1. Introduzione al DORA e alla resilienza operativa digitale

Il Digital Operational Resilience Act (DORA), pienamente applicabile dal 17 gennaio 2025, è un regolamento dell’Unione europea con l’obiettivo di rafforzare la resilienza operativa digitale delle imprese finanziarie. In un contesto dove la dipendenza dalle tecnologie digitali è sempre più marcata, il DORA si pone come strumento fondamentale per garantire la continuità operativa e la sicurezza delle attività in caso di incidenti informatici.

La resilienza operativa non riguarda solo la capacità di prevenire gli attacchi, ma anche quella di adattarsi e riprendersi rapidamente da eventuali interruzioni. Per il settore finanziario, dove anche una breve interruzione può avere impatti significativi, la resilienza digitale è un fattore fondamentale non solo per la conformità normativa, ma anche per la stabilità del mercato e la fiducia dei clienti.

In questo quadro, i test di sicurezza assumono un ruolo centrale: sono strumenti pratici per valutare la reale capacità di resistere a incidenti e minacce informatiche e costituiscono uno dei pilastri principali della strategia DORA.

2. Il Threat-Led Penetration Testing

Tra le metodologie più avanzate previste dal regolamento DORA, spicca il Threat-Led Penetration Testing (TLPT). Si tratta di test di penetrazione che simulano attacchi realistici condotti da «red teams» specializzati e autorizzati.

Il principio alla base dei TLPT è quello di riprodurre un attacco informatico il più possibile simile a uno reale, sfruttando la conoscenza delle minacce più rilevanti e attuali.

I TLPT sono previsti per le entità finanziarie più critiche, in linea con l’approccio basato sul rischio adottato dal DORA. A supporto dell’esecuzione dei test, il DORA richiama anche le linee guida TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), che stabiliscono le buone pratiche per simulazioni etiche e strutturate.

I vantaggi dei TLPT sono molteplici: forniscono uno stress test realistico dello stato complessivo della sicurezza, individuano vulnerabilità nascoste e contribuiscono a migliorare le capacità difensive dell’organizzazione.

3. Aspetti normativi e operativi dei TLPT

Il regolamento DORA definisce requisiti specifici per l’esecuzione dei TLPT, a partire dalla loro periodicità: le entità finanziarie critiche devono svolgere questi test almeno ogni tre anni, salvo indicazioni differenti da parte delle autorità competenti. I test devono essere pianificati e autorizzati, coinvolgendo solo fornitori qualificati e osservando rigidi standard di riservatezza e sicurezza.

Fondamentale è anche il coinvolgimento delle autorità competenti. Gli enti finanziari devono comunicare in anticipo l’intenzione di condurre i TLPT e fornire la documentazione necessaria, come piani di test e risultati. Al termine, è previsto un processo di validazione per assicurarsi che i test siano stati eseguiti in modo adeguato e che le vulnerabilità identificate siano effettivamente gestite.

Inoltre, il DORA prevede un obbligo di reportistica dettagliata: i risultati dei TLPT devono essere documentati e messi a disposizione delle autorità, che possono così monitorare la resilienza digitale complessiva del sistema finanziario.

4. Le altre metodologie previste dal DORA: test di vulnerabilità, analisi di scenario e simulazioni

Il Regolamento non si limita a introdurre i test TLPT per le entità finanziarie più critiche: il suo approccio è molto più ampio e punta a costruire un sistema di difesa multilivello in grado di anticipare, assorbire e reagire a incidenti informatici.

In particolare, il DORA impone una serie di controlli periodici e differenziati per valutare la robustezza informatica delle organizzazioni:

• test di vulnerabilità, utili a identificare configurazioni errate, software obsoleti o falle note in infrastrutture e applicativi;

• analisi degli scenari e valutazioni di impatto, che simulano l’effetto di specifici eventi dirompenti (come un attacco ransomware o la compromissione di un fornitore critico) sul funzionamento dell’ente;

• test di business continuity e disaster recovery, fondamentali per verificare che i processi aziendali possano continuare o ripartire rapidamente in caso di crisi;

• tabletop exercises, simulazioni “da tavolo” che coinvolgono dirigenti e funzioni aziendali per testare la risposta organizzativa a un incidente cyber, senza toccare direttamente i sistemi.

Rispetto ai TLPT, questi test si distinguono per frequenza, intensità e finalità: se i TLPT sono stress test ad alta intensità pensati per entità critiche, gli altri strumenti sono più scalabili e adatti a un'applicazione diffusa nel settore.

5. Verso un approccio integrato alla resilienza

La sola esecuzione di test tecnici non garantisce la resilienza. Serve infatti un approccio integrato, basato su cicli continui di valutazione, miglioramento e formazione. Alcuni pilastri chiave sono:

• governance interna solida, che assicuri un presidio strategico e operativo della resilienza digitale;

• formazione e consapevolezza del personale, per ridurre il rischio umano, spesso l’anello debole nella catena della sicurezza;

• integrazione tra IT, risk management e compliance, per allineare la sicurezza informatica agli obiettivi di continuità e conformità normativa.

Un’organizzazione che orchestra in modo sinergico questi elementi può affrontare con maggiore prontezza anche le minacce più sofisticate.

6. Conclusione: i test come leva evolutiva

In un contesto di rischio digitale crescente, i test di resilienza operativa non sono solo un obbligo normativo, ma diventano un vantaggio competitivo. Permettono di scoprire vulnerabilità prima che vengano sfruttate, migliorare la capacità di risposta e costruire fiducia presso clienti e partner.

In conclusione, il regolamento DORA segna un’evoluzione nel modo di affrontare la sicurezza informatica: non riguarda più soltanto la difesa, ma anche la capacità di anticipare le minacce e adattarsi, ponendo le basi per una resilienza digitale più robusta.

Affronteremo questo argomento durante la seconda edizione di Data Protection Forum il 06 giugno 2025 alle ore 09:00 (accredito dalle ore 08:00) all'Auditorium Fondazione Cassamarca di Treviso (Piazza delle Istituzioni - Zona Appiani). Manca solo una settimana e i posti sono in esaurimento: prenota subito il tuo cliccando sul pulsante qui sotto.

Francesco Magagna

Beatrice Zamuner

Redazione LexTech Hub