Digital Operational Resilience Act (DORA): cosa deve fare il settore Financial Services?

Digital Operational Resilience Act (DORA): cosa deve fare il settore Financial Services?

E’ ormai prossima l’approvazione del regolamento DORA, pertanto sarà necessario per il settore Financial Services essere pronto ad adeguarsi ai numerosi cambiamenti che ne derivano in termini organizzativi, di processo e di comunicazione. 

Evoluzione della Finanza Digitale

La finanza digitale, spesso chiamata anche “Tecno-Finanza” è una componente significativa del panorama economico europeo in quanto i consumatori e le imprese utilizzano in maniera sempre più frequente i servizi finanziari digitali, in particolare anche a seguito della pandemia di COVID-19.

Consapevole di quest’ evoluzione, la Commissione Europea ha adottato un nuovo pacchetto per la finanza digitale al fine di ampliare la scelta dei servizi finanziari, offrire nuove soluzioni di pagamento, garantire la tutela dei consumatori e rafforzare la sicurezza e la resilienza del sistema finanziario

Il pacchetto UE sulla finanza digitale comprende:

  • una strategia per la finanza digitale;
  • una strategia per i pagamenti al dettaglio;
  • delle proposte legislative sulle cripto-attività e sulla resilienza operativa digitale: Regolamento sui mercati delle cripto-attività (MiCA – Markets in Crypto-Assets) e il Regolamento sulla resilienza operativa (DORA – Digital Operational Resilience Act). 

Obiettivi del Digital Operational Resilience Act (DORA)

Il Regolamento DORA, la quale emanazione e successiva approvazione è prevista per il terzo trimestre del 2022, sarà applicabile a circa 22.000 entità in ambito Financial Services come gli enti creditizi, gli istituti di pagamento, i fornitori di servizi di criptovaluta, gli istituti di moneta elettronica, le imprese di assicurazione e di riassicurazione e si pone l’obiettivo di creare un quadro normativo sulla resilienza operativa digitale grazie al quale tutte le imprese possano garantire di far fronte alla gestione del rischio ICT impegnandosi nella prevenzione / mitigazione delle minacce informatiche.

Il regolamento DORA si innesca in un contesto di mercato in evoluzione e sempre più esposto ai rischi affermandosi come una priorità per il mercato Financial Services osservando anche i dati dell’ultimo rapporto Clusit [link: https://clusit.it/rapporto-clusit/]

Evoluzione attacchi Cyber: come cambia lo scenario di mercato 

Come riportato nel rapporto, nel 2021 gli attacchi informatici nel mondo sono aumentati del 10% rispetto a quelli registrati l’anno precedente, e sono sempre più gravi come livello di impatto che tiene in considerazione aspetti di immagine, economici, sociali e le ripercussioni dal punto di vista geopolitico. 

In particolare, il 32% degli attacchi rilevati è stato caratterizzato da una severity “critica” mentre il 47% da una severity “alta”. 

In Italia, come settori più colpiti dagli attacchi Cyber si confermano il Finance/Insurance e la Pubblica Amministrazione, per il 50% dei casi. 

Inoltre, dal punto di vista geografico, emerge che sono aumentati gli attacchi verso l’Europa pari al 21% rispetto al 16% dell’anno precedente.

Alla luce della guerra che si sta svolgendo in questi mesi e ai cambiamenti degli assetti geopolitici mondiali 

possiamo affermare che i dati del prossimo Rapporto Clusit porranno sempre più al centro il fenomeno del cybercrime in senso stretto, gli attacchi gravi ad alto impatto e i conseguenti danni.

Principali Pillars del Digital Operational Resilience Act (DORA)

Rispetto al contesto regolamentare e di mercato analizzato, le entità in perimetro dovranno considerare diversi pillars al fine di essere in linea con il Regolamento DORA: 

  • Ruoli e governance aziendale: viene richiesto un potenziamento delle responsabilità per le funzioni interne ICT. In particolare, all’organo di gestione è affidato un ruolo centrale nella gestione dei rischi relativi alle TIC (Tecnologie per l’informazione e la comunicazione) e un impegno costante nel controllo del monitoraggio della gestione dei rischi relativi alle TIC nonché l’intera gamma di processi di approvazione e controllo e l’adeguata allocazione di investimenti e formazione relativi alle TIC;
  • Gestione dei rischi ICT e Cyber: viene richiesto di definire un processo di gestione dei rischi connessi alle TIC e di mantenere sistemi e strumenti ICT resilienti, al fine di identificare i rischi preventivamente e ridurre al minimo l’impatto degli incidenti garantendo la sicurezza e la resilienza delle entità finanziarie;
  • Reporting degli incidenti ICT e Cyber: viene richiesto di strutturare un processo di gestione, monitoraggio e registrazione degli incidenti considerando i criteri di classificazione degli stessi sulla base di soglie di rilevanza definite dalle Autorità e rispettare gli obblighi di segnalazione alle Autorità competenti degli incidenti TIC in relazione alla gravità rilevata;
  • Digital Resilience testing: viene introdotto l’obbligo di test periodico delle minacce, solo per quelle di dimensioni rilevanti, basati su TLPT (Threat Led Penetration Testing), stabilendo anche i requisiti per i tester e il riconoscimento dei risultati in tutta l’Unione. Anche le entità più piccole sono chiamate ad eseguire verifiche sull’idoneità degli strumenti e dei sistemi ICT;
  • Outsourcing: viene richiesta la predisposizione dei nuovi contratti di outsourcing e di fornitura nonché la revisione di quelli esistenti includendo anche i seguenti elementi: una descrizione completa dei servizi in ambito, l’indicazione dei centri di elaborazione dei dati, descrizioni complete degli SLA garantiti. Inoltre, viene richiesto di adottare una strategia per il monitoraggio e la gestione dei rischi derivanti da fornitori terzi di servizi mantenendo un registro aggiornato con tutte le informazioni utili relative agli accordi stipulati con i fornitori;
  • Information Sharing: al fine di aumentare la consapevolezza del rischio ICT, minimizzare la diffusione, supportare le capacità di risposta e le tecniche di prevenzione delle minacce e contrastare la minaccia in rapidissima espansione del cybercrime nel settore Finance, si esortano le entità finanziarie (come in parte già affrontato in altri articoli) alla creazione di un sistema strutturato di comunicazione e condivisione delle informazioni in tempo reale sui dati relativi agli attacchi e ai conti sospetti che vengono utilizzati per perpetrarli (ad esempio i mule account), basato su standard legislativi e tecnologici. Un sistema di infosharing nazionale, sia a livello di settore finance sia nell’ambito di una più stretta collaborazione tra settore pubblico e privato.

In sintesi, le entità in perimetro al regolamento DORA dovranno attivarsi preventivamente al fine di migliorare e semplificare le attività nella gestione dei rischi ICT e Cyber, stabilire un processo di monitoraggio e reporting degli incidenti TIC e condividere le informazioni sulle minacce informatiche secondo gli accordi definiti dalle Autorità competenti. 

Si rimanda ai successivi articoli per ulteriori approfondimenti sul miglioramento / potenziamento della gestione dei rischi ICT e Cyber.

Iscriviti alla nostra newsletter!