di Lorenzo Alegnani, Area Vice President Sud Europa di Appian
Il Digital Operational Resilience Act (DORA) è un cambiamento normativo significativo per gli Istituti di Servizi Finanziari (FSI) attivi nell’Unione Europea. Si tratta di una normativa pensata per proteggere gli istituti finanziari dalle minacce informatiche, rinforzando la gestione del rischio e i sistemi di sicurezza con standard tecnici per la segnalazione di incidenti, test di resilienza, outsourcing da parte di terzi e fornitori di tecnologia. Il DORA mira a consolidare e aggiornare i rischi legati all’ICT in tutto il settore finanziario e relativa filiera.
L’obiettivo principale del DORA è quello di prevenire e mitigare le minacce informatiche. Il regolamento mira a garantire che tutti gli operatori finanziari dispongano di salvaguardie necessarie per ridurre al minimo questi rischi. Il regolamento riguarda una serie di istituti finanziari, tra cui istituti di credito, istituti di pagamento, istituti di moneta elettronica e società di investimento in tutti gli Stati membri dell’UE a partire dal 17 gennaio 2025. In vista della sua attuazione, gli operatori si troveranno ad affrontare una serie di sfide per rimanere conformi al nuovo regolamento. Queste sfide riguardano diverse aree aziendali, dalla governance alla tecnologia e richiedono risposte e approcci strategici ben coordinati per garantire la conformità, in modo che le aziende possano mantenere il loro vantaggio competitivo.
Maggiori requisiti di governance e supervisione
Il DORA richiede una maggiore governance e sorveglianza dei tool, dei sistemi e dei fornitori di servizi ICT, così come delle applicazioni di gestione del rischio e degli strumenti di reporting di terze parti. Questo andrà oltre le tradizionali pratiche di supervisione e richiederà agli istituti di avere una comprensione completa delle proprie responsabilità e dei propri rischi attraverso l’intera supply chain. La richiesta di strutture di governance più rigorose potrebbe portare a cambiamenti sostanziali nei processi e nell’uso dei sistemi da parte degli istituti finanziari. Per essere conformi alla gestione del rischio di terze parti più stringente del DORA, le aziende dovranno aggiornare gli accordi sul livello di servizio (SLA) per la risposta e la segnalazione degli incidenti. Il DORA richiede che gli Istituti Finanziari forniscano audit e report regolari, con la possibilità di fornire evidenze, su richiesta, delle misure di governance e di controllo.
Test di resilienza operativa e reportistica
Il regolamento stabilisce un nuovo quadro normativo che richiede di testare regolarmente i propri sistemi per garantire la resilienza contro i cyberattacchi e altre interruzioni operative. Sebbene sia indispensabile, questo requisito può creare un ulteriore onere operativo a causa della necessità di effettuare test frequenti e di fornire rapidamente informazioni. Migliorando la resilienza e concentrandosi sulla sicurezza del DORA assicura che le aziende siano equipaggiate al meglio per gestire gli attacchi informatici, le minacce e gli incidenti operativi. Inoltre, questo nuovo regolamento permette di migliorare l’ecosistema finanziario e di proteggere maggiormente i consumatori. Infine, l’enfasi sul miglioramento dell’elasticità operativa e della sicurezza incoraggia l’innovazione. Le società sono incentivate ad adottare tecnologie aziendali sicure e protette che portano a un sistema finanziario più resiliente.
Aumento della complessità e dei costi di conformità
Il DORA potrebbe comportare una maggiore complessità della compliance, con conseguente aumento dei costi operativi. I nuovi requisiti potrebbero richiedere una revisione significativa degli attuali quadri di conformità delle società per soddisfare tali requisiti. Potrebbero essere necessari ulteriori investimenti, in particolare in nuove tecnologie e spese per la formazione del personale e la reingegnerizzazione dei processi.
Gli standard ICT e di resilienza operativa richiederanno di aggiornare le proprie infrastrutture e migliorare la gestione dei dati per soddisfare i requisiti. Investire in automazione e in intelligenza artificiale è una valida soluzione perché le tecnologie possono aiutare a gestire grandi quantità di dati e attività complesse. Per quanto l’investimento iniziale in queste tecnologie possa essere elevato, i guadagni in termini di produttività ed efficienza nel lungo periodo ripagano ampiamente i costi iniziali.
