Dal 17 gennaio 2025 il regolamento DORA (Digital Operational Resilience Act) si applica direttamente in tutta l’Unione europea. Nel 2026 il quadro entra però in una fase diversa: finita la tolleranza di rodaggio, i supervisori non si accontentano più di policy e documentazione, ma chiedono prove concrete di resilienza operativa. Il regolamento copre circa 22.000 entità finanziarie e, per la prima volta, mette i grandi fornitori cloud sotto la diretta sorveglianza delle autorità europee. Per banche, assicurazioni e gestori italiani, il 2026 è l’anno in cui il regolamento DORA smette di essere un progetto di compliance e diventa un rischio sanzionatorio reale.
Regolamento DORA: cosa cambia davvero nel 2026
Il 2025 è stato l’anno dell’adeguamento formale. Le entità finanziarie hanno riscritto i contratti con i fornitori ICT, mappato le dipendenze tecnologiche e inviato per la prima volta il Registro delle Informazioni alle autorità di vigilanza. Il 2026 ribalta la prospettiva. La Banca centrale europea, le tre autorità di vigilanza europee (ESA) e le autorità nazionali competenti hanno spostato il baricentro dalla revisione delle carte alla richiesta di evidenze operative in tempo reale: log degli incidenti, esiti dei test di penetrazione guidati dalle minacce, piani di uscita testati per i servizi critici in cloud.
Il cambio di passo arriva in un contesto di pressione crescente. Secondo il Cyber Security Report 2026 di TIM, gli attacchi ransomware sono cresciuti del 42% a livello globale nel 2025, e l’Italia ha registrato 166 casi censiti, in aumento del 14% sull’anno precedente. Il settore finanziario resta tra i bersagli più redditizi, e il regolamento DORA nasce proprio per ridurre la probabilità che un singolo guasto tecnologico, o un singolo fornitore compromesso, paralizzi un’intera filiera di pagamenti.
Cos’è il regolamento DORA e da quando si applica
DORA è il Regolamento (UE) 2022/2554, adottato il 14 dicembre 2022 ed entrato in piena applicazione il 17 gennaio 2025. Trattandosi di un regolamento e non di una direttiva, si applica in modo diretto e uniforme in tutti gli Stati membri, senza bisogno di leggi nazionali di recepimento per produrre effetti. Lo accompagna una direttiva collegata, la Direttiva (UE) 2022/2556, che ha richiesto invece l’adeguamento delle normative settoriali nazionali.
L’obiettivo è uno solo: garantire che il sistema finanziario europeo possa resistere, rispondere e recuperare di fronte a incidenti informatici e disservizi tecnologici. Prima di DORA, la resilienza operativa era frammentata in linee guida settoriali diverse per banche, assicurazioni e mercati. Il regolamento DORA unifica questi requisiti in un unico testo vincolante, con regole tecniche di dettaglio (gli RTS e ITS) elaborate congiuntamente da EBA, ESMA ed EIOPA.
I cinque pilastri del regolamento DORA
L’architettura di DORA poggia su cinque aree fondamentali. Insieme, definiscono un ciclo completo di gestione del rischio tecnologico, dalla prevenzione al recupero fino alla condivisione delle informazioni tra operatori.
- Gestione del rischio ICT. Ogni entità deve dotarsi di un quadro di governance del rischio tecnologico, con responsabilità ultima in capo all’organo di gestione (consiglio di amministrazione e alta dirigenza).
- Gestione e segnalazione degli incidenti. Classificazione degli incidenti gravi e notifica alle autorità entro tempi stretti.
- Test di resilienza operativa digitale. Programmi di test periodici, fino al threat-led penetration testing (TLPT) per le entità più rilevanti.
- Gestione del rischio dei fornitori terzi ICT. Mappatura, clausole contrattuali minime, strategie di uscita e il Registro delle Informazioni.
- Condivisione delle informazioni. Scambio volontario di intelligence sulle minacce tra entità finanziarie.
La novità più dirompente è il quarto pilastro. Per la prima volta una normativa finanziaria europea guarda oltre il perimetro della singola banca e regola la catena di fornitura tecnologica, riconoscendo che il rischio di concentrazione su pochi grandi fornitori cloud è ormai sistemico.
