DORA e Business Continuity, i nuovi pilastri per banche e assicurazioni

Il contesto: perché il finance non può permettersi fragilità

La continuità operativa è oggi una delle condizioni essenziali per il mondo bancario, finanziario e assicurativo. Un downtime prolungato o un attacco informatico che interrompe i servizi digitali, anche per un tempo breve, non comporta soltanto perdite economiche immediate, ma compromette la fiducia dei clienti e apre la porta a conseguenze regolatorie, reputazionali e di mercato.

Secondo i dati IBM 2023, il costo medio di un blocco operativo nel settore finanziario supera i 5,9 milioni di dollari, a fronte di una media globale di 4,45 milioni. Ma oltre al dato economico, la vera criticità è l’erosione della fiducia, che nel mercato finanziario è un elemento imprescindibile.

In questo scenario si inserisce il Digital Operational Resilience Act (DORA), un regolamento europeo che, per la prima volta, mette nero su bianco che resilienza operativa e Business Continuity non sono un’opzione, ma un obbligo normativo.

DORA: non una norma tecnica, ma una rivoluzione culturale

Il regolamento DORA, entrato in vigore dal gennaio 2023, sta trovando nel corso 2025 la sua piena applicazione normativa.
L’obiettivo di DORA è chiaro: rendere il settore finanziario europeo capace di resistere, reagire e ripartire di fronte a qualsiasi forma di interruzione digitale.
I punti cardine sono i seguenti:

• ICT Risk Management continuo e data-driven
• Business Continuity e Disaster Recovery come processi strutturali
• Incident reporting tempestivo e standardizzato
• Test di resilienza operativa obbligatori e documentabili
• Gestione dei fornitori terzi (outsourcer ICT e cloud provider)

Quello che spesso viene sottovalutato è che DORA non si limita alla conformità normativa, ma impone alle organizzazioni un cambio di paradigma, passare da un approccio reattivo a una cultura della resilienza proattiva e misurabile.

Business Continuity: il nuovo metro di affidabilità

La Business Continuity è stata a lungo percepita come una semplice checklist da smarcare, fatta di procedure di emergenza, piani di disaster recovery e magari qualche test periodico. Con DORA, invece, questa diventa il cuore pulsante della resilienza digitale, introducendo nuovi obblighi ma anche nuove strategie per garantire la Business Continuity:

• mantenere fiducia costante di clienti e partner anche durante le crisi
• ridurre al minimo l’impatto economico e reputazionale degli incidenti,
• rafforzare la posizione competitiva in un mercato dove l’affidabilità è un fattore di scelta.

In altre parole, la conformità non è solo un obbligo normativo, ma una condizione imprescindibile per essere credibili e competitivi sul mercato.

Le criticità del settore: il gap tra regole e realtà

Molte banche e istituti finanziari restano ancorati a processi manuali e frammentati, che non solo rallentano le operazioni, ma impediscono di avere una visione chiara e aggiornata del proprio ecosistema.
La mappatura degli asset, delle applicazioni e delle loro dipendenze è spesso incompleta o obsoleta, creando zone d’ombra in cui possono annidarsi rischi “fantasma”.
Questo approccio rallenta le risposte in caso di incidente e rende complesso anticipare o gestire eventuali scenari di crisi.
La resilienza, inoltre, viene affrontata con una visione soltanto parziale, le funzioni IT si concentrano sulla disponibilità dei sistemi, mentre il business guarda alla continuità delle operazioni, senza un linguaggio comune e un modello integrato che unisca le due prospettive. Questo approccio a silos limita la capacità di coordinamento e impedisce di valutare in modo realistico l’impatto di un’interruzione sull’intera catena del valore.
Infine, la compliance viene spesso vissuta come un adempimento formale. Molti istituti si preoccupano principalmente di dimostrare alle autorità di vigilanza il rispetto delle regole, ma senza trasformare i requisiti normativi in leve concrete di miglioramento organizzativo. Così il rischio è di avere una resilienza “di facciata”, che evita le sanzioni ma non garantisce una vera capacità di resistere e ripartire di fronte a eventi critici.
Questo approccio è rischioso, può magari soddisfare l’autorità di vigilanza nell’immediato, ma non offre alcuna garanzia al mercato.

Il cambio di paradigma: resilienza come asset strategico

Il vero salto di qualità si ottiene quando la Business Continuity smette di essere percepita come un costo o un semplice obbligo normativo, ma viene invece riconosciuta come una leva strategica di competitività.
In questa prospettiva, l’approccio data-driven assume un ruolo centrale, in cui i modelli basati su digital twin consentono di simulare scenari di crisi e pianificare azioni di mitigazione fondate su dati concreti e verificabili.
A questo si affianca la possibilità di condurre analisi what-if, ovvero simulazioni in tempo reale dell’impatto che minacce e vulnerabilità potrebbero avere sui processi più critici.
In questo modo diventa possibile gestire le interruzioni in maniera proattiva, anticipando scenari e conseguenze potenziali, trasformando l’incertezza in una consapevolezza operativa concreta.
Un altro elemento chiave è la cross-visibility, ovvero la visione integrata di IT, OT e IoT, indispensabile per gestire in maniera coerente infrastrutture bancarie complesse, composte da diversi domini tecnologici e numerosi dispositivi distribuiti su vasti territori (si pensi semplicemente alla rete di ATM, dispositivi POS e sistemi di pagamento in cloud.)
Senza una vera prospettiva unitaria, ogni sforzo di resilienza rischia di rimanere frammentato e poco efficace.
Infine, la capacità di produrre prove documentabili diventa un vantaggio competitivo non solo in sede di audit, ma anche nei confronti degli stakeholder di mercato. Dimostrare la solidità e l’affidabilità della propria continuità operativa rafforza la fiducia di clienti, partner e investitori, trasformando la resilienza in un vero asset di valore e reputazione.

Chi saprà adottare questo approccio trasformerà la compliance in un marchio di affidabilità riconosciuto, rafforzando la propria reputazione e la fiducia degli investitori.

Dal rispetto delle regole al vantaggio competitivo

DORA non è solo una normativa, ma è un’occasione per ridefinire le fondamenta della fiducia nel settore finanziario europeo.
Le banche, gli istituti finanziari e le compagnie assicurative che si limiteranno a “spuntare caselle” rischiano di restare vulnerabili e poco credibili, pur rispettando i vincoli normativi.

Chi invece investirà in una Business Continuity reale ed evoluta, integrata e misurabile, conquisterà un posizionamento unico: essere percepito come affidabile, resiliente e competitivo in un mercato sempre più affollato e selettivo.