e che garantiscano la continuità operativa; implementare sistemi e piani di ripristino; prevedere al proprio interno figure professionali e strumenti idonei a rilevare vulnerabilità, minacce, incidenti e attacchi informatici; elaborare specifici piani di comunicazione verso i clienti.

Cyber Security & Risk Management

Adottare un quadro di gestione del Cyber Risk adeguato, tramite strumenti e sistemi ICT tali da ridurre al minimo l’impatto dei relativi rischi, con una visione end-to-end dei processi aziendali; prevedere e identificare rapidamente le fonti di rischio; adottare meccanismi per rilevare le attività anomale e implementare modalità di protezione e prevenzione adeguate; classificare le minacce informatiche e gli incidenti connessi ai fornitori ICT; creare un sistema di segnalazione degli incidenti informatici e prevedere protocolli di information sharing sulle minacce informatiche; svolgere test di resilienza operativa digitale; adottare un sistema di gestione dei rischi informatici derivanti da terzi.

Un elenco molto denso, ma comunque non esaustivo, di attività che le entità finanziarie devono oggi essere in grado di dimostrare ai supervisori, dopo la scadenza del 17 gennaio 2025.

Ma oltre a ciò, il Regolamento DORA presenta varie interconnessioni con altre normative nel campo della Cyber Security, sia a livello europeo (Direttiva NIS 1, Direttiva NIS 2, TIBER EU Framework, EBA Guidelines, MiFID II, GDPR, Basel Committee’s 2021 Principles on Operational Resilience, EIOPA Guidelines) che italiano (Perimetro di Sicurezza Nazionale Cibernetica PSNC, la Circolare 285 della Banca d’Italia, il Regolamento IVASS).

Alla luce di ciò, appare evidente come la sfida più complessa per gli operatori finanziari sia quella di identificare il delta normativo tra gli obblighi introdotti dal DORA e gli adempimenti già svolti ai sensi delle normative emanate in precedenza, così da cogliere i punti di accordo e quelli di discrepanza. Solo in seguito potranno procedere con gli adeguamenti richiesti dall’UE attraverso il Regolamento DORA.

Come un alleato RegTech accelera l’adeguamento al DORA

Cosa cambia nella pratica quando un team compliance affronta il DORA con il supporto di una piattaforma RegTech? La differenza si misura su tre fronti operativi precisi, dove il volume di lavoro normativo, la dispersione documentale e la pressione dei supervisori hanno fatto saltare l’approccio manuale.

Monitoraggio continuo della normativa DORA e degli aggiornamenti EBA/ESMA. Il quadro normativo non è statico: tra guide di oversight, technical standard, comunicazioni delle autorità nazionali e revisioni dei registri informativi, ogni mese arrivano evoluzioni rilevanti. Una piattaforma di adeguamento normativo automatizzato analizza in tempo reale le fonti ufficiali e segnala via alert i passaggi che impattano direttamente sull’organizzazione, riducendo il rischio di apprendere un nuovo obbligo solo in fase di ispezione.

Mappatura degli obblighi applicabili alla propria categoria di ente. Il DORA si applica a un perimetro molto eterogeneo, e gli obblighi cambiano sensibilmente tra banca significativa, intermediario, gestore di fondi o fornitore ICT. Lo stesso testo regolamentare contiene rimandi incrociati a NIS 2, MiFID II, Circolare 285 e GDPR. L’estrazione strutturata degli obblighi dal testo regolamentare, condotta su un formato machine readable, restituisce una vista filtrabile per categoria di ente, articolo e area di rischio, sostituendo letture manuali ripetute.

Documentazione e audit trail per i controlli di conformità. Con la fase di enforcement attiva nel 2026, i supervisori non chiedono più solo l’esistenza di policy, ma evidenze coerenti di applicazione. Una piattaforma che centralizza gap analysis, registri informativi, evidenze di test di resilienza e comunicazioni con il management consente di ricostruire l’intero ciclo di vita dell’adempimento e produrre la documentazione richiesta senza ricostruzioni manuali sotto pressione: è quanto emerge dall’esperienza dei team che adottano soluzioni di compliance finanziaria basate su AI.

In tutti e tre i casi, il punto non è automatizzare la decisione di conformità: il giudizio resta del professionista. Il punto è rendere il lavoro più veloce, più tracciabile e più difendibile di fronte all’autorità.

Checklist per l’adeguamento al DORA: dove sei nel percorso?

Checklist aggiornata al 2026: il DORA è in vigore dal 17 gennaio 2025 e la fase di enforcement pieno è in corso, con il secondo ciclo di Register of Information e l’avvio delle attività di oversight sui Critical Third-Party Providers designati a novembre 2025.

Questa è una traccia operativa per verificare il proprio stato di adeguamento sulle macro-aree del Regolamento. Non sostituisce una gap analysis formale, ma aiuta a individuare le aree dove servono interventi prioritari.