A chi si applica: 22.000 entità e i fornitori ICT
Il perimetro del regolamento DORA è il più ampio mai visto in una normativa finanziaria europea sul rischio tecnologico. Secondo l’EIOPA, DORA si applica a 20 diverse tipologie di entità finanziarie; alcune guide di compliance del 2026 ne contano 21, una differenza di classificazione più che di sostanza. Una guida settoriale del 2026 stima un totale di circa 22.000 entità finanziarie coperte in tutta l’Unione.
L’elenco comprende banche, istituti di pagamento e di moneta elettronica, imprese di investimento, gestori di fondi, compagnie di assicurazione e riassicurazione, agenzie di rating, fornitori di servizi cripto-attività e, in misura proporzionata, anche soggetti più piccoli. Accanto alle entità finanziarie, DORA estende la sua portata ai fornitori terzi di servizi ICT che le supportano, dai data center ai provider di software, fino agli operatori cloud. Quelli più rilevanti possono essere designati come critici e finire sotto vigilanza diretta europea.
Segnalazione degli incidenti: la finestra delle 4-24 ore
Uno degli obblighi più operativi riguarda la segnalazione degli incidenti gravi. Una volta classificato come grave, un incidente ICT impone una catena di notifiche scandita da scadenze precise. Secondo le guide di compliance 2026, la notifica iniziale va trasmessa entro una finestra compresa tra le 4 e le 24 ore dalla classificazione, seguita da un rapporto intermedio e da uno finale a intervalli successivi stabiliti.
In Italia, la segnalazione degli incidenti ICT significativi va indirizzata alle autorità competenti e al CSIRT Italia. La logica è quella di trasformare ogni incidente in informazione utile per il supervisore, che può così individuare schemi ricorrenti e fornitori problematici prima che un singolo guasto diventi una crisi di settore.
// Tempistiche di notifica di un incidente ICT grave (sintesi DORA)
classificazione_incidente_grave -> T0
notifica_iniziale -> entro 4-24 ore da T0
rapporto_intermedio -> al sopraggiungere di aggiornamenti rilevanti
rapporto_finale -> entro i termini fissati dagli RTS
destinatari_IT -> autorita competente + CSIRT ItaliaI 19 fornitori terzi critici (CTPP) sotto vigilanza europea
La svolta storica del regolamento DORA è la vigilanza diretta sui fornitori tecnologici. Nel novembre 2025, le tre ESA hanno pubblicato il primo elenco di 19 fornitori terzi critici di servizi ICT (Critical ICT Third-Party Providers, CTPP). Sono i grandi nodi tecnologici da cui dipende una fetta rilevante del sistema finanziario europeo: provider cloud, infrastrutture e piattaforme su cui poggiano migliaia di entità.
I CTPP designati sono soggetti a sorveglianza diretta da parte di un Lead Overseer europeo, con poteri che includono valutazioni annuali del rischio, ispezioni in loco e obblighi di reporting. È un cambio di paradigma: per la prima volta, un’autorità finanziaria europea può chiedere conto direttamente a un fornitore tecnologico, e non solo alla banca che lo utilizza. Il rischio di concentrazione, dove poche aziende globali gestiscono l’infrastruttura di gran parte del continente, esce così dall’ombra e diventa oggetto di supervisione formale.
Sanzioni del regolamento DORA: multe fino al 2% del fatturato
Il deterrente economico del regolamento DORA è significativo e calibrato sul fatturato globale. Le entità finanziarie che violano gli obblighi possono incorrere in sanzioni fino al 2% del fatturato annuo mondiale totale; alcune fonti del 2026 indicano il maggiore tra il 2% del fatturato globale e 10 milioni di euro. La responsabilità non si ferma alla società: dirigenti apicali e membri del board rischiano sanzioni personali fino a 1 milione di euro.
