Banca d’Italia ha pubblicato l’intervento di Giuseppe Siani, Capo del Dipartimento Vigilanza bancaria e finanziaria di Banca d’Italia, al convegno CSE del 26 settembre 2025, incentrato sulla resilienza digitale e sull’attuazione del Regolamento DORA.
L’intervento, in particolare, sottolinea come la tecnologia sia ormai una leva strategica decisiva per il settore bancario, con impatti su reputazione, competitività, stabilità e rapporti con la clientela: gli intermediari devono continuare a investire in soluzioni innovative non solo per migliorare i servizi, ma anche per preservare l’integrità e la sicurezza dei sistemi informativi.
Sul piano normativo, si è evidenziata la complessità derivante dalla stratificazione di regole europee e internazionali (DORA, NIS, linee guida BCE ed EBA).
In questo contesto, DORA assume un ruolo centrale: definisce requisiti armonizzati di gestione del rischio ICT per tutti gli operatori finanziari e introduce un regime di sorveglianza sui fornitori critici di servizi IT.
Banca d’Italia sta lavorando per semplificare e armonizzare le disposizioni, garantendo un quadro chiaro e coerente che riduca oneri inutili e favorisca la trasformazione digitale.
Dal punto di vista della vigilanza, l’attenzione si concentra su valutazioni qualitative oltre che quantitative, tramite verifiche ispettive e a distanza, analisi di incidenti operativi, indagini sulle tecnologie emergenti e approfondimenti sulla Risk Data Aggregation.
Le evidenze raccolte mostrano progressi, soprattutto in tema di governance ICT, ma anche aree critiche: debolezze nei controlli interni, forte dipendenza da terze parti e necessità di rafforzare presidi contro furti o perdite di dati.
Nonostante i progressi registrati, l’analisi della Banca d’Italia ha messo in luce alcune criticità nell’adeguamento a DORA.
In particolare, emergono carenze:
- nei sistemi di controllo e monitoraggio della sicurezza delle infrastrutture ICT
- nei meccanismi automatizzati per isolare i patrimoni informativi colpiti
- nei processi di apprendimento organizzativo successivi a incidenti o test interni.
- nei presidi a tutela della protezione dei dati
- nella capacità di gestire minacce e vulnerabilità crescenti.
Sul fronte delle esternalizzazioni, molti intermediari non hanno ancora adeguato pienamente i contratti con i fornitori, con rischi significativi legati alla forte dipendenza dalle terze parti e alla mancanza di strategie di uscita ben strutturate.
Un focus è stato posto sugli operatori di minori dimensioni (LSI), più esposti al rischio di esternalizzazione, e sui grandi fornitori ICT, spesso operanti in mercati concentrati.
L’autovalutazione condotta dagli intermediari in vista dell’entrata in vigore di DORA ha rivelato una generale conformità ai requisiti, sebbene con differenze significative tra categorie: banche minori, istituti di pagamento e IMEL risultano più avanzati, mentre altre realtà – come le piattaforme di crowdfunding – necessitano di tempi più lunghi.
Guardando al futuro, Banca d’Italia ha sottolineato il ruolo cruciale dei fornitori critici, che saranno direttamente supervisionati dalle autorità europee: ciò dovrebbe riequilibrare i rapporti contrattuali con gli intermediari, oggi spesso sbilanciati a favore dei grandi operatori ICT, con benefici in termini di sicurezza e trasparenza.
In conclusione, la resilienza digitale è una priorità strategica e richiede una solida cultura del rischio, formazione continua del personale e dialogo costruttivo tra autorità, intermediari e fornitori.
L’innovazione tecnologica, se ben governata, non solo rafforza la sicurezza, ma migliora efficienza, trasparenza e competitività dell’intero sistema finanziario: Banca d’Italia continuerà a promuovere un approccio collaborativo e proporzionale, guidando il settore verso una maggiore maturità digitale.
