Negli ultimi anni, il sistema bancario europeo si è trovato al centro di una trasformazione profonda che intreccia due dimensioni normative: da un lato la protezione dei dati personali, sancita dal Regolamento (UE) 2016/679 (GDPR), dall’altro la resilienza digitale, regolata dal Regolamento (UE) 2022/2554 (DORA).

Si tratta di due pilastri regolatori distinti, ma strettamente connessi. Il Regolamento generale sulla protezione dei dati dell’Unione Europea, in vigore nel 2018, è volto a garantire la tutela dei diritti fondamentali dei cittadini.

Il regolamento dell’Unione Europea, che punta a rafforzare la resilienza operativa digitale del settore finanziario, è volto a preservare la stabilità del sistema finanziario europeo in un contesto di crescenti minacce cyber.

La sfida per le banche consiste nell’evitare approcci frammentati e ridondanti, costruendo invece un modello unico di governance in grado di integrare i requisiti di entrambi i regolamenti, in linea con gli standard internazionali di sicurezza e risk management.

Il principio dell’accountability come fondamento comune

Il concetto di accountability rappresenta l’elemento unificante tra GDPR e DORA.
Il General Data Protection Regulation (GDPR), all’articolo 5, comma 2, impone al titolare del trattamento di essere non solo conforme ai principi di protezione dei dati, ma anche di poter dimostrare tale conformità.

Analogamente, il DORA stabilisce all’articolo 5 che gli enti finanziari devono mantenere solide strutture di governance Ict in grado di garantire la resilienza operativa e di dimostrare la gestione responsabile dei rischi.

In entrambi i casi, non è sufficiente dichiarare di essere compliant: occorre documentare processi, responsabilità e controlli, secondo un approccio che richiama i principi delle linee guida dell’OCSE sulla corporate governance e degli standard Cobit 2019, centrati sulla trasparenza e sulla tracciabilità delle decisioni.

Ruoli e responsabilità: un ecosistema coordinato

Il Gdpr prevede ruoli specifici come il Data Protection Officer (art. 37), garante indipendente della protezione dei dati personali. Il DORA, invece, individua figure come il Chief Information Security Officer (CISO, art. 17) e impone un coinvolgimento diretto del Consiglio di amministrazione nella strategia Ict.

Per le banche, ciò significa che il modello di governance non può essere costruito a compartimenti stagni: DPO, CISO, CRO e Internal Audit devono cooperare in una cabina di regia comune (un “Digital & Data Governance Office”), in grado di bilanciare la tutela della privacy con la resilienza tecnologica.

Un tale assetto è coerente con gli standard ISO/IEC 27001:2022 per la sicurezza delle informazioni e con la sua estensione ISO/IEC 27701:2019, che integra la gestione della privacy.

Questi standard promuovono infatti un approccio sistemico e coordinato, fondato su ruoli chiari e su un ciclo continuo di pianificazione, implementazione, monitoraggio e miglioramento.

Processi integrati: dal risk assessment all’incident management

Un ulteriore elemento di convergenza riguarda i processi. Il Gdpr introduce la Valutazione d’impatto sulla protezione dei dati (DPIA, art. 35), mentre il DORA richiede una valutazione periodica dei rischi Ict (art. 6), includendo vulnerabilità, dipendenze da fornitori e scenari di cyber attacco.

Integrare questi strumenti in un unico risk assessment combinato permette alla banca di evitare duplicazioni e di considerare simultaneamente rischi per i diritti individuali e rischi per la continuità operativa.

Anche la gestione degli incidenti trova un terreno comune: il GDPR (artt. 33-34) impone notifiche tempestive al Garante e agli interessati in caso di violazioni dei dati, mentre il DORA stabilisce un regime di segnalazione alle Autorità competenti in caso di incidenti ICT rilevanti (art. 19).

Un playbook unificato di incident management – ispirato alle pratiche ITIL e al NIST Cybersecurity Framework (CSF) – consente di gestire in modo sinergico data breach e attacchi informatici, con procedure standardizzate di escalation, comunicazione e remediation.

Il controllo sulle terze parti come area critica

Sia il Regolamento generale sulla protezione dei dati che il regolamento Ue per la resilienza operativa digitale del settore finanziario dedicano particolare attenzione al tema dei fornitori.

Il Gdpr, agli articoli 28-32, disciplina l’uso dei responsabili del trattamento, imponendo clausole contrattuali specifiche e verifiche sul rispetto delle misure di sicurezza.

Il DORA, nel suo Titolo V, stabilisce invece un quadro rigoroso di outsourcing e Third Party Risk Management (TPRM) per i fornitori ICT critici, imponendo obblighi di due diligence, monitoraggio continuo e piani di uscita in caso di disservizi.

In questo contesto, un modello unico di governance bancaria deve includere una vendor & Third Party Risk Management Policy che unisca i due regimi, garantendo allo stesso tempo la conformità ai requisiti europei e la coerenza con standard internazionali come ISO/IEC 27036 (sicurezza nella supply chain ICT) e le liee guida EBA sugli accordi di outsourcing.