Per i fornitori terzi critici la cornice è ancora più severa: multe fino a 5 milioni di euro, accompagnate da penalità di mora periodiche pensate per forzare la conformità nel tempo. La tabella seguente riassume il regime sanzionatorio.
| Soggetto | Sanzione massima | Note |
|---|---|---|
| Entità finanziaria | 2% del fatturato annuo mondiale | Alcune fonti: o 10 mln EUR, il maggiore |
| Dirigenti e membri del board | 1 milione di euro | Responsabilità personale |
| Fornitore terzo critico (CTPP) | 5 milioni di euro | Più penalità di mora periodiche |
| Italia (massimali nazionali) | fino a 20 mln EUR o 10% del fatturato | Secondo l’impostazione attuativa italiana |
| Penalità di mora (CTPP) | quota giornaliera | Fino al rientro nella conformità |
Il Registro delle Informazioni e le scadenze del 2026
Tra gli adempimenti più impegnativi c’è il Registro delle Informazioni, l’inventario strutturato di tutti gli accordi contrattuali con i fornitori ICT. La prima trasmissione del Registro alle ESA era fissata entro il 30 aprile 2025. Il documento richiede una mappatura granulare: quali servizi, quali fornitori, quali funzioni critiche dipendono da terzi, con quali piani di uscita.
Per molte entità, costruire un Registro coerente ha significato scoprire dipendenze tecnologiche fino ad allora invisibili: catene di subfornitura, servizi cloud annidati, software di terze parti incorporati in piattaforme apparentemente proprietarie. La qualità dei dati raccolti nel 2025 è diventata la base su cui i supervisori conducono nel 2026 le loro analisi di concentrazione. La tabella seguente sintetizza la cronologia chiave del regolamento DORA.
| Data | Evento |
|---|---|
| 14 dicembre 2022 | Adozione del Regolamento (UE) 2022/2554 |
| 17 gennaio 2025 | Piena applicazione di DORA in tutta l’UE |
| 12 marzo 2025 | Decreto legislativo italiano n. 23 di attuazione |
| 30 aprile 2025 | Prima trasmissione del Registro delle Informazioni alle ESA |
| novembre 2025 | Designazione dei primi 19 fornitori terzi critici (CTPP) |
| 2026 | Vigilanza basata sull’evidenza e prime azioni di enforcement |
DORA contro NIS2: chi prevale nel settore finanziario
Una domanda ricorrente tra i responsabili compliance riguarda il rapporto tra DORA e la direttiva NIS2. Le due normative condividono l’obiettivo della resilienza cyber, ma seguono logiche diverse. Per la gestione del rischio ICT e la segnalazione degli incidenti significativi nel settore finanziario, DORA prevale come lex specialis: le entità finanziarie applicano DORA, non NIS2, per questi profili. NIS2 resta il riferimento orizzontale per settori critici come energia, trasporti, sanità e pubblica amministrazione.
| Caratteristica | DORA | NIS2 |
|---|---|---|
| Tipo di atto | Regolamento (applicazione diretta) | Direttiva (recepimento nazionale) |
| Ambito | Settore finanziario | Settori critici (energia, sanità, trasporti, PA) |
| Applicazione | 17 gennaio 2025 | Recepimento nazionale (in Italia, d.lgs. 138/2024) |
| Fornitori terzi ICT | Vigilanza diretta sui CTPP | Obblighi sulla supply chain, senza oversight diretto |
| Prevalenza nel finanziario | Sì (lex specialis) | No, per i profili coperti da DORA |
Per un approfondimento sul quadro NIS2 in Italia, multe e livello di preparazione delle imprese, rimandiamo alla nostra analisi dedicata nella sezione Related Coverage.
L’attuazione in Italia: il decreto 23/2025 e le tre autorità
L’Italia ha adeguato il proprio ordinamento con il Decreto legislativo n. 23 del 12 marzo 2025, pubblicato in Gazzetta Ufficiale lo stesso giorno. Il decreto allinea il quadro nazionale di vigilanza e di sanzione a DORA e alla Direttiva (UE) 2022/2556, aggiornando i poteri ispettivi e sanzionatori delle autorità.
Le autorità competenti per l’applicazione del regolamento DORA in Italia sono tre, secondo le rispettive sfere di vigilanza: la Banca d’Italia per banche e intermediari, la Consob per i mercati e gli intermediari mobiliari, l’IVASS per il comparto assicurativo. Il decreto conferma inoltre l’obbligo di segnalazione degli incidenti ICT significativi alle autorità competenti e al CSIRT Italia. Questa architettura a tre teste richiede coordinamento: una banca-assicurazione può ritrovarsi a interloquire con più di un’autorità a seconda dell’attività interessata dall’incidente.
