Aggiornato: maggio 2026
Per le entità finanziarie soggette a DORA, la gestione del rischio ICT di terze parti non è più una best practice — è un obbligo regolatorio con requisiti precisi su contratti, valutazioni del rischio, exit strategy e notifica degli incidenti. I fornitori ICT che erogano funzioni critiche o importanti sono al centro di questo quadro.
Punti chiave
- DORA è in vigore dal 17 gennaio 2025 per banche, assicurazioni, gestori di fondi, payment institutions e altri soggetti finanziari UE
- L'Art. 28 DORA impone la classificazione di tutti i fornitori ICT per criticità e requisiti contrattuali specifici
- I fornitori ICT critici (CTPP) designati dalle ESA sono soggetti a supervisione diretta da parte delle Autorità di Vigilanza Europee
- Secondo EBA (2023), oltre il 60% delle entità finanziarie europee dipende da un numero ridotto di fornitori cloud per funzioni critiche — concentrazione che DORA intende ridurre
Cos'è DORA e chi è soggetto
DORA — Digital Operational Resilience Act è il Regolamento UE 2022/2554 che introduce requisiti uniformi per la resilienza operativa digitale delle entità finanziarie nell'Unione Europea. A differenza di NIS2, che è una Direttiva recepita dagli Stati membri, DORA è un Regolamento: si applica direttamente in tutta l'UE senza necessità di recepimento nazionale, con piena efficacia dal 17 gennaio 2025.
Sono soggetti a DORA: banche e istituti di credito, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, gestori di fondi di investimento alternativi e UCITS, imprese di assicurazione e riassicurazione, intermediari assicurativi, fornitori di servizi per cripto-attività (CASP), depositari centrali di titoli, controparti centrali e infrastrutture dei mercati finanziari.
È previsto un regime semplificato per le micro-imprese (meno di 10 dipendenti e fatturato annuo inferiore a 2 milioni di euro), che sono esentate da alcuni degli obblighi più gravosi — incluso il requisito del test di resilienza operativa digitale (TLPT).
Il rischio ICT di terze parti secondo DORA
Il Titolo V di DORA (Artt. 28-44) disciplina interamente la gestione del rischio ICT derivante da soggetti terzi. Il punto di partenza è l'obbligo per ogni entità finanziaria di adottare e mantenere aggiornata una strategia per il rischio ICT di terze parti, che includa una classificazione di tutti i fornitori ICT in base alla criticità delle funzioni supportate.
La classificazione si articola su due livelli: fornitori che supportano funzioni critiche o importanti (soggetti agli obblighi contrattuali completi dell'Art. 30) e fornitori che supportano funzioni standard (requisiti contrattuali alleggeriti). La classificazione deve essere documentata e aggiornata almeno annualmente.
DORA impone anche la gestione del rischio di concentrazione: le entità finanziarie devono valutare il rischio derivante dalla dipendenza da un numero ridotto di fornitori ICT per funzioni critiche, definire soglie di concentrazione accettabili e documentare le misure per ridurle nel tempo.
I fornitori ICT critici (CTPP)
DORA introduce la categoria dei Critical Third-Party Providers (CTPP): fornitori ICT designati dalle Autorità di Vigilanza Europee (EBA, EIOPA, ESMA) come sistemicamente rilevanti per il settore finanziario. La designazione avviene sulla base di criteri come la percentuale di entità finanziarie che dipendono dal provider, la sostituibilità e l'impatto potenziale di un'interruzione.
I CTPP sono soggetti a un framework di sorveglianza separato, gestito da un'Autorità di Vigilanza Capofila (Lead Overseer) designata tra le ESA. Possono ricevere raccomandazioni vincolanti, essere sottoposti a ispezioni e devono fornire informazioni alle autorità di vigilanza su richiesta. I costi della sorveglianza sono a carico dei CTPP stessi.
Per le entità finanziarie, la designazione di un proprio fornitore come CTPP implica obblighi aggiuntivi: notifica alle autorità, verifica della conformità del fornitore alle raccomandazioni del Lead Overseer e adeguamento dei contratti esistenti.
Obblighi contrattuali con i vendor ICT
L'Art. 30 DORA definisce le clausole minime che devono essere presenti in tutti i contratti con fornitori ICT di funzioni critiche o importanti. Non si tratta di raccomandazioni: sono obblighi la cui assenza espone l'entità finanziaria a sanzioni.
- Descrizione completa dei servizi — con livelli di servizio minimi (SLA), metriche di performance e obblighi di reportistica.
