Il Digital Operational Resilience Act (DORA) ha cambiato il modo in cui il mondo finanziario affronta il rischio legato ai fornitori ICT.

Non si tratta più di un semplice adempimento normativo da mettere a calendario, ma di una sfida concreta per costruire una resilienza operativa reale e continua, che abbraccia ogni aspetto dell’ecosistema digitale.

Strategia e governance: il punto di partenza

DORA richiede una strategia chiara per il rischio ICT di terze parti. Questo significa definire con precisione:

• chi può approvare nuovi servizi ICT e delegare l’outsourcing;
• qual è il livello di rischio accettabile verso fornitori e subfornitori;
• in che modo e con quale frequenza il board viene aggiornato su dipendenze rischiose e concentrazione.

Una governance efficace è la base per tenere sempre sotto controllo l’intera filiera.

Registro e rischio di concentrazione: più di un semplice inventario

Non basta sapere chi sono i fornitori, serve capire davvero a cosa servono i loro servizi, quali dati trattano, dove operano e quali rischi comportano.

Il registro previsto da DORA non è solo una lista, ma lo strumento con cui si valuta se l’organizzazione si affida troppo a pochi player globali, una questione seguita con attenzione anche a livello europeo.

Due diligence su funzioni critiche: conoscere prima di agire

Prima di attivare o rinnovare un servizio ICT, DORA impone di valutare se quel servizio supporta funzioni critiche.

Questo approccio richiede:

• questionari e controlli su sicurezza, continuità e conformità;
• valutazioni di impatto sull’operatività aziendale e requisiti normativi;
• una chiara classificazione dei fornitori in base alla loro importanza;

Così il rischio viene affrontato con l’attenzione che merita.

Contratti e subfornitori: regole più stringenti e trasparenti

I contratti non sono più semplici accordi, ma strumenti di gestione del rischio avanzata, con:

• diritti di audit e accesso ai dati;
• notifiche rapide di incidenti;
• requisiti di sicurezza minimi e piani di business continuity testati;
• clausole chiare per gestire l’uscita e l’interruzione rapida del servizio.

In più, la gestione del rischio si estende lungo tutta la catena di subappalto, con controlli “end-to-end”.

Monitoraggio continuo: la resilienza diventa proattiva

DORA non si ferma ai contratti. Richiede monitoraggio attivo, con KPI chiari e test periodici di resilienza, inclusi penetration test focalizzati sulle minacce reali. Questo significa integrare:

• notifiche di incidenti e gestione delle vulnerabilità;
• valutazione continua del rischio in base ai risultati dei test;
• adeguamenti rapidi di priorità, contratti e remediation.

Il TPRM diventa così un sistema vivo, non solo un elenco statico.

Oltre Excel: verso piattaforme TPRM data-driven

Molte aziende ancora usano Excel e mail per gestire i fornitori. Ma con DORA serve di più:

• analisi automatizzate con security rating e risk scoring basati su dati OSINT;
• workflow automatizzati per questionari, remediation e monitoraggio compliance;
• integrazione con l’analisi della software supply chain, essenziale per capire dipendenze e rischi nascosti;
• report regolamentari “one-click” per dimostrare trasparenza e controllo.

Tre priorità per partire subito

Per non trasformare DORA in una checklist sterile, un ente finanziario può iniziare da:

• mappare il perimetro fornitori e funzioni critiche, aggiornando il registro per riflettere rischi reali e concentrazione;
• rivedere contratti e processi interni per allinearli ai requisiti DORA e coordinare procurement, legale, IT e sicurezza;
• industrializzare il monitoraggio continuo, passando a una piattaforma data-driven con integrazioni a vulnerability management e intelligence.

Il valore del TPRM maturo

DORA rende chiaro un concetto già noto: la resilienza operativa oggi non può più fermarsi ai confini dell’azienda, deve estendersi all’intero ecosistema di fornitori ICT.

Un TPRM maturo non è solo un obbligo normativo, ma un vero vantaggio competitivo, capace di guidare l’innovazione e il rischio in equilibrio.