Quanto sono pronte le banche: i numeri sulla preparazione
La conformità sostanziale resta indietro rispetto alle scadenze formali. Secondo una ricerca Deloitte citata in una fonte di settore del 2026, solo il 50% degli istituti prevedeva di essere pienamente conforme entro la fine del 2025, mentre il 38% ha spostato l’obiettivo nel corso del 2026. Tradotto: a oltre un anno dall’applicazione, una parte significativa del settore finanziario europeo non ha ancora chiuso il cerchio della compliance.
I punti più critici sono noti. Il threat-led penetration testing richiede competenze e tempi che molte entità medie non hanno internalizzato. La gestione del rischio dei fornitori terzi impone rinegoziazioni contrattuali lente, soprattutto con i grandi provider cloud, che hanno potere negoziale asimmetrico. E i piani di uscita realmente eseguibili, ovvero la capacità di migrare un servizio critico da un fornitore a un altro senza interruzioni, restano per molti un esercizio teorico più che una capacità testata.
Impatto sul mercato: costi, cloud e consolidamento
L’effetto economico del regolamento DORA si misura su più livelli. Per le entità finanziarie, i costi di compliance comprendono personale dedicato, strumenti di monitoraggio, test periodici e revisione dell’intero parco contratti ICT. Per i fornitori tecnologici, soprattutto i 19 CTPP designati, la vigilanza diretta comporta nuovi obblighi di trasparenza e la necessità di adeguare standard e contratti a un interlocutore regolatorio.
Sul mercato si delineano due forze opposte. Da un lato, DORA spinge le banche a diversificare i fornitori per ridurre il rischio di concentrazione, aprendo spazio a provider cloud europei e a strategie multi-cloud. Dall’altro, gli oneri di conformità penalizzano i fornitori più piccoli, che faticano a sostenere i requisiti contrattuali e di audit richiesti, favorendo paradossalmente i grandi operatori già strutturati. L’esito di questa tensione, tra diversificazione auspicata e consolidamento di fatto, sarà uno dei temi chiave del biennio 2026-2027.
Le voci degli esperti sul regolamento DORA
La linea dei supervisori europei è coerente. José Manuel Campa, presidente dell’EBA, ha più volte posto l’accento sulla responsabilità diretta dell’organo di gestione: la resilienza operativa non può essere delegata ai soli reparti tecnici, ma è una responsabilità del vertice aziendale che risponde in prima persona. È il principio che DORA codifica attribuendo all’organo di gestione la responsabilità ultima del rischio ICT.
Petra Hielkema, presidente dell’EIOPA, ha sottolineato come il rischio di concentrazione sui fornitori terzi sia ormai una questione di stabilità sistemica e non solo di rischio operativo del singolo soggetto. Sul fronte dei mercati, Verena Ross, presidente dell’ESMA, ha collegato la resilienza digitale alla fiducia degli investitori: un disservizio prolungato su un’infrastruttura critica può propagarsi ai mercati in tempi rapidissimi.
In Italia, la Banca d’Italia, guidata dal governatore Fabio Panetta, ha inserito la resilienza operativa tra le priorità di vigilanza, in linea con l’impostazione europea che chiede di passare dalla documentazione all’evidenza. Il messaggio comune delle autorità è netto: nel 2026 non basta avere le procedure scritte, bisogna dimostrare che funzionano.
Contesto storico: dalla resilienza operativa a DORA
DORA non nasce dal nulla. Affonda le radici in oltre un decennio di attenzione crescente alla resilienza operativa nel settore finanziario. Dopo la crisi del 2008, la regolamentazione si era concentrata sul rischio di capitale e di liquidità; la trasformazione digitale ha poi spostato l’attenzione sul rischio tecnologico. Episodi di interruzione dei servizi bancari online, attacchi ransomware a operatori di pagamento e disservizi cloud su larga scala hanno reso evidente che un guasto tecnologico può avere effetti sistemici quanto un’insolvenza.
