In seguito all’entrata in vigore del Regolamento DORA, volto a rafforzare la resilienza operativa digitale nel settore finanziario, la Banca d’Italia ha disposto che gli intermediari soggetti a vigilanza conducano un’analisi interna del proprio sistema di gestione dei rischi ICT.
L’obiettivo è verificare il grado di conformità ai requisiti imposti dal Regolamento stesso.
Indice degli argomenti
Adozione DORA: un modello per l’autovalutazione
Per facilitare questo percorso e garantire la comparabilità delle risposte, la Banca d’Italia ha predisposto dei modelli di autovalutazione strutturati in varie sezioni, delle quali si riporta una sintesi, che includono principalmente:
- la gestione dei rischi informatici: questa sezione è ispirata agli articoli dal 5 al 15 del regolamento DORA e integrata dal quadro semplificato ai sensi dell’articolo 16, esamina: la solidità del sistema di gestione dei rischi ICT; l’identificazione e la mappatura delle risorse e funzioni ICT; l’adozione di sistemi di controllo per la sicurezza informatica; la continuità operativa ICT; le politiche di backup e ripristino; le procedure di analisi degli incidenti e dei test; i piani di comunicazione in caso di crisi;
- la gestione, classificazione e segnalazione degli incidenti informatici: questa parte verifica se sono presenti meccanismi adeguati per rilevare, registrare, classificare e gestire gli incidenti ICT, inclusa la corretta segnalazione alle autorità competenti;
- i test di resilienza operativa digitale: valuta l’esistenza di un programma strutturato di test, che preveda: l’indipendenza dei tester; procedure per la prioritizzazione e la risoluzione delle problematiche rilevate; l’inclusione di diverse tipologie di test; una cadenza minima annuale;
- la gestione del rischio di terza parte si concentra su: l’aggiornamento della strategia di gestione del rischio derivante da terze parti; la creazione di registri per gli accordi contrattuali con i fornitori di servizi ICT; l’allineamento degli accordi ai requisiti DORA; la valutazione del rischio di concentrazione;
- i meccanismi di scambio informativo verificano l’eventuale partecipazione a schemi volontari per la condivisione di informazioni e minacce informatiche;
- la riservatezza dei dati e dei servizi: valuta l’adozione di misure e strumenti per proteggere i dati e i servizi, con particolare attenzione a: rilevazione di attività anomale; prevenzione della perdita dei dati; controllo degli accessi; monitoraggio dei sistemi ICT;
- la gestione delle modifiche ICT: in conformità agli articoli 17 e 38 del regolamento delegato UE 2024/1774, analizza le procedure per la gestione delle modifiche ai sistemi ICT, includendo: la verifica dei requisiti di sicurezza; l’indipendenza delle funzioni; la definizione di ruoli e responsabilità; documentazione e comunicazione delle modifiche; le procedure di fall-back; la gestione delle emergenze e la valutazione dell’impatto sulle misure di sicurezza; l’elaborazione di una procedura per la gestione dei progetti e delle modifiche ICT.
In totale, le sezioni comprendono circa 50 requisiti, pochi a dire il vero, considerando la complessità della normativa (che include oltre al Regolamento principale, vari regolamenti integrativi, linee guida e altri documenti tecnici).
Giudizio sulla conformità
Per ciascun requisito, agli intermediari viene chiesto di esprimere un giudizio sulla conformità, scegliendo tra:
- pienamente completato o in linea;
- prevalentemente completato;
- parzialmente completato;
- non completato;
- non applicabile.
È inoltre necessario fornire per ogni requisito una serie di dettagli e motivazioni, tra cui:
- un riferimento preciso alla documentazione interna (indicando nome del documento, capitolo eparagrafo) e segnalando eventuali modifiche apportate o pianificate per garantire la conformità;
- una descrizione approfondita delle aree già conformi e di quelle che richiedono interventi migliorativi;
- l’indicazione delle attività in sospeso o in corso, con tempi stimati per il completamento e una chiara visione dello stato di avanzamento;
- una dettagliata esposizione dei meccanismi, procedure, protocolli e strumenti adottati o in fase di implementazione;
- l’indicazione di eventuali esclusioni, soprattutto per quanto riguarda le modifiche e i progetti ICT, corredate dalle relative motivazioni.
Il modello e le istruzioni non specificano un livello di dettaglio obbligatorio, il che può comportare una certa variabilità nelle risposte fornite dagli istituti, influendo anche sulla verificabilità delle autovalutazioni.
Solo la presenza di evidenze concrete – come il riferimento a progetti, implementazioni o normative interne – potrà confermare la validità dell’autovalutazione per ogni requisito.
Ogni intermediario ha quindi la facoltà di determinare il livello di dettaglio con cui formulare le proprie risposte. L’autovalutazione deve essere svolta in collaborazione con le funzioni di controllo di secondo e terzo livello e deve ottenere l’approvazione dall’organo di amministrazione.
Il punto sul grado di adozione di DORA
Indipendentemente dal fatto di essere fra i soggetti sui quali ricade l’obbligo di rispondere al questionario di Banca d’Italia, qualunque tipologia di entità finanziaria può trarre un vantaggio dalla compilazione del modello di autovalutazione.
Il modello sintetizza infatti, a un livello analitico non eccessivo, ma comunque sufficiente, i requisiti di DORA che è necessario implementare e ritenuti significativi da un’autorità di vigilanza autorevole qual è Banca d’Italia.
Consente, inoltre, a qualunque entità finanziaria, di fare il punto sul proprio stato di avanzamento della implementazione dei requisiti previsti dalla normativa DORA.