- Ubicazione dati e backup — identificazione precisa delle ubicazioni (data center, cloud region) dove sono elaborati e conservati i dati.
- Obblighi di notifica incidenti — tempistiche e modalità di notifica all'entità finanziaria in caso di incidenti ICT rilevanti.
- Diritti di audit e ispezione — diritto dell'entità finanziaria e delle autorità di vigilanza di effettuare audit presso il fornitore.
- Exit strategy documentata — piano per la migrazione dei servizi in caso di interruzione del rapporto, con tempi e risorse definiti.
- Sub-appalto — clausole che regolano il sub-appalto a fornitori ICT di quarto livello, con diritto di veto o approvazione preventiva.
DORA vs. NIS2: le differenze chiave
DORA e NIS2 sono complementari ma distinti. Le entità finanziarie soggette a DORA possono anche rientrare nel perimetro NIS2 — in quel caso, DORA prevale come lex specialis per i requisiti ICT.
| Aspetto | DORA | NIS2 |
|---|---|---|
| Tipo di atto UE | Regolamento (applicazione diretta) | Direttiva (recepimento nazionale) |
| Settori | Entità finanziarie UE | 18+ settori critici e importanti |
| Focus ICT | Specifico per rischio ICT e resilienza digitale | Generale (cybersecurity e supply chain) |
| Fornitori critici | CTPP (designazione ESA) | Nessuna categoria equivalente |
| Sanzioni | Proporzionali (no cap fisso per CTPP) | €10M/2% (essenziali), €7M/1,4% (importanti) |
| In vigore | 17 gennaio 2025 | Ottobre 2024 (recepimento IT) |
Come prepararsi: 5 passi
Per le entità finanziarie che devono strutturare la gestione del rischio ICT di terze parti in ottica DORA, un percorso pratico si articola in cinque passi.
- Inventario completo dei fornitori ICT. Censire tutti i fornitori che erogano servizi ICT — inclusi cloud, SaaS, connettività, data center, outsourcing IT — e documentare per ciascuno le funzioni supportate.
- Classificazione per criticità. Per ogni fornitore, determinare se supporta funzioni critiche, importanti o standard secondo i criteri DORA. La classificazione deve essere approvata dal management e documentata nel registro del rischio ICT.
- Revisione e aggiornamento dei contratti. Verificare che i contratti con i fornitori di funzioni critiche e importanti includano tutte le clausole richieste dall'Art. 30 DORA. Negoziare le integrazioni necessarie entro i termini contrattuali.
- Valutazione del rischio di concentrazione. Mappare le dipendenze critiche verso singoli fornitori o gruppi di fornitori. Definire soglie di concentrazione accettabili e pianificare la diversificazione dove necessario.
- Monitoraggio continuo e reporting. Implementare il monitoraggio dei SLA, degli incidenti e delle notifiche ricevute dai fornitori critici. Produrre la reportistica richiesta agli organi di governance e all'autorità di vigilanza.
Per approfondire il quadro del rischio terze parti, consulta la guida su rischio terze parti e TPRM.
Domande frequenti
Quali aziende sono soggette a DORA?
DORA si applica alle entità finanziarie che operano nell'UE: banche, istituti di pagamento, imprese di investimento, assicurazioni, gestori di fondi, fornitori di servizi per cripto-attività e infrastrutture dei mercati finanziari. I fornitori ICT critici (CTPP) sono soggetti a un regime di sorveglianza separato delle ESA.
Cosa deve includere un contratto con un fornitore ICT secondo DORA?
I contratti con fornitori di funzioni critiche o importanti devono includere: descrizione dettagliata dei servizi e SLA, ubicazione dei dati, obblighi di notifica degli incidenti, diritti di audit, exit strategy documentata e regolamentazione del sub-appalto. L'assenza di anche una sola di queste clausole è un elemento di non conformità.
Quando è entrato in vigore DORA?
DORA è pienamente applicabile dal 17 gennaio 2025. Essendo un Regolamento europeo, non richiede recepimento nazionale e si applica direttamente in tutti gli Stati membri dell'UE.
Come gestire i fornitori ICT critici secondo DORA?
DORA richiede di classificare tutti i fornitori ICT, aggiornare i contratti secondo l'Art. 30, condurre valutazioni del rischio strutturate, definire exit strategy documentate e implementare il monitoraggio continuo. I CTPP designati dalle ESA sono soggetti a supervisione diretta e richiedono obblighi aggiuntivi di notifica e adeguamento contrattuale.