La crescente regolamentazione nel mondo della finanza vivrà nei prossimi mesi un altro capitolo cruciale. E questa volta non ci riferiamo all’ormai sempre più centrale area normativa legata agli obiettivi ESG né al futuro regolamentare del mondo Crypto e di quello FinTech. Il 2023, anno della compliance finanziaria, vedrà impegnati gli operatori anche in campo informatico. È infatti questa l’area di focus del cosiddetto DORA (Digital Operational Resilience Act), ovvero l’Atto sulla Resilienza Operativa Digitale. Si tratta del Regolamento (UE) 2022/2554 del 14 dicembre 2022, pubblicato in Gazzetta dell'Unione Europea il 27 dicembre 2022 e relativo alla resilienza operativa digitale per il settore finanziario.Il Regolamento DORA è entrato in vigore all’interno dell’Unione Europea già il 17 gennaio 2023, ma gli operatori finanziari avranno tempo fino al 17 gennaio 2025 per adeguarvisi. Un lasso di tempo certamente sufficiente e che può sembrare molto ampio, ma che invece potrebbe rivelarsi insidioso per chi non si munisca dei giusti strumenti per adempiere a tutti gli obblighi introdotti dall’UE.
Prima di entrare nel merito delle novità introdotte dal DORA, è bene identificare quali operatori finanziari dovranno adeguarvisi. E l’elenco è davvero lungo. Si va dagli enti creditizi e gli istituti di pagamento, fino ai prestatori di servizi di informazione sui conti, gli istituti di moneta elettronica, le imprese di investimento, i fornitori di servizi per le criptovalute, i depositari centrali di titoli, le controparti centrali (CCP), le sedi di negoziazione, i repertori di dati sulle negoziazioni, i gestori di fondi di investimento alternativi e le società di gestione. Ma il Regolamento DORA si estende anche ai fornitori di servizi di comunicazione dati e di crowdfunding, le imprese di assicurazione e di riassicurazione, gli intermediari assicurativi, riassicurativi e assicurativi a titolo accessorio, gli enti pensionistici aziendali o professionali, le agenzie di rating del credito, gli amministratori di indici di riferimento critici, i repertori di dati sulle cartolarizzazioni e i fornitori di servizi di tecnologie dell’informazione e della comunicazione (ICT). Insomma, l’intero ecosistema finanziario dell’Unione Europea dovrà fare i conti con il DORA, caricando di lavoro e responsabilità i dipartimenti di compliance di tutte le realtà sopra elencate.
Per chiarire il contesto su cui interviene il DORA, è utile fare riferimento al documento pubblicato dall’European Systemic Risk Board (ESRB) - il Comitato Europeo per il Rischio Sistemico - relativo agli strumenti macroprudenziali per la resilienza informatica nel settore finanziario. Uno dei maggiori rischi per la stabilità finanziaria identificato dall’ESRB è rappresentato dagli incidenti informatici, anche in considerazione della situazione geopolitica attuale, che ha richiesto un ulteriore rafforzamento della resilienza digitale. Una particolare attenzione deve essere prestata, sempre secondo l’ESRB, agli interventi volti a mitigare il rischio che incidenti informatici compromettano l’erogazione di funzioni economiche chiave e si trasformino in eventi sistemici. Questi incidenti possono infatti causare l’interruzione del funzionamento dei sistemi tecnologici o di disponibilità di un servizio critico, ma anche la perdita di riservatezza, integrità o affidabilità dei dati alla base di un servizio critico. Una delle cause principali degli incidenti informatici sono gli attacchi informatici, rispetto ai quali sono stati identificati tre livelli di difesa:
Tornando al Regolamento DORA, si può dire che questo documento mira proprio a rafforzare gli elementi chiave del primo livello di difesa, le cui capacità di resistenza, rilevamento e risposta iniziale vengono valutate con i test di penetrazione delineati nel DORA.
A questo punto, non ci resta che dare uno sguardo - generale e non esaustivo - agli obblighi introdotti dal DORA, seguendo come traccia le macro-aree di applicazione del Regolamento stesso.
Un elenco molto denso, ma comunque non esaustivo, di attività da completare in meno di due anni. Un elenco che evidenzia già chiaramente la mole di interventi da ultimare entro il 17 gennaio 2025. Ma oltre a ciò, il Regolamento DORA presenta varie interconnessioni con altre normative nel campo della Cyber Security, sia a livello europeo (Direttiva NIS 1, Direttiva NIS 2, TIBER EU Framework, EBA Guidelines, MiFID II, GDPR, Basel Committee’s 2021 Principles on Operational Resilience, EIOPA Guidelines) che italiano (Perimetro di Sicurezza Nazionale Cibernetica - PSNC -, la Circolare 285 della Banca d’Italia, il Regolamento IVASS). Alla luce di ciò, appare evidente come la sfida più complessa per gli operatori finanziari sia quella di identificare il delta normativo tra gli obblighi introdotti dal DORA e gli adempimenti già svolti ai sensi delle normative emanate in precedenza, così da cogliere i punti di accordo e quelli di discrepanza. Solo in seguito, potranno procedere con gli adeguamenti richiesti dall’UE attraverso il Regolamento DORA.
È abbastanza chiaro, dunque, che gli sforzi richiesti ai professionisti di compliance finanziaria nei prossimi mesi, rispetto all’adeguamento al Regolamento DORA, saranno molti e cruciali al fine di predisporre un piano di adeguamento che determini l’effettivo impatto del DORA sulla propria organizzazione. Per svolgere in maniera accurata e quanto più rapida possibile queste operazioni, i dipartimenti di compliance finanziaria avranno bisogno di alleati RegTech che rendano il lavoro più veloce e preciso. E in Aptus.AI sappiamo che questo è possibile grazie all'automazione di alcuni precisi step dei processi di compliance. Quelli su cui interviene Daitomic, il nostro SaaS pensato per il mercato RegTech, che, grazie al suo formato machine readable delle norme finanziarie è in grado di estrarre automaticamente i requisiti e gli obblighi normativi, tenendo anche conto dei processi e delle policy interne. Questa analisi automatica tramite l’Intelligenza Artificiale - integrata anche con strumenti di Generative AI - offre analisi di primo impatto rapide e accurate su ogni perimetro normativo, incluso quello della Cyber Security, in cui rientra il Regolamento DORA. In un contesto multi-regolatore e cross-country come quello dell'Unione Europea, Daitomic consente non soltanto di ridurre tempi e costi per il recepimento degli aggiornamenti normativi, ma anche di velocizzare l’adeguamento da parte degli operatori finanziari alle nuove norme.