Il Digital Operational Resilience Act (DORA): Un Cambiamento Cruciale per il Settore Assicurativo
Il Digital Operational Resilience Act (DORA) segna un cambiamento significativo per il settore assicurativo e finanziario. Introdotto con il Regolamento (UE) 2022/2554 e recepito in Italia con il Decreto Legislativo 10 marzo 2025, n. 23, DORA impone nuove sfide e requisiti per garantire una resilienza operativa digitale adeguata, in particolare per le imprese di assicurazione e riassicurazione.
Obiettivi Principali di DORA
L’obiettivo centrale di DORA è assicurare che tutte le entità finanziarie, comprese le compagnie di assicurazione, siano in grado di gestire i rischi ICT derivanti dalle terze parti. In questo modo, DORA stabilisce l’importanza di avere solidi dispositivi di governance ICT e strategie specifiche di risk management per mantenere la continuità operativa e ridurre i rischi derivanti da esternalizzazioni.
La Crucialità del Registro delle Informazioni
Un elemento fondamentale introdotto dalla normativa è l’implementazione e l’aggiornamento continuo del Registro delle Informazioni. Questo registro deve contenere dettagliati dati sugli accordi contrattuali con i fornitori ICT e sulle esternalizzazioni che impattano sulle funzioni essenziali dell’istituzione.
Il Ruolo del Registro
Il Registro rappresenta uno strumento indispensabile per monitorare e gestire i rischi legati all’esternalizzazione dei servizi ICT. Grazie a questo strumento, le compagnie assicurative e altri operatori possono monitorare l’affidabilità dei propri fornitori e garantire la compliance con le normative in vigore. L’aggiornamento regolare di queste informazioni è essenziale per evitare rischi di non conformità.
Tempistiche e Modalità di Segnalazione
L’Ivass ha recentemente fornito indicazioni operative per la segnalazione del Registro. Secondo le nuove disposizioni, il Registro deve essere inviato entro l’11 aprile 2025 attraverso la piattaforma Infostat. Questo rinnova l’importanza di rispettare le tempistiche previste per non incorrere in sanzioni.
Le Sfide dell’Adeguamento a DORA
Rafforzare la Governance ICT
Il recepimento di DORA comporta diverse sfide per le imprese di assicurazione. Una delle principali riguarda il rafforzamento della governance ICT, che deve garantire la corretta gestione dei rischi digitali. Le compagnie dovranno adattarsi rapidamente a queste nuove richieste, migliorando le proprie strategie di gestione del rischio.
Monitoraggio delle Esternalizzazioni ICT
Un altro elemento fondamentale riguarda il controllo delle esternalizzazioni nel settore ICT. DORA richiede una maggiore trasparenza nei contratti con i fornitori terzi. Le imprese dovranno implementare un sistema di aggiornamenti costanti e inviare periodicamente le segnalazioni alle autorità di vigilanza, come l’Ivass.
Le Sanzioni per Non Conformità
Un aspetto fondamentale da considerare è il rischio di sanzioni. Il Decreto Legislativo prevede multe che possono arrivare fino al 10% del fatturato per le violazioni più gravi, oltre a sanzioni individuali fino a 5 milioni di euro per i dirigenti e amministratori che non rispettano le normative.
Soluzioni Tecnologiche per Supportare l’Adeguamento
La Piattaforma DORA IS
Per affrontare le sfide di DORA, Cetif Advisory, uno spin-off dell’Università Cattolica, ha sviluppato una soluzione innovativa: la DORA IS Platform. Questa piattaforma supporta le imprese assicurative nell’adeguamento alle disposizioni del Registro delle Informazioni, semplificando il processo di gestione delle informazioni e garantendo l’adeguamento continuo alle normative.
Vantaggi della DORA IS Platform
La piattaforma offre numerosi vantaggi. Tra questi:
- Facilità d’uso: La web app è intuitiva e accessibile, adatta a tutti gli utenti.
- Automazione e validazione: Grazie all’integrazione con fonti dati interne ed esterne, il sistema automatizza i processi di raccolta e validazione dei dati.
- Reportistica conforme: Supporta la creazione di report nei formati richiesti dalle autorità di vigilanza.
Dati del Dry-Run: Le Difficoltà nella Compliance
Un dato significativo emerge dai risultati del Dry-Run Exercise, durante il quale solo il 7% delle entità finanziarie ha superato con successo tutti i controlli di compliance. Più della metà delle aziende ha fallito almeno 5 controlli relativi al Registro delle Informazioni. Questo dimostra la complessità dell’adeguamento a DORA e il rischio di errori senza strumenti adeguati.
Un Nuovo Approccio alla Resilienza Operativa Digitale
In conclusione, DORA rappresenta un cambiamento significativo nel settore assicurativo, richiedendo alle compagnie di adottare nuove strategie per garantire la resilienza operativa digitale. La corretta implementazione del Registro delle Informazioni è cruciale per evitare sanzioni e garantire la compliance. Le soluzioni tecnologiche, come la DORA IS Platform, si rivelano fondamentali per ridurre gli oneri operativi e migliorare la gestione del rischio, supportando le imprese nell’adeguamento alle nuove normative.
