{"id":136,"date":"2026-06-15T04:28:00","date_gmt":"2026-06-15T04:28:00","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/15\/regolamento-dora-2026\/"},"modified":"2026-06-15T04:34:17","modified_gmt":"2026-06-15T04:34:17","slug":"regolamento-dora-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/15\/regolamento-dora-2026\/","title":{"rendered":"Regolamento DORA: 22.000 Entit\u00e0, Multe 2% [2026]"},"content":{"rendered":"\n

Dal 17 gennaio 2025 il regolamento DORA<\/strong> (Digital Operational Resilience Act) si applica direttamente in tutta l’Unione europea. Nel 2026 il quadro entra per\u00f2 in una fase diversa: finita la tolleranza di rodaggio, i supervisori non si accontentano pi\u00f9 di policy e documentazione, ma chiedono prove concrete di resilienza operativa. Il regolamento copre circa 22.000 entit\u00e0 finanziarie e, per la prima volta, mette i grandi fornitori cloud sotto la diretta sorveglianza delle autorit\u00e0 europee. Per banche, assicurazioni e gestori italiani, il 2026 \u00e8 l’anno in cui il regolamento DORA<\/strong> smette di essere un progetto di compliance e diventa un rischio sanzionatorio reale.<\/p>\n\n\n\n

Regolamento DORA: cosa cambia davvero nel 2026<\/h2>\n\n\n\n

Il 2025 \u00e8 stato l’anno dell’adeguamento formale. Le entit\u00e0 finanziarie hanno riscritto i contratti con i fornitori ICT, mappato le dipendenze tecnologiche e inviato per la prima volta il Registro delle Informazioni alle autorit\u00e0 di vigilanza. Il 2026 ribalta la prospettiva. La Banca centrale europea, le tre autorit\u00e0 di vigilanza europee (ESA) e le autorit\u00e0 nazionali competenti hanno spostato il baricentro dalla revisione delle carte alla richiesta di evidenze operative in tempo reale: log degli incidenti, esiti dei test di penetrazione guidati dalle minacce, piani di uscita testati per i servizi critici in cloud.<\/p>\n\n\n\n

Il cambio di passo arriva in un contesto di pressione crescente. Secondo il Cyber Security Report 2026 di TIM, gli attacchi ransomware sono cresciuti del 42% a livello globale nel 2025, e l’Italia ha registrato 166 casi censiti, in aumento del 14% sull’anno precedente. Il settore finanziario resta tra i bersagli pi\u00f9 redditizi, e il regolamento DORA<\/strong> nasce proprio per ridurre la probabilit\u00e0 che un singolo guasto tecnologico, o un singolo fornitore compromesso, paralizzi un’intera filiera di pagamenti.<\/p>\n\n\n\n

Cos’\u00e8 il regolamento DORA e da quando si applica<\/h2>\n\n\n\n

DORA \u00e8 il Regolamento (UE) 2022\/2554, adottato il 14 dicembre 2022 ed entrato in piena applicazione il 17 gennaio 2025. Trattandosi di un regolamento e non di una direttiva, si applica in modo diretto e uniforme in tutti gli Stati membri, senza bisogno di leggi nazionali di recepimento per produrre effetti. Lo accompagna una direttiva collegata, la Direttiva (UE) 2022\/2556, che ha richiesto invece l’adeguamento delle normative settoriali nazionali.<\/p>\n\n\n\n

L’obiettivo \u00e8 uno solo: garantire che il sistema finanziario europeo possa resistere, rispondere e recuperare di fronte a incidenti informatici e disservizi tecnologici. Prima di DORA, la resilienza operativa era frammentata in linee guida settoriali diverse per banche, assicurazioni e mercati. Il regolamento DORA<\/strong> unifica questi requisiti in un unico testo vincolante, con regole tecniche di dettaglio (gli RTS e ITS) elaborate congiuntamente da EBA, ESMA ed EIOPA.<\/p>\n\n\n\n

I cinque pilastri del regolamento DORA<\/h2>\n\n\n\n

L’architettura di DORA poggia su cinque aree fondamentali. Insieme, definiscono un ciclo completo di gestione del rischio tecnologico, dalla prevenzione al recupero fino alla condivisione delle informazioni tra operatori.<\/p>\n\n\n\n