Framework come il TIBER-EU per i test guidati dalle minacce e le linee guida settoriali di EBA ed EIOPA avevano già anticipato alcuni principi. DORA li unifica e li rende vincolanti, colmando il divario tra autorità nazionali con approcci diversi. È il passaggio da un mosaico di buone pratiche a un obbligo di legge omogeneo per circa 22.000 entità.
Cinque previsioni per il 2026-2027
- Prime sanzioni significative. Nel 2026 è probabile l’avvio delle prime azioni sanzionatorie, verosimilmente su carenze nella segnalazione degli incidenti o nei piani di uscita, più facili da verificare.
- Ampliamento dell’elenco CTPP. Dopo i primi 19 fornitori critici, le ESA aggiorneranno la lista, includendo nuovi operatori cloud e infrastrutturali.
- Spinta al cloud sovrano europeo. Il rischio di concentrazione favorirà l’adozione di provider e architetture cloud con presenza europea, anche per ragioni di compliance.
- Stretta sui piani di uscita. I supervisori chiederanno prove di portabilità reali, non solo clausole contrattuali, mettendo alla prova la dipendenza dai grandi fornitori.
- Convergenza con NIS2 e l’AI Act. Le entità finanziarie integreranno DORA, NIS2 e i nuovi obblighi sull’intelligenza artificiale in un unico quadro di governance del rischio digitale.
Domande frequenti sul regolamento DORA
Da quando è in vigore il regolamento DORA?
Il Regolamento (UE) 2022/2554 è stato adottato il 14 dicembre 2022 ed è entrato in piena applicazione il 17 gennaio 2025. Dal 2026 i supervisori sono passati a una vigilanza basata sull’evidenza.
A chi si applica DORA?
Si applica a circa 20-21 tipologie di entità finanziarie (banche, assicurazioni, imprese di investimento, gestori, fornitori di servizi cripto-attività e altri), per un totale stimato di circa 22.000 entità nell’UE, oltre ai fornitori terzi ICT che le supportano.
Quali sono le sanzioni previste da DORA?
Le entità finanziarie rischiano fino al 2% del fatturato annuo mondiale (o 10 milioni di euro, secondo alcune fonti), i dirigenti fino a 1 milione di euro e i fornitori terzi critici fino a 5 milioni di euro più penalità di mora. In Italia i massimali nazionali possono arrivare a 20 milioni di euro o al 10% del fatturato.
Qual è la differenza tra DORA e NIS2?
DORA è un regolamento ad applicazione diretta specifico per il settore finanziario, mentre NIS2 è una direttiva orizzontale per i settori critici. Nel finanziario DORA prevale come lex specialis per la gestione del rischio ICT e la segnalazione degli incidenti.
Quali autorità applicano DORA in Italia?
Le autorità competenti sono Banca d’Italia, Consob e IVASS, ciascuna nel proprio ambito di vigilanza. L’attuazione nazionale è avvenuta con il Decreto legislativo n. 23 del 12 marzo 2025, e gli incidenti ICT significativi vanno segnalati anche al CSIRT Italia.
Cos’è il Registro delle Informazioni?
È l’inventario strutturato di tutti gli accordi contrattuali con i fornitori ICT che ogni entità deve mantenere e trasmettere alle autorità. La prima trasmissione alle ESA era prevista entro il 30 aprile 2025.
Related Coverage
- NIS2 Italia: Multe €10M e Solo 3,9% Pronto [2026]
- ENISA 2025: 4.900 Incidenti Cyber, 80% Hacktivismo [2026]
- Ransomware Italia: 166 Casi, +14% e 507 Attacchi [2026]
- Attacco Ivanti: 600 IP, CVSS 9.8, UE Colpita [2026]
- Attacco Supply Chain OAuth: 700 Aziende Colpite [2026]
- Sicurezza online: violazioni, password, HTTPS e phishing
Fonti e approfondimenti
- Regolamento (UE) 2022/2554 (DORA) su EUR-Lex
- EIOPA, Digital Operational Resilience Act
- EBA, vigilanza e oversight DORA
- ESMA, Digital Operational Resilience Act
- Commissione europea, pagina ufficiale DORA
Articolo aggiornato al 15 giugno 2026. I dati su entità coperte, sanzioni e scadenze derivano da fonti istituzionali europee e da guide di compliance del 2025-2026; le cifre indicate come stime sono segnalate come tali.
