Menu
Premium
Tecnologia e cultura digitale - Technology and digital culture
19, May 2025

Governance della resilienza digitale e Regolamento DORA

La resilienza digitale di una banca, di un intermediario finanziario o di una compagnia di assicurazioni deriva più dal disegno di una governance evoluta piuttosto che non dall’adozione di norme e di specifici presidi tecnici.

Quanto più l'intermediario: i) offre prodotti e servizi digitali; ii) ricorre a fornitori terzi; iii) non dispone di risorse umane IT adeguate, tanto più è chiamato ad implementare in modo raffinato il Regolamento DORA, a maggior ragione se si considera un orizzonte temporale di medio periodo - tra cinque anni quasi tutto sarà digitale e/o tokenizzato - e l'approccio che si presceglie nell'implementazione del Regolamento - solo compliance oppure base per lo sviluppo prospettico delle attività digitali dell'intermediario -.

Dal punto di vista organizzativo, gli intermediari meno attratti dalla performance economica tenderanno a disegnare l'organizzazione in funzione delle varie aree di intervento (e.g. responsabili delle terze parti, dei test, della gestione delle minacce e delle criticità, dell'ICT asset management, ecc.), la strada più semplice che consigliano molti consulenti. 

Gli intermediari più attenti allo sviluppo della performance saranno invece così bravi da saper creare un’unica figura capace di organizzare la creazione di valore in seno all'ampia costellazione di attività connesse alla digitalizzazione (e quindi all'implementazione del Regolamento DORA, e non solo). Questa figura organizzativa sarà probabilmente posta in staff all'AD, il quale ogni giorno dedicherà tempo per comprendere se e come il “palcoscenico del teatro” reggerà allo spettacolo previsto per la giornata e per l'intera stagione teatrale. Il Regolamento Dora pone il focus dell’AD non sullo sviluppo del business, ma sulla sua stessa esistenza.

Lo sviluppo di applicazioni fondate sulla Gen IA rafforzerà ulteriormente la necessità che la governance dell’intermediario bancario, finanziario o assicurativo venga rafforzata al punto da assicurare una gestione olistica dei processi di digitalizzazione e di resilienza digitale.

Il governo della resilienza operativa digitale supera le pur fondamentali attività di controllo svolte da Compliance, Risk Management e Audit – attività che debbono essere ispessite a seguito dell’implementazione del Regolamento DORA e che, ovviamente, devono essere ampiamente utilizzate dall’Organo con Funzione di Gestione – e questo per la velocità di intervento e per l’ampiezza dello scopo che vengono richiesti alla governance della resilienza digitale.

La resilienza digitale è cultura digitale applicata alla governance di una banca o di un intermediario finanziario e differisce rispetto a quella di imprese operanti in altri settori perché i prodotti ed i servizi bancari, finanziari ed assicurativi sono essenzialmente tutti immateriali (e, quindi, potenzialmente tutti digitali).

Inoltre, la governance della resilienza digitale tocca molti altri temi che non vengono direttamente contemplati dal Regolamento DORA (quali, ad esempio, lo sviluppo della produttività connessa alla digitalizzazione, i livelli di «libertà digitale» offerti alla clientela, l’educazione della clientela, la protezione della segretezza delle comunicazioni interne, l’approccio alla tokenizzazione delle attività, ecc.).

Come già osservato, l’adozione estensiva della Gen AI potrà rafforzare ulteriormente l’importanza ed il ruolo della governance in quanto capace di superare i metodi tradizionali di miglioramento della gestione della sicurezza informatica mediante:

  1. l’automazione delle attività di routine;
  2. la riduzione dei costi associati alle attività che richiedono molto tempo e che sono tradizionalmente svolte dagli esseri umani;
  • il miglioramento del rilevamento delle minacce;
  1. la riduzione dei tempi di risposta agli attacchi informatici;
  2. un più agile apprendimento di nuove tendenze, anomalie o correlazioni che potrebbero non essere evidenti agli analisti umani.

Quale soluzione adottare?

Sviluppare regole di governance che consentano all’AD ed al Consiglio di Amministrazione di:

  • supervisionare la strategia di digitalizzazione della banca o dell’intermediario finanziario;
  • catalizzare il soddisfacimento di tutti gli obblighi che il Regolamento DORA pone a carico dell’Organo con Funzione di Gestione;
  • supervisionare la gestione – proattiva, e non passiva – delle relazioni con tutti i fornitori terzi di servizi TIC;
  • supervisionare e valorizzare i test di resilienza operativa e le pratiche di cyber hygiene;
  • ampliare ogni interlocuzione utile con la Vigilanza sui temi di digitalizzazione e resilienza operativa digitale;
  • supervisionare la costellazione di relazioni con attori pubblici, e con gli altri intermediari, concernenti tematiche di resilienza digitale;
  • tradurre in strategie aziendali l’evoluzione continua del contesto normativo;
  • assicurare la migliore implementazione della Gen AI.

Questo approccio consentirà di mettere in evidenza tutto l’eccellente lavoro che i CIO, i CISO, gli addetti ICT della banca e i loro partner esterni hanno già svolto nel corso del tempo e di valorizzare gli impegni futuri che l’Organo di Gestione deve assumersi nei confronti degli Organi di Vigilanza e degli Azionisti.