    \n
  • Gestione del rischio ICT.<\/strong> Ogni entit\u00e0 deve dotarsi di un quadro di governance del rischio tecnologico, con responsabilit\u00e0 ultima in capo all’organo di gestione (consiglio di amministrazione e alta dirigenza).<\/li>\n
  • Gestione e segnalazione degli incidenti.<\/strong> Classificazione degli incidenti gravi e notifica alle autorit\u00e0 entro tempi stretti.<\/li>\n
  • Test di resilienza operativa digitale.<\/strong> Programmi di test periodici, fino al threat-led penetration testing (TLPT) per le entit\u00e0 pi\u00f9 rilevanti.<\/li>\n
  • Gestione del rischio dei fornitori terzi ICT.<\/strong> Mappatura, clausole contrattuali minime, strategie di uscita e il Registro delle Informazioni.<\/li>\n
  • Condivisione delle informazioni.<\/strong> Scambio volontario di intelligence sulle minacce tra entit\u00e0 finanziarie.<\/li>\n<\/ul>\n\n\n\n

    La novit\u00e0 pi\u00f9 dirompente \u00e8 il quarto pilastro. Per la prima volta una normativa finanziaria europea guarda oltre il perimetro della singola banca e regola la catena di fornitura tecnologica, riconoscendo che il rischio di concentrazione su pochi grandi fornitori cloud \u00e8 ormai sistemico.<\/p>\n\n\n\n

    A chi si applica: 22.000 entit\u00e0 e i fornitori ICT<\/h2>\n\n\n\n

    Il perimetro del regolamento DORA<\/strong> \u00e8 il pi\u00f9 ampio mai visto in una normativa finanziaria europea sul rischio tecnologico. Secondo l’EIOPA, DORA si applica a 20 diverse tipologie di entit\u00e0 finanziarie; alcune guide di compliance del 2026 ne contano 21, una differenza di classificazione pi\u00f9 che di sostanza. Una guida settoriale del 2026 stima un totale di circa 22.000 entit\u00e0 finanziarie coperte in tutta l’Unione.<\/p>\n\n\n\n

    L’elenco comprende banche, istituti di pagamento e di moneta elettronica, imprese di investimento, gestori di fondi, compagnie di assicurazione e riassicurazione, agenzie di rating, fornitori di servizi cripto-attivit\u00e0 e, in misura proporzionata, anche soggetti pi\u00f9 piccoli. Accanto alle entit\u00e0 finanziarie, DORA estende la sua portata ai fornitori terzi di servizi ICT che le supportano, dai data center ai provider di software, fino agli operatori cloud. Quelli pi\u00f9 rilevanti possono essere designati come critici e finire sotto vigilanza diretta europea.<\/p>\n\n\n\n

    Segnalazione degli incidenti: la finestra delle 4-24 ore<\/h2>\n\n\n\n

    Uno degli obblighi pi\u00f9 operativi riguarda la segnalazione degli incidenti gravi. Una volta classificato come grave, un incidente ICT impone una catena di notifiche scandita da scadenze precise. Secondo le guide di compliance 2026, la notifica iniziale va trasmessa entro una finestra compresa tra le 4 e le 24 ore dalla classificazione, seguita da un rapporto intermedio e da uno finale a intervalli successivi stabiliti.<\/p>\n\n\n\n

    In Italia, la segnalazione degli incidenti ICT significativi va indirizzata alle autorit\u00e0 competenti e al CSIRT Italia. La logica \u00e8 quella di trasformare ogni incidente in informazione utile per il supervisore, che pu\u00f2 cos\u00ec individuare schemi ricorrenti e fornitori problematici prima che un singolo guasto diventi una crisi di settore.<\/p>\n\n\n\n

