L’entrata in vigore del Regolamento Dora (Digital operational resilience act) segna una svolta epocale nel modo in cui le organizzazioni finanziarie e i loro fornitori di servizi Ict affrontano la resilienza operativa.

Al centro di questo cambiamento vi è l’obbligo di implementare test di resilienza che non si limitano a mere simulazioni, ma si configurano come veri e propri stress test in grado di mettere alla prova l’infrastruttura tecnologica, i processi decisionali e la capacità di risposta ad eventi critici, inclusi attacchi informatici, interruzioni di servizio e disastri naturali.

La sfida per i fornitori Ict

Con l’entrata in vigore del Regolamento Dora, i fornitori Ict si trovano oggi di fronte a un’esigenza crescente di integrazione tra funzioni tipicamente verticali: information technology, cyber security, risk management, compliance e business continuity devono operare in modo sinergico.

In quest’ottica, conformarsi al Regolamento Dora richiede una revisione delle politiche di governance, con una chiara definizione di ruoli e responsabilità nella gestione dei rischi e nella resilienza operativa.

Questa integrazione deve poggiare su una governance trasparente, in cui i processi siano non solo ben documentati, ma anche facilmente auditabili e replicabili, su richiesta delle autorità competenti o dei clienti regolamentati.

Oltre l’adeguamento tecnico: una nuova mentalità

Affrontare i test di resilienza operativa secondo le richieste del Regolamento Dora implica, per i fornitori Ict, il superamento di ostacoli complessi e interconnessi, che coinvolgono tanto la sfera tecnica quanto quella organizzativa e culturale.

In particolare, le principali criticità a cui devono far fronte riguardano:

• complessità dei test;
• coordinamento tra team;
• investimento in competenze.

Complessità dei test

Progettare ed eseguire test di resilienza efficaci implica la capacità di simulare eventi estremi – sia esogeni (cyber attacchi, blackout infrastrutturali, guasti interregionali) sia endogeni (errori umani, disallineamenti tra sistemi, malfunzionamenti software) – in maniera realistica ma controllata.

Coordinamento tra team

Il successo dei test dipende fortemente dalla collaborazione interdisciplinare. La resilienza operativa è trasversale: coinvolge i team IT, la sicurezza informatica, i referenti della compliance, i responsabili di processo, i team di comunicazione e il top management.

Serve quindi una cabina di regia interfunzionale che guidi l’esecuzione dei test e raccolga le evidenze utili per il reporting interno ed esterno. La mancanza di coordinamento può compromettere l’efficacia dei test, riducendoli a meri esercizi formali.

Per evitarlo, vanno implementati workflow condivisi, strumenti collaborativi e metriche comuni.

Investimento in competenze

Sono necessarie figure professionali che combinino competenze ibride ovvero professionisti capaci di interpretare gli standard normativi (come quelli imposti da Dora, Eba e Enisa) e tradurli in requisiti tecnici concreti.

Regolamento Dora, benefici attesi dei test di resilienza

Sebbene l’impegno richiesto sia significativo, una corretta ed efficace gestione dei test di resilienza permette un ritorno concreto, che va ben oltre la semplice compliance normativa.

Tra questi troviamo:

• rafforzamento della fiducia del mercato: per i fornitori Ict, in particolare quelli che supportano funzioni critiche delle banche, assicurazioni o società di pagamento, la capacità di dimostrare resilienza rafforza la fiducia degli stakeholder. Clienti regolamentati, investitori e persino le autorità vedono nella resilienza operativa un indicatore chiave di affidabilità;
• vantaggio competitivo: chi è in grado di reagire in modo tempestivo e coordinato a un evento critico – riducendo i downtime, mantenendo l’integrità dei dati e comunicando efficacemente – può differenziarsi rispetto alla concorrenza. In un mercato in cui la continuità del servizio è spesso sinonimo di valore, la resilienza diventa un vantaggio commerciale;
• evoluzione culturale: l’introduzione sistematica di test di resilienza favorisce una maturazione della cultura del rischio. La gestione del rischio viene sempre più percepita non come un freno all’innovazione, ma come una leva di qualità e competitività. Si afferma quindi un mindset proattivo, in cui i processi sono progettati per essere robusti e flessibili, pronti ad adattarsi con rapidità a scenari in continua evoluzione.

Il Regolamento Dora segna, quindi, un punto di svolta. Per i fornitori Ict, la resilienza operativa non è più un’opzione, ma una leva strategica imprescindibile per assicurare continuità, fiducia e competitività nel tempo.