Standard internazionali come cornice abilitante

Gli standard internazionali offrono la possibilità di dimostrare alle autorità e agli stakeholder un livello di maturità superiore alla mera compliance normativa:

• ISO/IEC 27001 e 27701 garantiscono un approccio sistemico alla sicurezza e alla privacy.
• ISO/IEC 22301:2019 supporta i requisiti del DORA in tema di continuità operativa.
• COBIT 2019 rafforza l’allineamento strategico tra obiettivi aziendali, IT governance e gestione dei rischi.
• NIST CSF aiuta a strutturare le capacità di identificazione, protezione, rilevamento, risposta e recupero in caso di incidenti.

L’adozione di tali standard consente alla banca di presentarsi non solo come compliant, ma come resiliente e affidabile, in un contesto internazionale in cui la fiducia è un asset competitivo.

Roadmap per l’implementazione

Il percorso verso un modello unico può essere articolato in quattro fasi:

• assessment iniziale: mappatura dei processi e gap analysis tra requisiti GDPR, DORA e standard ISO/NIST;
• design del framework: creazione di un Digital Governance Framework che unisca policy, ruoli e comitati di coordinamento;
• implementazione operativa: unificazione dei registri (trattamenti e incidenti), introduzione di strumenti GRC, formazione continua del personale;
• monitoraggio e miglioramento: audit periodici, penetration test, simulazioni di incidenti e revisione annuale delle policy.

Tale approccio è coerente con il ciclo Plan-Do-Check-Act promosso dalle norme ISO e con la logica del miglioramento continuo.

Benefici strategici di un modello unico

Integrare GDPR e DORA in un modello unico di governance bancaria produce molteplici benefici:

• efficienza: riduzione di duplicazioni burocratiche e dei costi di compliance;
• resilienza: capacità di affrontare in modo unitario rischi ICT e rischi per la privacy;
• sostenibilità normativa: riduzione del rischio di sanzioni (art. 83 GDPR; art. 50 DORA);
• reputazione e fiducia: maggiore credibilità verso clienti, mercato e autorità;
• allineamento globale: interoperabilità con le best practice internazionali;
• fondamentale per gruppi bancari attivi in più giurisdizioni.

Prospettive dei modelli di governance integrati

Il futuro della compliance bancaria non risiede in silos normativi, ma in modelli di governance integrati capaci di unire tutela dei dati e resilienza digitale.

GDPR e DORA, lungi dall’essere visioni concorrenti, rappresentano due facce della stessa medaglia: la protezione del cittadino e la stabilità del sistema finanziario.

Attraverso un modello unico, sostenuto dagli standard internazionali più avanzati, le banche possono trasformare un obbligo regolatorio in un’opportunità strategica, rafforzando il proprio ruolo di custodi della fiducia e della sicurezza digitale dei cittadini europei.

Bibliografia

• Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (General Data Protection Regulation – GDPR).
• Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022, sulla resilienza operativa digitale per il settore finanziario (Digital Operational Resilience Act – DORA).
• Direttiva (UE) 2022/2555 (NIS2), relativa a misure per un livello comune elevato di cybersicurezza nell’Unione.
• Linee guida EBA (European Banking Authority) in materia di ICT and security risk management (EBA/GL/2019/04).
• Linee guida EBA sugli outsourcing arrangements (EBA/GL/2019/02).
• Linee guida EDPB (European Data Protection Board) su Data Breach Notification, DPIA e Data Protection Officer.
• ISO/IEC 27001:2022 – Information Security Management Systems (ISMS).
• ISO/IEC 27701:2019 – Privacy Information Management Systems (PIMS).
• ISO/IEC 22301:2019 – Business Continuity Management Systems (BCMS).
• ISO/IEC 27036-1:2021 – Information security for supplier relationships.
• NIST Cybersecurity Framework (CSF), Version 2.0 (2024).
• NIST Special Publication 800-53 Rev. 5 – Security and Privacy Controls for Information Systems and Organizations.
• COBIT 2019 – Framework for Governance and Management of Enterprise IT (ISACA).
• ITIL 4 – Managing Professional Practices for IT Service Management.
• Rai, I.A.S., Yani, Y.M., Heryadi, R.D., Kamaluddin, A. (2024). The Interplay Between Cybersecurity in Europe and the Development of the General Data Protection Regulation: A Study of Lateral Pressure. International. Journal of Empirical Research Methods, 2(2), 96-108
• Porras, J., & Alcaraz, C. (2023). Digital Operational Resilience in the EU Financial Sector: An Analytical Perspective on DORA. European Journal of Risk Regulation, 14(2).
• EBA & ESMA Joint Report (2022). On ICT Third-Party Risk and Outsourcing in Financial Services.
• OECD Principles of Corporate Governance (2015, aggiornati 2023).
• ENISA (European Union Agency for Cybersecurity) – Guidelines on Security and Privacy in the EU Financial Sector (2022).
• Banca Centrale Europea (BCE) – Cyber resilience oversight expectations for financial market infrastructures (2018).
• European Systemic Risk Board (ESRB) – Systemic cyber risk (2020).