Un passaggio strategico verso la compliance centralizzata
Data la complessità e lo spessore del DORA, gli istituti finanziari dovranno optare per un approccio più centralizzato alla conformità normativa. Ciò comporta l’integrazione delle attività di conformità in tutta l’organizzazione, invece di trattarle come attività isolate all’interno dei singoli reparti.
L’adozione di un quadro di controllo centralizzato consente agli istituti di implementare sistematicamente una migliore governance, gestione del rischio e conformità (GRC), di ridurre al minimo ridondanza e sprechi e di garantire coerenza e consistenza tra le diverse linee di business o funzioni del gruppo. Questo cambiamento strategico sottolinea anche l’importanza dell’automazione nella compliance normativa. L’utilizzo dell’intelligenza artificiale e dell’automazione semplifica i flussi di lavoro di conformità, riduce il carico di lavoro manuale, aumenta la produttività dei dipendenti e migliora la tempestività delle risposte alle modifiche normative.
La sfida principale risiede nella complessità e nella portata di questi requisiti, che potrebbero richiedere l’implementazione di nuovi sistemi e processi, l’assunzione di nuovi fornitori per assicurare tali funzionalità o la rinegoziazione dei contratti esistenti con i fornitori di software e servizi. Date le scadenze ravvicinate imposte dal DORA, con la prima serie di obblighi in vigore da gennaio 2025, tutto ciò è particolarmente complicato. Di conseguenza, le istituzioni potrebbero subire interruzioni operative nel tentativo di soddisfare questi nuovi standard. DORA potrebbe rappresentare una sfida ancora più difficile per le società più piccole, con budget ridotti e minore flessibilità.
Affrontare queste sfide con l’automazione
L’automazione intelligente può giocare un ruolo fondamentale nell’aiutare le società a superare queste sfide. Grazie all’utilizzo dell’automazione, che semplificherà i processi e garantirà la coerenza tra le diverse linee di business, il lavoro più gravoso del cambiamento normativo sarà attenuato. Come già detto, il DORA enfatizza gli approcci sistematici alla conformità normativa. In questo caso, l’automazione può supportare le istituzioni a rimanere aggiornate sulle modifiche normative e ad affrontare rapidamente qualsiasi ripercussione sulla classificazione dei dati e/o sulla criticità del servizio. Ad esempio, un’istituzione potrebbe utilizzare l’automazione dei processi per gestire la valutazione e l’impatto dei cambiamenti normativi in tutta l’organizzazione e integrare uno strumento di horizon scanning che la avvisi degli eventi normativi imminenti. Automatizzare l’orchestrazione della gestione degli incidenti ridurrebbe anche i tempi di risposta e garantirebbe alle società una maggiore capacità di soddisfare i requisiti del DORA per la risposta e la segnalazione degli incidenti.
Utilizzo dell’IA per integrare l’approccio automatizzato
Grazie all’intelligenza artificiale, le società potrebbero migliorare il flusso dei dati e accelerare il processo decisionale. La maturità degli strumenti di IA consentirebbe alle società di identificare e collegare rapidamente le funzioni di dati rilevanti per migliorare notevolmente i tempi di risposta ai rischi e migliorare ulteriormente il processo decisionale. Si tratta di un aspetto importante, soprattutto in contesti ad alta pressione come le condizioni di mercato in crisi. Ad esempio, un supporto basato sull’intelligenza artificiale al flusso di lavoro può alleggerire i compiti del personale, riducendo il carico di lavoro degli analisti di compliance e fornendo agli utenti informazioni su domande simili già risolte in precedenza. Ciò consente di indirizzare in modo efficiente le informazioni tra chi pone le domande e gli analisti di compliance che rispondono. In generale, ciò si traduce in soluzioni più rapide ed efficaci.
Un approccio integrato al DORA
Le conseguenze del DORA per gli istituti di servizi finanziari sono notevoli. Dal potenziamento della governance e della gestione del rischio di terzi alla pressione sull’infrastruttura tecnologica e al cambiamento strategico verso una compliance centralizzata, il DORA rappresenta una sfida normativa significativa. Adottando un approccio proattivo e integrato con l’automazione e il potenziamento della resilienza, gli istituti finanziari possono trasformare le sfide della conformità in un vantaggio competitivo. L’adozione di strumenti di workflow guidati dall’intelligenza artificiale può contribuire a ridurre i tempi di risposta e gli oneri manuali, con conseguenti risposte più rapide e accurate agli incidenti e alle sfide, portando così a una conformità più tempestiva agli interventi normativi.