La digitalizzazione del settore finanziario ha portato benefici significativi ma ha anche esposto le aziende a crescenti rischi tecnologici, inclusi attacchi informatici, interruzioni dei sistemi e guasti delle tecnologie dell’informazione e della comunicazione (ICT) dei fornitori terzi. Per garantire che le istituzioni finanziarie rimangano resilienti di fronte a queste minacce, il Digital Operational Resilience Act (DORA) dell’Unione Europea stabilisce requisiti dettagliati per proteggere i processi aziendali chiave delle istituzioni finanziarie basate nell’UE. Sebbene DORA si sovrapponga parzialmente ad altre normative (come BAIT e VAIT in Germania), è la prima regolamentazione di questo tipo a concentrarsi sulla resilienza digitale nell’ecosistema finanziario europeo.
Con l’avvicinarsi dell’entrata in vigore di DORA, il 17 gennaio 2025, McKinsey ha condotto un’indagine con le principali istituzioni finanziarie europee e fornitori chiave ICT per comprendere i loro progressi nel raggiungere la conformità a DORA. I risultati sono misti: la maggior parte delle istituzioni ha iniziato il percorso, ma molte dovranno fare di più per rispettare i propri obblighi nei tempi previsti.
Stato dell’implementazione di DORA
Le istituzioni finanziarie europee e i provider ICT hanno ancora tempo per allineare la propria capacità di resilienza ai requisiti di DORA, ma il tempo stringe. La survey di McKinsey rileva che il 94% delle istituzioni finanziarie è pienamente impegnato a comprendere i requisiti dettagliati della legislazione; la maggior parte lo fa attraverso un programma dedicato a DORA, con DORA come punto all’ordine del giorno del consiglio di amministrazione.
Alcune sfide specifiche includono:
- Limitata chiarezza dell’ambito di applicazione di elementi chiave: Definizioni delle funzioni critiche o importanti (CIF) e dei fornitori di servizi ICT critici.
- Preoccupazione per i tempi di attuazione, considerando che il secondo di due lotti degli standard tecnici di regolamentazione (RTS) delle autorità di vigilanza europee sarà finalizzato solo a luglio 2024, e che alcuni requisiti regolamentari richiedono tempi di attuazione significativi.
Sfide e costi di implementazione
L’incertezza sull’ambito di applicazione ha portato a un aumento dei budget assegnati. Tipicamente, un’istituzione potrebbe aver destinato tra 5 e 15 milioni di euro per la strategia, la pianificazione, il design e l’attuazione del programma DORA, ma le stime iniziali per i costi di implementazione completa sono cinque-dieci volte superiori.
Per quanto riguarda le risorse allocate all’implementazione di DORA, circa il 40% delle istituzioni finanziarie e dei provider ICT dedica più di sette equivalenti a tempo pieno (FTE), mentre meno del 20% non ha ancora assegnato FTE dedicati. La gestione del programma è un aspetto cruciale nel processo di implementazione, ma secondo la ricerca di McKinsey il settore non ha raggiunto un approccio standardizzato.
Principi strategici per la conformità a DORA
Le migliori pratiche non si concentrano solo sulla conformità alla normativa, ma riflettono anche obiettivi aziendali più ampi. Alcune istituzioni leader ancorano i propri sforzi a quattro principi strategici:
- Considerare la regolamentazione come un’opportunità di resilienza: Vedere il programma DORA come un’opportunità trasformativa per riorganizzare e migliorare i processi, gli strumenti e le tecnologie.
- Fare della resilienza una questione aziendale: La leadership è un abilitatore chiave. La trasformazione deve essere guidata dall’alto con una chiara strategia e supporto programmatico.
- Definire chiaramente lo scopo e il termine dei lavori: È importante implementare i requisiti basandosi sui rischi da affrontare e stabilire con precisione quando i requisiti di DORA sono stati soddisfatti e il rischio è stato mitigato. Questo aiuta a evitare progetti infiniti e costi in crescita.
- Collaborare collettivamente per garantire la resilienza sistemica: La condivisione delle informazioni può semplificare il processo di implementazione e costruire network basati sulla fiducia, migliorando la resilienza complessiva del sistema finanziario.