Nell’ambito dei pagamenti elettronici, il Digital Operational Resilience Act (DORA) è il regolamento concepito per garantire che le operazioni del settore finanziario dell’UE possano resistere alle perturbazioni operative e agli attacchi informatici.
Indice degli argomenti
Che cos’è il Regolamento DORA?
Nell’era della trasformazione digitale le tecnologie dell’informazione e della comunicazione (TIC) sono diventate essenziali per il funzionamento di molti sistemi, compreso il settore dei servizi finanziari. Questo significa che garantire la resilienza delle TIC e delle relative operazioni è di fondamentale importanza poiché è impossibile fornire servizi finanziari senza ricorrere all’utilizzo di servizi di cloud computing, soluzioni software e servizi connessi ai dati.
In questo scenario si inserisce il Digital Operational Resilience Act, meglio noto come Regolamento DORA, entrato in vigore dal 16 gennaio 2023, che rappresenta una svolta per la cyber security nel settore finanziario e fa parte del cosiddetto pacchetto di finanza digitale dell’UE che include anche una proposta di regolamento sui mercati delle cripto-attività, MiCA, e una sulla tecnologia di registro distribuito, DLT)
Il Digital Operational Resilience Act stabilisce requisiti uniformi per la sicurezza delle reti e dei sistemi informativi delle imprese e delle organizzazioni che operano nel settore finanziario nonché di terze parti critiche che forniscono loro servizi relativi alle TIC, come piattaforme cloud o servizi di analisi dei dati.
L’obiettivo è creare un quadro normativo sulla resilienza operativa digitale in base al quale tutte le imprese devono garantire di poter resistere e reagire a tutti i tipi di perturbazioni e alle minacce connesse alle TIC, nonché di riprendersi da tali perturbazioni e minacce, al fine di rafforzare la sicurezza informatica del settore finanziario.
I requisiti previsti dal regolamento sono omogenei in tutti gli Stati membri dell’UE e i soggetti coinvolti avranno due anni di tempo per adempiere i vari obblighi previsti dal DORA. Ciò significa che il Regolamento DORA troverà applicazione e sarà vincolante a partire dal 17 Gennaio 2025 ed entro questo termine, banche, assicurazioni e operatori di criptovalute dovranno adeguare i loro processi e le loro procedure ai requisiti del DORA.
Vuoi far crescere la tua attività e migliorare i tuoi risultati di business? Scegli i sistemi di pagamento Worldline e trova la soluzione di pagamento migliore per te
Quali sono i sei pilastri principali del Regolamento DORA?
I pilastri su cui si poggia l’impalcatura normativa del DORA e che garantiranno anche la resilienza del sistema bancario sono:
- Governance e organizzazione: le entità finanziarie devono predisporre un quadro di gestione e di controllo interno in grado di garantire una gestione efficace e prudente di tutti i rischi informatici al fine di acquisire un elevato livello di resilienza operativa digitale. L’organo di gestione dell’ente finanziario dovrà definire chiaramente ruoli e le responsabilità per tutte le funzioni connesse alle TIC e predisporre politiche mirate a garantire il mantenimento di standard elevati di disponibilità, autenticità, integrità e riservatezza dei dati. Dovrà inoltre allocare in maniera adeguata le risorse finanziarie per investimenti e formazione in ambito ICT;
- Quadro per la gestione dei rischi informatici: le entità finanziarie devono predisporre un quadro per la gestione dei rischi informatici solido, esaustivo e ben documentato, per affrontare i rischi informatici in maniera rapida, efficiente ed esaustiva, allo scopo di assicurare un elevato livello di resilienza operativa digitale. Il quadro deve comprendere strategie, politiche, strumenti, procedure e protocolli utili a proteggere adeguatamente i patrimoni informativi e le risorse TIC, incluse anche le infrastrutture e le componenti fisiche (ad esempio: i centri di elaborazione dati), da ogni tipo di rischio, compreso l’accesso e l’uso non autorizzati;
- Processo di gestione degli incidenti connessi alle TIC: le entità finanziare devono istituire procedure e processi appropriati per garantire, in maniera coerente e integrata, il monitoraggio e il trattamento degli incidenti connessi alle TIC allo scopo di identificare, documentare e affrontare le cause di fondo e prevenire il verificarsi di tali incidenti. Inoltre, devono dotarsi di personale idoneo a rilevare vulnerabilità, minacce, incidenti e attacchi informatici e in grado di valutare le possibili conseguenze sulla resilienza operativa digitale;
- Test di resilienza: è uno delle novità più importanti introdotte dal Regolamento DORA. Le entità finanziare devono essere sottoposte periodicamente a test, svolti solo da soggetti autorizzati e certificati, per verificare il rispetto dei requisiti previsti dal Digital Operational Resilience Act;
- Gestione dei rischi informatici derivanti da terzi: le entità finanziare devono prevedere un adeguato monitoraggio delle attività svolte dai fornitori di servizi tecnologici per garantire il rispetto delle norme previste dal DORA. In questa fase rientrano l’identificazione, la classificazione e la documentazione di tutti i processi dipendenti da fornitori terzi di servizi legati alle tecnologie ICT;
- Condivisione delle informazioni: la condivisione delle informazioni tra le entità finanziarie contribuisce a creare una maggiore consapevolezza delle minacce informatiche e accresce la capacità di impedire che tali minacce si trasformino in incidenti connessi alle TIC. Inoltre, così facendo è più facile arginare in maniera efficace l’impatto di eventuali incidenti, effettuare un ripristino più rapido e rafforzare la cooperazione tra gli Stati membri.
Cosa fare per adeguarsi al Regolamento DORA?
Le entità finanziarie per conformarsi agli obblighi del Digital Operational Resilience Act devono predisporre un piano di adeguamento che consenta di determinare l’effettivo impatto del DORA sulla propria organizzazione e, secondo gli esperti di Agendadigitale.eu, partire da tre azioni principali:
- Gap analysis dell’ICT risk management framework;
- Revisione dei meccanismi di incident reporting;
- Assessment dei fornitori critici e rinegoziazione dei contratti con gli stessi.
Regolamento DORA e standard PCI-DSS: gli obblighi per gli esercenti
All’interno del Regolamento DORA si inserisce lo standard di sicurezza internazionale PCI-DSS (Payment Card Industry Data Security Standard) rivolto a chiunque processi, trasmetta o conservi i dati relativi ai pagamenti con carta di credito.
Gli esercenti e tutte le organizzazioni, indipendentemente dalle loro dimensioni, sono obbligati al rispetto dello standard Payment Card Industry e devono assicurare i più alti standard di sicurezza per proteggere i dati dei consumatori allo scopo di garantire la conformità alle normative. È quindi essenziale elaborare le transazioni tramite un gateway di pagamento che rispetti i requisiti imposti dallo standard PCI per proteggere i sistemi, contrastare possibili frodi e garantire ai clienti la sicurezza dei dati.
Va inoltre evidenziato che essere conformi al PCI-DSS non è solo un obbligo, ma anche un vantaggio. Un sistema di pagamento efficiente dà ai clienti la certezza che le loro informazioni siano al sicuro, offrendo così una migliore esperienza all’utente che si riflette nelle vendite e aumenta la fedeltà.
