Banca d’Italia aggiorna la Circolare 285: DORA entra nella vigilanza bancaria

DORA entra nella vigilanza bancaria. Nuovi obblighi su rischio ICT, incidenti, outsourcing e TLPT.

Con il 51° aggiornamento della Circolare n. 285, la Banca d’Italia integra formalmente il Regolamento (UE) 2022/2554 (DORA) nel quadro delle disposizioni di vigilanza prudenziale.

Non si tratta di un semplice adeguamento tecnico: è un cambio di paradigma.
Il rischio ICT non è più una materia “di supporto” ma diventa parte strutturale della governance bancaria.

Dalla normativa interna al quadro europeo

L’aggiornamento introduce nel Titolo IV della Circolare 285 il nuovo Capitolo 4 – “Il sistema informativo”, inserendolo nel contesto di:

  • governo societario

  • sistema dei controlli interni

  • gestione dei rischi

La disciplina ICT trova ora il suo fondamento diretto in DORA, superando l’impianto frammentato delle precedenti disposizioni nazionali.

In parallelo, l’Italia ha recepito la direttiva europea con il Decreto Legislativo 10 marzo 2025, n. 23, consolidando l’obbligo di conformità per gli operatori finanziari.

Le principali novità operative

1️⃣ Gestione del rischio ICT

La gestione del rischio deve essere strutturata secondo gli RTS DORA, in particolare il Regolamento Delegato (UE) 2024/1774.

Non basta più un framework interno generico: servono:

  • metodologie formalizzate

  • strumenti documentati

  • politiche approvate dagli organi di vertice

  • integrazione nel RAF (Risk Appetite Framework)

Qui si gioca la vera trasformazione: il board è direttamente responsabile della resilienza digitale.

2️⃣ Segnalazione degli incidenti ICT

DORA impone modelli standardizzati per la notifica di incidenti gravi TIC.

Le banche devono:

  • classificare gli incidenti secondo criteri armonizzati

  • notificare tempestivamente all’autorità competente

  • predisporre report di follow-up

  • analizzare le cause radice

Questo implica la revisione dei processi SOC, dei playbook di incident response e della reportistica interna.

3️⃣ Outsourcing TIC e fornitori critici

Per funzioni essenziali o importanti in ambito ICT:

  • obbligo di informativa preventiva alla BCE o alla Banca d’Italia

  • rafforzamento dei contratti con clausole DORA

  • valutazione continua del rischio di terze parti

Il tema non è solo legale, ma strategico: cloud provider, SaaS, MSP diventano parte del perimetro di vigilanza.

4️⃣ Threat-Led Penetration Testing (TLPT)

Le banche identificate dovranno sottoporsi a test di penetrazione avanzati guidati da minacce reali.

Non si tratta del classico penetration test annuale, ma di:

  • simulazioni basate su intelligence

  • coinvolgimento del top management

  • valutazione della resilienza operativa reale

Questo sposta l’attenzione dalla compliance formale alla capacità effettiva di resistere a un attacco sofisticato.

5️⃣ Continuità operativa TIC

Ai sensi dell’art. 11 DORA:

  • piani di continuità formalizzati

  • disaster recovery testati periodicamente

  • scenari estremi simulati

  • analisi di impatto aggiornata

La resilienza operativa diventa metrica di vigilanza, non solo requisito organizzativo.

Cosa cambia davvero per le banche?

Il messaggio è chiaro:

Il rischio ICT è governance.

Non è più confinato alla funzione IT o al CISO.
Il consiglio di amministrazione deve comprendere, presidiare e decidere in materia di resilienza digitale.

Chi interpreta DORA come “aggiornamento documentale” commette un errore strategico.

Implicazioni strategiche

L’integrazione nella Circolare 285 comporta:

  • revisione dei modelli organizzativi

  • ridefinizione delle responsabilità interne

  • adeguamento dei sistemi di controllo

  • allineamento tra risk management, compliance e IT

Le banche che affrontano DORA come leva di trasformazione digitale potranno:

  • ridurre il rischio reputazionale

  • migliorare la solidità operativa

  • rafforzare la fiducia del mercato

Le altre rischiano un incremento dei rilievi ispettivi e della pressione regolatoria.

Il punto chiave: resilienza come vantaggio competitivo

Nel nuovo scenario europeo:

  • la sicurezza informatica è stabilità finanziaria

  • la continuità operativa è protezione del sistema

  • la gestione dei fornitori ICT è presidio sistemico

DORA non è una norma tecnica.
È un pilastro dell’architettura finanziaria europea.

Come può supportarti DF Studio

Su dfstudio.it affianchiamo enti e operatori regolati in:

  • assessment di conformità DORA

  • gap analysis ICT governance

  • definizione policy e procedure

  • strutturazione piani di continuità

  • revisione contratti outsourcing TIC

  • preparazione a TLPT e audit di vigilanza

La conformità non è un adempimento.
È un percorso strutturato di maturità organizzativa.

Se vuoi valutare il livello di preparazione della tua organizzazione rispetto alla nuova Circolare 285 e a DORA, possiamo partire da un’analisi preliminare del tuo modello di governance ICT.

La resilienza digitale oggi è vigilanza. Domani sarà reputazione.

Hai bisogno di un supporto tecnico di fiducia per la tua attività?

Richiedi ora una consulenza su misura per mettere in ordine, aggiornare o migliorare il tuo sistema IT.

CHIEDI UNA CONSULENZA