Il 17 gennaio 2025 il DORA è entrato formalmente in vigore. Il 17 gennaio 2026, un anno dopo, è iniziata la vera partita: quella in cui le autorità di vigilanza — BCE, EBA, ESMA, EIOPA e le authority nazionali come Banca d’Italia e IVASS — hanno cominciato a usare i poteri ispettivi che il regolamento conferisce loro. Non è più un esercizio di mappatura sulla carta. È supervisione operativa concreta, con Joint Examination Teams che possono presentarsi dai fornitori ICT critici senza troppi preamboli.

Il DORA (Regolamento UE 2022/2554 — Digital Operational Resilience Act) copre oltre 22.000 entità finanziarie in Europa, suddivise in 21 categorie che vanno dalle banche sistemiche alle società di gestione degli investimenti, dai prestatori di servizi di criptovalute alle imprese di assicurazione. In Italia le entità soggette includono tutti i soggetti vigilati da Banca d’Italia, CONSOB e IVASS. DORA è lex specialis rispetto a NIS2 per il settore finanziario: chi rientra nel perimetro DORA non deve preoccuparsi di seguire anche NIS2 per gli stessi obblighi, il che è un sollievo parziale dato che DORA è se possibile ancora più esigente.

Le scadenze che contano nel 2026

La Banca d’Italia ha comunicato il 13 febbraio 2026 che il registro delle informazioni — il documento che mappa tutti i contratti con fornitori terzi ICT, con i relativi dati su dipendenza critica, tipologia di servizi e obblighi contrattuali DORA-compliant — deve essere trasmesso entro il 15 marzo 2026, con riferimento alla situazione al 31 dicembre 2025. Non è un adempimento formale: è la base su cui le autorità costruiranno la loro visione del rischio di concentrazione del settore. Se l’80% delle banche italiane dipende dagli stessi tre cloud provider per servizi critici, DORA vuole saperlo. E lo saprà.

Parallelamente, il 51° aggiornamento alla Circolare 285 della Banca d’Italia, pubblicato a inizio febbraio 2026, ha armonizzato la disciplina prudenziale nazionale con i requisiti DORA, chiudendo le eventuali sovrapposizioni interpretative che avevano generato incertezza nei mesi precedenti. La vigilanza sui fornitori terzi critici (i cosiddetti CTPPs — Critical Third-Party Providers) è partita a gennaio 2026 con i Joint Examination Teams: gruppi congiunti composti da rappresentanti di più autorità europee che possono condurre ispezioni in loco presso i fornitori stessi, non solo presso le entità finanziarie clienti.

Cosa significa DORA nella pratica quotidiana

Il cuore operativo di DORA si articola attorno a cinque pilastri: gestione del rischio ICT, segnalazione degli incidenti, test della resilienza operativa digitale, gestione del rischio ICT di terze parti, e condivisione delle informazioni. Ognuno di questi pilastri ha implicazioni concrete che molte entità finanziarie italiane stanno ancora scoprendo mentre le scadenze si avvicinano.

Sul fronte della segnalazione degli incidenti, DORA introduce una classificazione che distingue gli incidenti “maggiori” dagli “incidenti operativi o di sicurezza dei pagamenti significativi”. Per gli incidenti maggiori, la catena di notifica prevede una segnalazione iniziale entro 4 ore dalla classificazione, una notifica intermedia entro 72 ore, e un rapporto finale entro 30 giorni. Questo schema è più stringente di NIS2 (che prevede 24 ore per la pre-notifica) e richiede una capacità di detection e classification che non si costruisce in fretta.

Sul fronte dei contratti con i fornitori ICT, DORA ha introdotto una lista di clausole obbligatorie che devono essere presenti in tutti i contratti con fornitori considerati critici. Chi non ha rinegoziato i propri contratti entro il 2025 si trova ora in una posizione scomoda: o rinegozia retroattivamente, con tutto il potere contrattuale che questo comporta verso fornitori come Microsoft, Amazon o Google, oppure documenta formalmente perché considera il fornitore non critico, con il rischio che il supervisore non sia d’accordo.

Il nodo della concentrazione cloud

Uno degli obiettivi non dichiarati ma evidentissimi di DORA è ridurre il rischio di concentrazione nel settore. Se la maggior parte delle banche europee usa gli stessi tre cloud provider per i servizi ICT più critici, un incidente sistemico su uno di questi provider può generare un effetto domino sull’intero sistema finanziario. DORA vuole che le entità finanziarie abbiano piani credibili di uscita dai fornitori critici, che queste strategie di exit vengano testate periodicamente, e che non ci siano dipendenze single-point-of-failure senza piano B documentato.

Per molte banche italiane di medie dimensioni, che hanno migrato su cloud negli ultimi anni sfruttando la flessibilità e i costi dei grandi hyperscaler, questo requisito è particolarmente oneroso. Costruire una exit strategy credibile da un fornitore cloud in cui si è investito anni di migrazione non è un esercizio puramente documentale: richiede architetture di portabilità, contratti con fornitori alternativi, e test reali di migrazione. Cose che costano tempo e denaro. Ma che DORA ora rende obbligatorie.

Chi non c’entra con la finanza dovrebbe comunque leggere questo

DORA non riguarda solo le banche. Riguarda chiunque fornisca servizi ICT a entità finanziarie. Un’azienda che sviluppa software gestionale per una società di leasing, un provider di hosting che ospita i sistemi di un’assicurazione, un’azienda di system integration che ha contratti con istituti di credito: tutti questi soggetti possono trovarsi classificati come fornitori ICT rilevanti o critici dai propri clienti finanziari, con tutte le implicazioni in termini di obblighi contrattuali, diritti di audit e requisiti di sicurezza.

TeamBit opera in questo ecosistema su entrambi i lati: come consulenti per entità che devono costruire la propria compliance DORA, e come fornitore di servizi tecnologici che può trovarsi nel perimetro DORA dei propri clienti. La distinzione non è sempre immediata, e il modo in cui si gestisce oggi questa doppia posizione determinerà la qualità dei rapporti commerciali nel settore finanziario nei prossimi anni.