Con il D.Lgs. n. 23 del 2025 il nostro ordinamento recepisce il Regolamento 2022-2554, emanato dall’Unione Europea in riferimento al settore bancario, finanziario e assicurativo, comunemente noto come DORA (Digital Operational Resilience Act). Un consistente passo avanti nella lotta ai sempre più frequenti cyber attacchi, che vedono coinvolti i diversi soggetti operanti nel campo finanziario, e che fissa standard tecnici dei sistemi di information technology, ai quali le organizzazioni finanziarie devono adeguarsi, strutturandosi di conseguenza.
BANKITALIA, CONSOB, IVASS e COVIP, come autorità destinatarie delle segnalazioni di cyberattacchi da parte dei soggetti sui quali istituzionalmente, per quanto di competenza, sono tenute a vigilare (istituti di credito, società quotate, imprese assicurative, fondi pensioni, ecc.), vengono chiamate a verificare l’adozione e il rispetto delle incombenze fissate dal nuovo regolamento.
Ma destinatarie del DORA sono anche le persone fisiche quando ricoprono le funzioni di amministrazione, direzione e controllo dei sopra indicati soggetti giuridici, nonché i vari fornitori di servizi di information technology degli stessi.
Estremamente invasive risultano poi le attività di vigilanza da parte delle autorità competenti in materia di DORA. Sono previsti accessi presso gli enti e le strutture aziendali, l’acquisizione di documenti e di informazioni, ovvero l’audizione del personale coinvolto, che, all’esito dell’istruttoria, qualora fosse accertata una sua diretta responsabilità, potrebbe finanche essere oggetto di sanzioni pecuniarie.
Significativo è quindi l’aspetto della responsabilità, atteso che i soggetti interessati, come rimarcato dal DORA, devono, con il loro comportamento, aver inciso sostanzialmente sui profili di rischio.
Già con il D.Lgs. n. 138/2024 (c.d. Decreto NIS 2) di recepimento della Direttiva 2022/2055, il nostro ordinamento giuridico si è indirizzato verso l’adozione di strumenti e procedure sempre più attuali e invasive per una migliore tutela della sicurezza informatica in Italia.
Ma se NIS 2 (Network and Information System Directive) ha avuto una portata di carattere generale, interessando il processo di uniformità alle regole sulla cybersecurity nell’ambito dei Paesi UE, con il regolamento DORA si assiste adesso a qualcosa di più specifico e fortemente mirato a soggetti qualificati.
La cybersecurity non è solo una tecnica volta a garantire la massima sicurezza informatica, ma viene ad interessare procedure, flussi informativi, competenze professionali, ruoli e funzioni rivestite dai soggetti fornitori e utenti dei vari sistemi, sempre più performati in materia di sviluppo.
È fondamentale essere interconnessi. La sicurezza informatica di un Paese non può essere limitata e perimetrata ai suoi confini. Facilmente si registrano ripercussioni eterodirette in mercati sempre più globalizzati. Bisogna, quindi, fare sistema, scambiandosi tecnologie e metodologie di tutela volte alla prevenzione, al controllo e al contrasto.
Da qui la necessità che i Governi dei Paesi “amici” interloquiscano costantemente con la creazione di soggetti coesi, come, nel caso della nascita di un consorzio di partner provenienti da sette diversi Stati, coordinati dall’ACN (Agenzia per la Cybersicurezza Nazionale), in applicazione del CRA (Cyber Resilience Act), di cui al Regolamento UE 2024/2847 con uno stanziamento per le PMI (Piccole Medie Imprese) di 16,5 milioni di euro.
Grazie alla consapevolezza della vulnerabilità, risultiamo in grado di intraprendere una neurogenesi volta alla creazione di sistemi di difesa, implementando in particolare la conoscenza con lo studio e la ricerca, non solo a livello tecnologico di hardware e software, ma anche a livello di sviluppo di creatività e inventiva, ovvero con la capacità di evolversi e rinnovarsi senza sosta.
Questa è la sfida che ci attende.