  1. ICT risk management: verificare se il framework di gestione del rischio ICT è documentato, approvato dal management body e aggiornato ai requisiti DORA, con ruoli, soglie di rischio e linee di reporting esplicitamente definiti.
  2. Incident reporting: definire procedure e tempistiche di notifica degli incidenti ICT significativi alle autorità competenti, con classificazione coerente con i criteri DORA e prove di esercitazione del processo.
  3. Resilienza operativa: testare i piani di continuità operativa e disaster recovery con cadenza annuale, includendo scenari di indisponibilità prolungata dei fornitori ICT critici.
  4. Digital operational resilience testing: pianificare, dove applicabile, i Threat-Led Penetration Test (TLPT) secondo il ciclo triennale previsto e mantenere evidenza dei test ordinari su sistemi e applicazioni critiche.
  5. Third-party risk: mappare tutti i fornitori ICT critici, verificare la conformità contrattuale ai requisiti DORA (audit rights, exit strategy, sub-fornitura, SLA) e valutare il rischio di concentrazione.
  6. Register of Information: predisporre e aggiornare il registro strutturato di tutti gli accordi contrattuali ICT, le funzioni supportate e le dipendenze, nel formato richiesto dalle autorità di supervisione.
  7. Monitoraggio normativo: predisporre un sistema di aggiornamento automatico su circolari EBA, ESMA, EIOPA e Banca d’Italia relative al DORA e ai suoi technical standard.
  8. Gap analysis: condurre un’analisi formale degli scostamenti rispetto ai requisiti applicabili alla propria categoria di ente, con piano di rimedio datato e responsabilità assegnate.
  9. Audit e documentazione: raccogliere e conservare le evidenze necessarie per i controlli di supervisione, comprese policy, report di test, registri incidenti, contratti, KPI/KRI di resilienza.

Se più di tre voci sono ancora aperte, il rischio di esposizione in caso di ispezione è significativo: è il momento di passare da una compliance documentale a una compliance dimostrabile.

Calcolare l’impatto del Regolamento DORA con alleati RegTech adeguati

È abbastanza chiaro, dunque, che gli sforzi richiesti ai professionisti di compliance finanziaria nella fase attuale, rispetto all’adeguamento al Regolamento DORA, sono molti e cruciali al fine di mantenere un piano di adeguamento che determini l’effettivo impatto del DORA sulla propria organizzazione e regga il confronto con i supervisori.

Per svolgere in maniera accurata e quanto più rapida possibile queste operazioni, i dipartimenti di compliance finanziaria hanno bisogno di alleati RegTech che rendano il lavoro più veloce e preciso. E in Aptus.AI sappiamo che questo è possibile grazie all’automazione di alcuni precisi step dei processi di compliance.

Quelli su cui interviene il nostro software pensato per il mercato RegTech, che, grazie al suo formato machine readable delle norme finanziarie, è in grado di estrarre automaticamente i requisiti e gli obblighi normativi, tenendo anche conto dei processi e delle policy interne.

Questa analisi automatica tramite l’Intelligenza Artificiale (integrata con pratiche di trattamento della Generative AI, come l’approccio CAG) offre analisi di primo impatto rapide e accurate su ogni perimetro normativo, incluso quello della Cyber Security, in cui rientra il Regolamento DORA.

In un contesto multi-regolatore e cross-country come quello dell’Unione Europea, la piattaforma di Aptus.AI consente non soltanto di ridurre tempi e costi per il recepimento degli aggiornamenti normativi, ma anche di velocizzare l’adeguamento da parte degli operatori finanziari alle nuove norme.

Le funzionalità dell’assistente IA di Aptus.AI

L’assistente IA di Aptus.AI è progettato per rivoluzionare il lavoro dei professionisti della compliance, del settore legale e della consulenza, offrendo un supporto rapido, preciso e personalizzabile nell’analisi normativa.

Grazie a tecnologie avanzate di Intelligenza Artificiale, l’assistente IA di Aptus.AI è in grado di trasformare la gestione della compliance e delle attività legali in un vero vantaggio competitivo, facendo risparmiare tempo e migliorando la qualità delle decisioni.

Ecco le principali funzionalità dell’assistente IA di Aptus.AI:

  • Monitoraggio normativo e alert in tempo reale: notifiche automatiche sugli aggiornamenti normativi di interesse, tra enti italiani, europei e internazionali.
  • Analisi degli impatti e comparazione normativa: identificazione automatica degli effetti degli aggiornamenti sulle organizzazioni e visualizzazione chiara delle differenze tra versioni di testi giuridici.
  • Progetti personalizzati e risposte ad hoc: possibilità di addestrare l’assistente IA sui propri casi e ricevere analisi mirate e affidabili, basate sui documenti forniti e sulle esigenze specifiche.
  • Generazione automatica di testi giuridici: redazione automatizzata delle bozze di policy, atti, pareri e documenti ricorrenti grazie all’IA generativa alimentata da banche dati sempre aggiornate.
  • Analisi dei rischi: individuazione automatica tramite IA dei rischi derivanti da novità normative, per poter dedicare più tempo alle attività strategiche.
  • Spazi di lavoro condivisi: aree dove collaborare facilmente con il proprio team, condividendo informazioni e analisi normative in ambienti dedicati e sicuri.

