La prima lettura coordinata offerta dalle Autorità europee di vigilanza consente di osservare con maggiore precisione come stia evolvendo la tenuta operativa del settore finanziario nell’era digitale. Il quadro che emerge dal Rapporto congiunto previsto dal Regolamento DORA non si limita a registrare un incremento degli eventi critici, ma mette in evidenza una trasformazione più profonda del rischio: la vulnerabilità non nasce soltanto dall’attacco informatico in sé, bensì dalla dipendenza crescente da reti di soggetti, sistemi e fornitori tecnologici sempre più integrati tra loro.
Oltre 3.300 incidenti ICT gravi e una minaccia sistemica
Nel 2025 sono stati segnalati oltre 3.300 incidenti ICT gravi, un dato che conferma la centralità della sicurezza informatica nella governance degli intermediari e degli operatori finanziari. Tuttavia, il numero delle segnalazioni racconta solo una parte della realtà. L’analisi delle Autorità europee evidenzia infatti come la criticità maggiore non risieda esclusivamente nella frequenza degli eventi, ma nella loro capacità di propagarsi lungo catene operative sempre più articolate. In questo scenario, la resilienza non può essere intesa come mera difesa perimetrale, ma come capacità di assorbire, contenere e superare l’interruzione anche quando coinvolge soggetti terzi essenziali.
Il ruolo del Regolamento DORA nella governance del rischio
Il Regolamento DORA si colloca precisamente in questa prospettiva, imponendo un presidio organico del rischio ICT e una gestione più rigorosa delle dipendenze tecnologiche. La logica sottesa alla disciplina europea non è più quella di una protezione frammentata, ma di un modello di resilienza operativa digitale costruito su prevenzione, controllo e capacità di risposta. Le evidenze del Rapporto congiunto confermano che l’efficacia di tale impianto dipende dalla qualità dei processi interni, dalla solidità dei rapporti con i fornitori e dalla prontezza delle misure di continuità operativa.
Interconnessione, fornitori e nuove vulnerabilità
Il tema decisivo, oggi, è l’interconnessione. Più gli operatori si affidano a infrastrutture condivise, servizi esternalizzati e soluzioni tecnologiche integrate, più aumenta l’esposizione a un effetto domino capace di amplificare l’impatto di un singolo incidente. È qui che la resilienza operativa digitale assume una dimensione concreta e non meramente teorica: occorre saper governare il rischio lungo l’intera filiera del servizio, individuando in anticipo i punti di debolezza e predisponendo strumenti di reazione effettivi.
Un confronto sui primi risultati dell’applicazione europea
Di questi profili discutono Arianna Corsaro e Francesco Concio, Partner di La Scala Società tra Avvocati, offrendo una lettura giuridica e operativa del primo bilancio europeo in materia di resilienza digitale. Il Rapporto, infatti, non rappresenta solo una fotografia dello stato attuale, ma anche un indicatore delle sfide che attendono il settore finanziario nel consolidamento di un modello di sicurezza coerente con le prescrizioni del Regolamento DORA e con le aspettative delle Autorità di vigilanza europee.
Ep. 285 – DORA: il primo bilancio della resilienza operativa digitale europea proviene da Iusletter.