DORA: un nuovo baluardo della cybersicurezza
Il Digital Operational Resilience Act– Regolamento 2022/2554/UE – è stato recentemente introdotto per porre rimedio alla pressante esigenza di assicurare un livello di resilienza operativa digitale adeguato all’introduzione di cyberthreats sempre più sofisticati. Gli Stati membri saranno tenuti ad adeguare la normativa nazionale entro due anni dall’entrata in vigore del regolamento, ufficializzata il 17 gennaio 2023. La speranza delle istituzioni europee è di porre un argine a fenomeni informatici, particolarmente dannosi per le istituzioni finanziarie, di cui è stato registrato un aumento costante, come l’impiego di malware o il phishing per appropriarsi di credenziali o manipolare transazioni.
Ora, a livello normativo in Europa è stata osservata una progressiva sensibilizzazione rispetto al bisogno di un framework legislativo completo e all’avanguardia in materia di cybersicurezza; basti pensare che solo nel 2022 sono state registrate più di 5000 modifiche nella normativa di settore e sono state pubblicate 160 nuove discipline, focalizzate sulla gestione del rischio cyber.
Prima dell’introduzione di DORA, gli istituti finanziari si occupavano della gestione delle fonti primarie di rischio operativo semplicemente destinando capitale alla copertura dell’eventuale perdita causata dal verificarsi dell’evento temuto, tralasciando, tuttavia, di entrare nel merito della resilienza operativa.
Per resilienza operativa si intende la capacità di rilevare, rispondere, prevenire e potenzialmente recuperare nel caso di interruzioni delle operazioni, che impattino sull’ordinario andamento dell’attività aziendale. Con questo concetto si è riconosciuta l’importanza del coinvolgimento dell’intero assetto aziendale nella prevenzione e nella risposta agli incidenti informatici.
Difatti, con il regolamento de quo si prevedono degli adempimenti predeterminati che interessano l’impresa nel suo complesso e consentono di uniformare le tutele per i rischi informatici, così come la risposta nell’eventualità di incidenti. Ebbene, l’Unione Europea ha previsto il coinvolgimento diretto dei vertici aziendali nella gestione del rischio ICT, nell’obbligo di segnalazione e condivisione di dati al fine di garantire una copertura ad ampio spettro che partisse, in primo luogo, da attori interni agli istituti finanziari.
A ben vedere, mentre l’organo di gestione deve occuparsi dell’individuazione dei rischi, della vigilanza e della predisposizione dei principi cardine in materia, agli organi dirigenziali è richiesto di mantenere un ruolo attivo, sia nella prevenzione che nella reazione ad anomalie e cyberthreats.
Per quanto concerne la prevenzione, nell’impresa devono essere definiti chiaramente ruoli e responsabilità per le funzioni ICT; dev’essere garantito il monitoraggio continuo del rischio, con processi predefiniti; si deve prevedere un’allocazione appropriata di risorse ad investimenti ICT, formazione e sensibilizzazione del personale.
Ove si verifichino incidenti, gli istituti finanziari devono essere classificati, elaborando i dati in base ai criteri delle European Supervisory Authorities. Per la classificazione, ci si rifà all’art.18 del regolamento DORA in cui si suggerisce di tenere conto del numero di utenti o controparti finanziarie colpiti dall’incidente informatico, dell’impatto reputazionale provocato, della durata dell’incidente e del periodo di inattività del servizio. Sono altresì rilevanti la centralità dei servizi colpiti, l’impatto economico dell’incidente e l’estensione geografica.
Alla classificazione si accompagna l’obbligo di segnalazione di incidenti gravi all’autorità competente, suddiviso in tre momenti. In primo luogo, la segnalazione iniziale – ai sensi dell’art. 19 del regolamento – deve essere effettuata tempestivamente, entro la fine del giorno lavorativo. Una proroga può essere ipotizzata per l’evento verificatosi alla fine della giornata lavorativa; in tal caso sono previste ulteriori 4 ore computate dall’inizio del giorno lavorativo successivo per effettuare detta segnalazione. Entro una settimana dalla notifica iniziale dev’essere portata a termine la relazione intermedia, seguita, in ultimo, dalla segnalazione finale, qualora siano state completate le analisi diagnostiche e sia trascorso un mese dalla prima segnalazione. Si evidenzia che la segnalazione obbligatoria è affiancata dalla possibilità di effettuare rilievi per gli eventi non rientranti nei criteri dell’art.3 – che fornisce criteri indicativi per individuare un incidente grave -, ma che l’istituzione finanziaria ritenga abbiano rilevanza generale.