Con l’assistente AI Aptus.AI, la compliance e la consulenza legale entrano nell’era dell’innovazione digitale.

Per approfondire la cornice normativa italiana, è utile leggere come si è articolata la trasposizione del DORA in Italia, che ha completato il quadro di applicazione domestica del Regolamento.

Digital Operational Resilience Act (DORA) – Ultimi aggiornamenti

Dal 17 gennaio 2025 il digital operational resilience act (DORA) è pienamente applicabile e ha alzato l’asticella su gestione del rischio ICT, resilienza operativa, incident reporting e controllo della supply chain tecnologica per banche, assicurazioni e altri operatori finanziari. Un punto chiave emerso nel 2025 è l’entrata in regime del DORA Oversight Framework: con la designazione dei CTPPs e la pubblicazione di guide operative sulla supervisione, le organizzazioni devono aspettarsi maggiore attenzione su contratti, governance e misure di controllo verso cloud e fornitori ICT “core”, oltre che su inventari e registri informativi per mappare dipendenze e criticità. Nel 2026 la fase di enforcement attivo è iniziata, con il secondo ciclo di Register of Information e l’avvio coordinato delle attività di oversight da parte delle Joint Examination Teams sui Critical ICT Third-Party Providers designati dalle ESAs a novembre 2025.

FAQs

1) Quando è diventato applicabile il Digital Operational Resilience Act (DORA) e chi riguarda?

Il DORA è applicabile dal 17 gennaio 2025 e si applica a un’ampia platea di entità finanziarie (banche, assicurazioni, intermediari, fintech regolamentate, ecc.) e, indirettamente, ai fornitori ICT che supportano servizi critici.

2) Quali sono i pilastri principali del DORA (in pratica cosa devo mettere a terra)?

In sintesi: ICT risk management (governance e controlli), incident reporting (gestione e notifiche), digital operational resilience testing (test e TLPT dove richiesto), third-party risk (contratti e controllo fornitori), information sharing (pratiche di condivisione su minacce/cyber).

3) Cosa cambia davvero sui fornitori ICT (cloud, outsourcer, software core) con il framework di oversight DORA?

Con il framework di oversight pienamente operativo, i fornitori ICT “critici” (CTPP) sono soggetti a supervisione rafforzata delle ESAs: per le entità finanziarie significa maggiore attenzione su contrattualistica, exit strategy, audit rights, subfornitura, resilienza e continuità operativa, oltre a inventari e mappature delle dipendenze. La prima lista ufficiale di CTPP è stata pubblicata dalle ESAs il 18 novembre 2025.

4) Cos’è il “register of information” e perché è uno degli aspetti più impegnativi in ottica compliance?

È il registro strutturato che mappa tutti gli accordi contrattuali ICT, i servizi, i fornitori, le funzioni supportate e le dipendenze (inclusa la catena dei subfornitori). È spesso complesso perché richiede dati coerenti da procurement, IT, risk, legal e vendor management.

5) Quali evidenze documentali si aspettano i revisori/authority durante un assessment DORA?

Tipicamente: policy e framework di ICT risk, procedure e report su incidenti e comunicazioni, piano e risultati di test di resilienza, documentazione di terze parti (due diligence, contratti, SLA, audit, exit), e un set minimo di KPI/KRI di resilienza (es. disponibilità servizi critici, tempi di ripristino, trend incidenti).

Tags:

Related Posts

ComplianceAI La Retrieval Augmented Generation (RAG) per una ricerca normativa precisa e aggiornata

La Retrieval Augmented Generation (RAG) per una ricerca normativa precisa e aggiornata

La Retrieval Augmented Generation è l'architettura AI che ha cambiato il rapporto tra i professionisti…
Diego
DiegoMaggio 13, 2026
ComplianceAI Regolamento AI Act: il radar operativo per compliance, risk e legal officer

Regolamento AI Act: il radar operativo per compliance, risk e legal officer

Il regolamento AI Act (Regolamento UE 2024/1689) è entrato in vigore il 1° agosto 2024.…
Diego
DiegoAprile 22, 2026
NotizieCompliance Chi controlla i controllori? Il caso Delve e il rischio nascosto nella compliance esternalizzata

Chi controlla i controllori? Il caso Delve e il rischio nascosto nella compliance esternalizzata

A dicembre 2025, circa 500 startup nel campo dell’intelligenza artificiale hanno scoperto una cosa scomoda.…
Diego
DiegoAprile 2, 2026

L'Assistente AI legale per avvocati e compliance