DORA: il primo report europeo sugli incidenti ICT rilevanti conferma la centralità della resilienza operativa digitale
Le Autorità europee di vigilanza hanno pubblicato il primo report annuale sugli incidenti ICT rilevanti nel settore finanziario, predisposto nell’ambito del quadro regolatorio introdotto dal Digital Operational Resilience Act.
Il documento, elaborato congiuntamente da EBA, EIOPA ed ESMA, fornisce una prima fotografia aggregata e anonimizzata degli incidenti ICT rilevanti occorsi nel 2025 e segnalati dalle entità finanziarie alle autorità competenti.
Il dato più significativo riguarda il numero complessivo degli eventi rilevati: nel 2025 sono stati segnalati 3.383 incidenti ICT rilevanti nell’Unione Europea, pari a una media di 0,18 incidenti per entità finanziaria soggetta a DORA.
Secondo il report, la maggior parte degli incidenti ha interessato il settore del credito e quello dei pagamenti. Tale concentrazione, precisano le Autorità, non deve essere letta automaticamente come indice di debolezza strutturale di tali comparti, ma anche come conseguenza della loro elevata digitalizzazione, della maggiore esposizione verso la clientela e dell’esistenza di obblighi di reporting già presenti prima dell’applicazione di DORA.
Il report conferma un passaggio ormai decisivo per gli operatori finanziari: il rischio ICT non può più essere considerato soltanto un tema tecnico o informatico, ma rappresenta una componente essenziale della governance aziendale, della compliance regolamentare, del sistema dei controlli interni e della continuità operativa.
Uno degli elementi più rilevanti emersi dall’analisi riguarda la dimensione transfrontaliera del rischio digitale. Circa un terzo degli incidenti segnalati ha avuto un impatto oltre i confini nazionali, evidenziando la crescente interconnessione tra soggetti finanziari, infrastrutture condivise, servizi ICT comuni e modelli operativi cross-border.
Questo dato mostra come la resilienza digitale non possa essere affrontata in modo isolato dalla singola organizzazione. La dipendenza da piattaforme, fornitori tecnologici, infrastrutture comuni e servizi esternalizzati rende necessaria una gestione coordinata del rischio, fondata su presidi contrattuali, controlli continuativi, procedure di escalation e capacità di risposta tempestiva.
Il report evidenzia inoltre che i principali driver degli incidenti sono stati i malfunzionamenti di sistema e gli eventi esterni. I system failures hanno rappresentato il 51% degli incidenti rilevanti, mentre gli eventi esterni il 27%. Gli incidenti collegati alla cybersecurity hanno rappresentato il 10% del totale, dato che le Autorità invitano comunque a leggere con prudenza.
Il numero relativamente contenuto degli incidenti qualificati come cybersecurity-related non riduce infatti la centralità della sicurezza informatica. Al contrario, le Autorità sottolineano la necessità di mantenere standard elevati di cybersecurity, anche alla luce dell’evoluzione delle minacce e del possibile utilizzo di strumenti sempre più avanzati, compresi sistemi basati su intelligenza artificiale.
Particolare attenzione viene dedicata anche al ruolo dei fornitori terzi ICT. Quasi un terzo degli incidenti rilevanti è risultato originato da failure riconducibili a terze parti, incluse società fornitrici di servizi ICT, altre entità finanziarie e provider infrastrutturali. Si tratta di un dato particolarmente importante per banche, assicurazioni, intermediari e operatori vigilati, perché conferma la necessità di rafforzare i framework di third-party risk management.
In questa prospettiva, DORA impone un salto di qualità nella gestione dei rapporti con i fornitori tecnologici. Non è più sufficiente verificare la conformità formale dei contratti o la presenza di clausole standard. Diventa necessario assicurare una reale capacità di presidio lungo tutto il ciclo di vita del rapporto: selezione del provider, valutazione del rischio, monitoraggio dei livelli di servizio, gestione degli incidenti, exit strategy, auditability e coordinamento con le funzioni interne.
Il report richiama anche l’importanza della qualità del reporting. DORA prevede obblighi specifici di classificazione, notifica e trasmissione degli incidenti ICT rilevanti alle autorità competenti. La capacità di individuare rapidamente un evento, qualificarlo correttamente e comunicarlo nei tempi previsti diventa quindi parte integrante del sistema di controllo.
Da questo punto di vista, la gestione dell’incidente non inizia nel momento in cui il problema si manifesta. Richiede, a monte, processi definiti, ruoli chiari, responsabilità assegnate, procedure testate e flussi informativi coerenti tra IT, compliance, risk management, internal audit, legal e vertici aziendali.
Il primo report europeo sugli incidenti ICT rilevanti conferma quindi la funzione sistemica di DORA. La resilienza operativa digitale non coincide con un mero adeguamento documentale, ma richiede un modello organizzativo capace di prevenire, assorbire e gestire eventi critici, riducendo gli impatti su clienti, operazioni, controparti e continuità dei servizi.
Per gli operatori finanziari, il tema è destinato a rimanere centrale nei prossimi mesi. L’attività di vigilanza, l’evoluzione delle minacce cyber, la crescente dipendenza da fornitori tecnologici e l’utilizzo di soluzioni digitali avanzate renderanno sempre più rilevante l’integrazione tra sicurezza informatica, governance, compliance e controlli interni.
In questo scenario, DORA rappresenta non solo un obbligo regolamentare, ma anche una leva organizzativa per rafforzare la capacità degli intermediari di operare in un contesto digitale complesso, interconnesso e ad alta esposizione al rischio.
