Il DORA e l'impatto sui servizi cloud: sfide e opportunità per gli operatori finanziari
Redazione LexTech Hub
15 mag
Tempo di lettura: 4 min
Data Protection Forum 2025
L’adozione del regolamento europeo DORA (Digital Operational Resilience Act) rappresenta, per il settore finanziario, una novità destinata a modificare in profondità il rapporto tra imprese e tecnologia. Ma non nel senso — troppo semplice — di un inasprimento normativo. Al contrario: il DORA, nella sua architettura, mira a risolvere una tensione strutturale che negli ultimi anni è rimasta latente. Da un lato, l’apertura crescente verso i servizi cloud e le infrastrutture digitali esternalizzate; dall’altro, la necessità — sempre più impellente — di garantire la continuità operativa e la sicurezza sistemica dell’intero settore finanziario europeo.
È qui che il DORA interviene. E non lo fa con divieti, ma con un principio: la resilienza non è una qualità opzionale, è una condizione di base dell’operatività digitale. E proprio i servizi cloud, da facilitatori tecnologici, diventano oggetto di attenzione strategica.
Cosa sono davvero i servizi cloud? E perché sono diventati centrali.
Quando si parla di “cloud” nel contesto finanziario, non si fa riferimento (solo) a spazi remoti per archiviare dati, ma a vere e proprie infrastrutture operative su cui poggiano processi critici: gestione dei pagamenti, analisi dei rischi, interfacce utente, persino modelli di intelligenza artificiale. Il cloud è ciò che consente oggi a una banca digitale di scalare in tempo reale, a una fintech di adattarsi al mercato senza investire in server fisici, a un istituto tradizionale di innovare senza stravolgere la propria struttura interna. In questo senso, il cloud non è un supporto tecnico: è il tessuto connettivo del sistema finanziario contemporaneo. Ed è proprio per questo che il DORA ne fa un nodo regolatorio essenziale.
Terze parti critiche: una nuova centralità regolatoria
Nel mirino della normativa entrano le cosiddette ICT third-party service providers, ossia i fornitori esterni — tra cui i cloud provider — da cui le istituzioni finanziarie dipendono sempre più per la gestione di dati, servizi e infrastrutture. Il DORA non impone la rinuncia a questi strumenti, né suggerisce un ritorno al controllo interno. Ma stabilisce, con chiarezza, che l'affidamento non può più avvenire in un regime di fiducia implicita.
Ogni relazione con fornitori esterni diventa un rapporto regolato. Sono previsti obblighi specifici in termini di due diligence, tracciabilità, accesso ai dati e supervisione. Gli operatori finanziari dovranno sapere — e dimostrare di sapere — da chi dipendono, in quali termini, e con quali presidi di controllo.
È un cambio di prospettiva che alcuni hanno letto come una complicazione, ma che va compreso nel suo disegno più ampio: si tratta di costruire un ecosistema digitale interoperabile e verificabile, non di moltiplicare gli adempimenti a vuoto.
La sfida dell’enforcement: simmetria o asimmetria?
Il vero banco di prova, come sempre, sarà l’applicazione concreta. Perché, se da un lato gli obblighi per gli operatori finanziari sono articolati e progressivi, dall’altro il meccanismo di supervisione sui fornitori critici è più snello e accentrato: sarà infatti l’ESMA, l’autorità europea dei mercati finanziari, a esercitare una funzione diretta di controllo su alcuni soggetti terzi. Questo modello misto, in cui la responsabilità si divide tra autorità nazionali e un’autorità centrale, mira a evitare frammentazioni interpretative.
Resta da vedere se la sinergia sarà effettiva. Ma intanto un messaggio è già passato: l’Europa vuole un sistema finanziario che possa fare affidamento su fornitori esterni senza diventarne ostaggio.
Ostacolo o leva competitiva?
Molti imprenditori si chiedono se tutto questo comporti solo un aggravio. La risposta, come spesso accade, dipende da come ci si pone di fronte al cambiamento. Il DORA introduce obblighi, certo, ma anche un’opportunità strategica: quella di mettere ordine nel rapporto — spesso opaco — tra strutture aziendali e fornitori digitali. Ciò si riflette nell’affidabilità verso i clienti, che la trasparenza può comunicare: un’istituzione finanziaria che dimostra di essere solida e aderente alla normativa, di sicuro vanta una credibilità che la distingue dai concorrenti.
Cambiando prospettiva, per i fornitori stessi, soprattutto quelli di medie dimensioni, potrebbe essere l’occasione per strutturarsi in modo più solido e candidarsi a diventare partner affidabili in un contesto che premia la trasparenza, non solo l’innovazione.
Conclusione: in un contesto di continua regolamentazione, adeguarsi è un vantaggio
Il DORA non è una legge pensata per punire chi insegue l’innovazione, ma per proteggere un ecosistema — quello finanziario — che vive di interconnessioni e vulnerabilità condivise, come in particolare quelle relative ai servizi cloud. In questo senso, l’introduzione di criteri più rigidi non va letta come un freno, ma come un tentativo di dare struttura a un sistema che già oggi si muove, in larga parte, su piattaforme esterne.
Per gli imprenditori, il messaggio è chiaro: adeguarsi non è solo una necessità di compliance, ma può diventare una leva per rafforzare la governance digitale dell’impresa. La tecnologia resta centrale; ma è il modo in cui la si governa che, da ora in poi, farà la differenza.
Il prossimo 06 giugno 2025, a partire dalle ore 09:00 (accredito dalle 08:00), parleremo di DORA e di normative sulla cybersicurezza alla seconda edizione del Data Protection Forum. Ritrovo all'Auditorium Fondazione Cassamarca di Treviso (Piazza delle Istituzioni - Zona Appiani). Non mancare: iscriviti subito perché i posti sono limitati!
Commentaires