Un altro aspetto avanguardista del regolamento de quo consiste nell’obbligo di condurre periodicamente Digital Operational Resilience Tests allo scopo di mettere alla prova la resistenza dei sistemi informatici. Per il dettaglio delle operazioni, il regolamento affida l’elaborazione della normativa specifica agli Stati membri, tenendo conto di necessari distinguo.
Difatti, il provvedimento tiene conto che nell’attuazione della normativa saranno necessarie specificità connesse alle dimensioni, alle peculiarità e all’esposizione al rischio dell’istituzione finanziaria. Le entità finanziarie più complesse avranno obblighi procedurali più strutturati, prevedendo anche dei test avanzati di resilienza digitale-Threat led penetration testing – per assicurare la protezione degli utenti.
Anche per quanto riguarda le forniture ICT si prevedono dei vincoli, dal momento che il regolamento richiede un monitoraggio del rischio comprensivo nella fase preliminare, esecutiva e successiva della relazione contrattuale. Nel contratto si devono inoltre indicare preventivamente i processi per definire e rivedere le misure contrattuali e di sicurezza, basate sui livelli di servizio previsti nell’accordo. D’altronde, si suggerisce l’utilizzo delle clausole standard della Commissione Europea per il cloud computing, dal momento che questi elementi possono essere standardizzati.
Alla luce di quanto si è cercato di illustrare a proposito dei punti salienti della nuova disciplina in materia di cybersicurezza per il settore finanziario, appare evidente la sensibilità del legislatore europeo per le minacce informatiche, ma soprattutto la volontà di rivoluzionare l’approccio alla gestione del cyberthreat, valorizzando la resilienza operativa. Ora, la questione attiene piuttosto alla capacità dell’ordinamento italiano e del settore finanziario di recepire adeguatamente le novità introdotte con DORA, aggiornando e adeguando le disposizioni esistenti al fine di delineare n framework di riferimento, sufficiente al perseguimento degli obiettivi emersi come prioritari e ricordati anche nell’ambito delle recenti riunioni del Euro Cyber Resilience Board, istituito in seno alla BCE.
Bibliografia
Aa. Vv., Regolamento DORA, gestione de rischi ICT, pietra angolare della resilienza operativa digitale, in Cybersecurity 360, 30 gennaio 2023.
M. Castigli, Cybersecurity nelle banche e nel fintech: è decisivo adottare il prima possibile Dora, in Cybersecurity 360, 1 dicembre 2022.
A. Rigoni, P. Tavola, DORA: nuove regole europee per la sicurezza digitale, in ISPI, 2022.
B. Zanetti, Digital Resilience Operation Act (DORA), uno scudo alla finanza digitale, in Riskmanagment 360, 30 dicembre 2020.
Articolo a cura di Ranieri Razzante
È Direttore del Centro di Ricerca sulla Sicurezza ed il Terrorismo - CRST. Presidente dell’Associazione Italiana Responsabili Antiriciclaggio (AIRA). Avvocato e Dottore commercialista. Docente di Tecniche di gestione dei rischi di riciclaggio presso l’Università di Bologna, di Tecniche e regole della cybersecurity presso l’Università di Napoli Suor Orsola Benincasa e insegna presso gli Istituti di Istruzione delle Forze dell’Ordine e Militari. È stato Consulente della Commissione Parlamentare Antimafia e del Prefetto Antiracket e Antiusura. È stato Membro della Commissione del Ministero dell’Economia per la redazione del decreto legislativo in materia di antiriciclaggio (D.Lgs. n. 231/2007). Collabora con varie testate giornalisti- che di settore ed è opinionista televisivo. È autore di numerosi volumi e scritti in materia di Diritto dell’economia, Legislazione antiriciclaggio e finanziamento del terrorismo. È stato Consigliere per la Cybersecurity del Sottosegretario di Stato alla Difesa durante il Governo Draghi.