Il DORA (Digital Operational Resilience Act) è un nuovo regolamento emanato dall’Unione Europea che si riferisce esplicitamente ai servizi finanziari nell’UE, con una particolare attenzione al mantenimento della resilienza digitale.
Nel panorama normativo europeo si sta trasformando profondamente per affrontare le sfide della digitalizzazione, della gestione dei dati e dei rischi informatici. In questo scenario entra in gioco il Regolamento (UE) 2022/2554, noto come DORA – Digital Operational Resilience Act.
Cos’è il Regolamento DORA e quando è entrato in vigore?
DORA è un Regolamento europeo che disciplina la resilienza operativa digitale del settore finanziario. È stato pubblicato in Gazzetta Ufficiale il 27 dicembre 2022 ed è entrato in vigore il 16 gennaio 2023.
L’applicazione effettiva è scattata dal 17 gennaio 2025, data entro la quale i soggetti interessati dovranno adeguarsi pienamente.
DORA nasce con un obiettivo chiaro: assicurare che tutti i soggetti del settore finanziario – inclusi gli intermediari assicurativi – siano in grado di resistere, reagire e riprendersi dagli incidenti informatici e operativi, garantendo continuità e affidabilità nei servizi.
Leggi anche – Obbligo di Aggiornamento Privacy per te e la tua rete
Regolamento DORA: a chi si applica?
Il Regolamento si applica a un ampio spettro di operatori, tra cui:
- Compagnie assicurative e riassicurative;
- Intermediari assicurativi (agenti, broker, collaboratori, subagenti);
- Banche, SIM, SGR, istituti di pagamento;
- Fornitori terzi di servizi ICT critici (cloud provider, software house, ecc.).
Gli Intermediari Assicurativi rientrano quindi a pieno titolo tra i soggetti obbligati a rispettare i requisiti di resilienza operativa e sicurezza digitale introdotti dal Regolamento.
Gli obiettivi chiave del Regolamento DORA
DORA non si limita a dettare principi generici. Fissa con precisione cinque grandi obiettivi operativi, destinati a trasformare l’approccio alla gestione tecnologica anche per gli intermediari:
- Governance solida del rischio ICT
Ogni soggetto vigilato deve definire ruoli e responsabilità per presidiare il rischio informatico; - Gestione strutturata dei rischi digitali
Devono essere adottati processi per identificare, valutare, prevenire e mitigare i rischi derivanti dall’uso della tecnologia; - Segnalazione degli incidenti informatici
Gli operatori dovranno essere in grado di rilevare gli incidenti significativi e comunicarli tempestivamente alle autorità competenti; - Testing periodico della resilienza operativa
Sono previsti test di stress e piani di risposta per verificare la capacità di reazione in caso di crisi tecnologica; - Controllo dei fornitori tecnologici
Chi si affida a fornitori terzi (piattaforme e-learning, CRM, sistemi di pagamento, ecc.) dovrà valutarne e monitorarne i rischi.
Intelligenza artificiale e nuovi strumenti digitali: opportunità e limiti
L’uso di strumenti basati su Intelligenza Artificiale – come ChatGPT, assistenti virtuali e software predittivi – sta cambiando il modo in cui gli Intermediari lavorano.
Ma l’innovazione digitale porta con sé nuove responsabilità:
- Comprendere quando è lecito trattare i dati raccolti attraverso questi strumenti;
- Garantire trasparenza nei confronti dei clienti;
- Preservare la responsabilità umana nelle decisioni rilevanti.
DORA rafforza l’idea che la tecnologia sia un mezzo, non un sostituto della professionalità.
Come devono prepararsi gli Intermediari Assicurativi?
Per affrontare le nuove sfide normative, gli Intermediari dovranno:
- Formarsi sui temi della sicurezza digitale, privacy e gestione ICT;
- Mappare i rischi operativi e informatici della propria struttura, anche se individuale;
- Dotarsi di procedure semplici ma efficaci per fronteggiare eventuali incidenti digitali;
- Monitorare l’adeguatezza dei fornitori tecnologici utilizzati nella propria attività;
- Integrare la cultura della resilienza digitale nella propria routine lavorativa.
Vuoi approfondire questo tema?
Segui il corso “Aggiornamento Privacy: D.O.R.A., dalla prevenzione alla gestione digitale” della docente Laura Canali.
Durante il corso approfondirai:
- I punti chiave del Regolamento DORA;
- Le nuove responsabilità per gli intermediari;
- La gestione dei fornitori tecnologici;
- Il concetto di resilienza digitale;
- I rischi legati a strumenti come l’Intelligenza Artificiale;
- Le buone pratiche per prevenire e gestire incidenti ICT.
Il corso è disponibile nel catalogo OPEN (codice 297) e può essere seguito attraverso il servizio FIAss OPEN 30 Plus, pensato per trasformare l’Aggiornamento Professionale IVASS in un’occasione reale di crescita professionale.
Perché scegliere FIAss OPEN 30 Plus?
L’iscrizione a FIAss OPEN 30 Plus ti garantisce, fino al 31/12/2025:
- Accedi liberamente a tutte le formule di Aggiornamento FIAss;
- Consulta illimitatamente il Catalogo dei corsi FIAss di oltre 150 titoli monotematici;
- Scarica tutti i materiali didattici;
- Ricevi una Certificazione IVASS per ogni corso concluso;
- Scopri tutti i nuovi titoli del catalogo in costante aggiornamento
- Accedi con priorità a eventi gratuiti e ottieni prezzi scontati per gli eventi LIVE formativi.
Leggi anche su questo argomento
Come scegliere il tuo Aggiornamento IVASS 2025?
Rischio reputazionale: cos’è, le conseguenze, come difendersi