1. Il contesto: non è (solo) compliance, è strategia

Il Regolamento DORA (Digital Operational Resilience Act), in vigore dal 17 gennaio 2023 e pienamente applicabile dal 17 gennaio 2025, non è una mera formalità normativa. È un cambio di paradigma: la resilienza digitale non è più un’opzione, ma un obbligo strategico per tutte le entità finanziarie e i loro fornitori ICT.DORA impone requisiti stringenti su governance, gestione del rischio ICT, test di resilienza, gestione dei fornitori terzi e reporting degli incidenti. La non conformità non comporta solo sanzioni economiche, ma espone a rischi reputazionali e operativi significativi.

2. Il sistema sanzionatorio: proporzionalità e deterrenza

Il regime sanzionatorio di DORA è strutturato su più livelli, con importi che variano in base alla gravità della violazione e alla dimensione dell’entità coinvolta.

Le sanzioni possono raggiungere:

• fino a 5 milioni di euro o al 10% del fatturato annuo per SIM, SGR, SICAV, SICAF e controparti centrali, in caso di violazioni gravi;

• fino a 3,5 milioni di euro o al 7% del fatturato per violazioni meno gravi da parte delle stesse entità;

• fino a 500.000 euro o al 5% del fatturato per fornitori di servizi di crowdfunding e relativi fornitori terzi di servizi TIC.

Per i fornitori ICT critici, le autorità europee possono imporre sanzioni giornaliere fino all’1% del fatturato mondiale medio giornaliero, per un massimo di sei mesi, fino al raggiungimento della conformità.

3. Responsabilità individuale: il ruolo degli organi apicali

DORA introduce una responsabilità diretta per amministratori, dirigenti e responsabili della compliance. In caso di violazioni dovute a negligenza o mancata vigilanza, le sanzioni possono variare da 5.000 euro fino a 5 milioni di euro.Questo implica che la responsabilità non si limita all’entità giuridica, ma si estende alle persone fisiche che ricoprono ruoli chiave.

4. Un esempio concreto: la mancata valutazione del fornitore

Una società di gestione del risparmio italiana affida parte dei propri servizi di trading algoritmico a un fornitore terzo con sede fuori dall’Unione. Il contratto, stipulato anni prima dell’entrata in vigore di DORA, non prevede clausole specifiche sulla gestione del rischio ICT né meccanismi di audit. Quando il sistema subisce un attacco ransomware che blocca l’operatività per tre giorni, emergono gravi lacune: nessun test di resilienza era stato effettuato, il fornitore non era inserito nel registro dei servizi critici, e il reporting all’autorità arriva con due giorni di ritardo.Risultato? Oltre 1,2 milioni di euro di danni operativi, perdita di clienti e apertura di procedimento sanzionatorio. E non solo contro la società: anche l’organo di gestione è chiamato a rispondere per omessa vigilanza sul rischio ICT. Un caso emblematico di come il “non sapere” non sia più una scusa, ma una colpa.

5. Implicazioni per gli imprenditori: oltre la conformità

Per gli imprenditori, DORA rappresenta un’opportunità per rafforzare la resilienza operativa e la fiducia degli stakeholder. Investire in sicurezza informatica, formazione del personale e revisione dei contratti con i fornitori ICT non è solo una questione di conformità, ma un vantaggio competitivo. La non conformità può comportare non solo sanzioni economiche, ma anche danni reputazionali e perdita di fiducia da parte di clienti e partner.

Tratteremo questi temi il prossimo 06 giugno 2025 durante la seconda edizione del Data Protection Forum all'Auditorium Fondazione Cassamarca di Treviso (dalle ore 09:00 - Piazza delle Istituzioni). Non perdere l'occasione di approfondire questi argomenti e di farli diventare un'opportunità di crescita per la tua azienda! Iscriviti subito cliccando sul pulsante qui sotto!

Redazione LexTech Hub