    \/\/ Tempistiche di notifica di un incidente ICT grave (sintesi DORA)\nclassificazione_incidente_grave  -> T0\nnotifica_iniziale                -> entro 4-24 ore da T0\nrapporto_intermedio              -> al sopraggiungere di aggiornamenti rilevanti\nrapporto_finale                  -> entro i termini fissati dagli RTS\ndestinatari_IT                   -> autorita competente + CSIRT Italia<\/code><\/pre>\n\n\n\n
    I 19 fornitori terzi critici (CTPP) sotto vigilanza europea<\/h2>\n\n\n\n
    La svolta storica del regolamento DORA<\/strong> \u00e8 la vigilanza diretta sui fornitori tecnologici. Nel novembre 2025, le tre ESA hanno pubblicato il primo elenco di 19 fornitori terzi critici di servizi ICT (Critical ICT Third-Party Providers, CTPP). Sono i grandi nodi tecnologici da cui dipende una fetta rilevante del sistema finanziario europeo: provider cloud, infrastrutture e piattaforme su cui poggiano migliaia di entit\u00e0.<\/p>\n\n\n\n
    I CTPP designati sono soggetti a sorveglianza diretta da parte di un Lead Overseer europeo, con poteri che includono valutazioni annuali del rischio, ispezioni in loco e obblighi di reporting. \u00c8 un cambio di paradigma: per la prima volta, un’autorit\u00e0 finanziaria europea pu\u00f2 chiedere conto direttamente a un fornitore tecnologico, e non solo alla banca che lo utilizza. Il rischio di concentrazione, dove poche aziende globali gestiscono l’infrastruttura di gran parte del continente, esce cos\u00ec dall’ombra e diventa oggetto di supervisione formale.<\/p>\n\n\n\n
    Sanzioni del regolamento DORA: multe fino al 2% del fatturato<\/h2>\n\n\n\n
    Il deterrente economico del regolamento DORA<\/strong> \u00e8 significativo e calibrato sul fatturato globale. Le entit\u00e0 finanziarie che violano gli obblighi possono incorrere in sanzioni fino al 2% del fatturato annuo mondiale totale; alcune fonti del 2026 indicano il maggiore tra il 2% del fatturato globale e 10 milioni di euro. La responsabilit\u00e0 non si ferma alla societ\u00e0: dirigenti apicali e membri del board rischiano sanzioni personali fino a 1 milione di euro.<\/p>\n\n\n\n
    Per i fornitori terzi critici la cornice \u00e8 ancora pi\u00f9 severa: multe fino a 5 milioni di euro, accompagnate da penalit\u00e0 di mora periodiche pensate per forzare la conformit\u00e0 nel tempo. La tabella seguente riassume il regime sanzionatorio.<\/p>\n\n\n\n
    \n
    Soggetto<\/th>Sanzione massima<\/th>Note<\/th><\/tr><\/thead>
    Entit\u00e0 finanziaria<\/td>2% del fatturato annuo mondiale<\/td>Alcune fonti: o 10 mln EUR, il maggiore<\/td><\/tr>\n
    Dirigenti e membri del board<\/td>1 milione di euro<\/td>Responsabilit\u00e0 personale<\/td><\/tr>\n
    Fornitore terzo critico (CTPP)<\/td>5 milioni di euro<\/td>Pi\u00f9 penalit\u00e0 di mora periodiche<\/td><\/tr>\n
    Italia (massimali nazionali)<\/td>fino a 20 mln EUR o 10% del fatturato<\/td>Secondo l’impostazione attuativa italiana<\/td><\/tr>\n
    Penalit\u00e0 di mora (CTPP)<\/td>quota giornaliera<\/td>Fino al rientro nella conformit\u00e0<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n
    Il Registro delle Informazioni e le scadenze del 2026<\/h2>\n\n\n\n
    Tra gli adempimenti pi\u00f9 impegnativi c’\u00e8 il Registro delle Informazioni, l’inventario strutturato di tutti gli accordi contrattuali con i fornitori ICT. La prima trasmissione del Registro alle ESA era fissata entro il 30 aprile 2025. Il documento richiede una mappatura granulare: quali servizi, quali fornitori, quali funzioni critiche dipendono da terzi, con quali piani di uscita.<\/p>\n\n\n\n
    Per molte entit\u00e0, costruire un Registro coerente ha significato scoprire dipendenze tecnologiche fino ad allora invisibili: catene di subfornitura, servizi cloud annidati, software di terze parti incorporati in piattaforme apparentemente proprietarie. La qualit\u00e0 dei dati raccolti nel 2025 \u00e8 diventata la base su cui i supervisori conducono nel 2026 le loro analisi di concentrazione. La tabella seguente sintetizza la cronologia chiave del regolamento DORA<\/strong>.<\/p>\n\n\n\n
    \n
    Data<\/th>Evento<\/th><\/tr><\/thead>
    14 dicembre 2022<\/td>Adozione del Regolamento (UE) 2022\/2554<\/td><\/tr>\n
    17 gennaio 2025<\/td>Piena applicazione di DORA in tutta l’UE<\/td><\/tr>\n
    12 marzo 2025<\/td>Decreto legislativo italiano n. 23 di attuazione<\/td><\/tr>\n
    30 aprile 2025<\/td>Prima trasmissione del Registro delle Informazioni alle ESA<\/td><\/tr>\n
    novembre 2025<\/td>Designazione dei primi 19 fornitori terzi critici (CTPP)<\/td><\/tr>\n
    2026<\/td>Vigilanza basata sull’evidenza e prime azioni di enforcement<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n
    DORA contro NIS2: chi prevale nel settore finanziario<\/h2>\n\n\n\n
    Una domanda ricorrente tra i responsabili compliance riguarda il rapporto tra DORA e la direttiva NIS2. Le due normative condividono l’obiettivo della resilienza cyber, ma seguono logiche diverse. Per la gestione del rischio ICT e la segnalazione degli incidenti significativi nel settore finanziario, DORA prevale come lex specialis: le entit\u00e0 finanziarie applicano DORA, non NIS2, per questi profili. NIS2 resta il riferimento orizzontale per settori critici come energia, trasporti, sanit\u00e0 e pubblica amministrazione.<\/p>\n\n\n\n
    \n
    Caratteristica<\/th>DORA<\/th>NIS2<\/th><\/tr><\/thead>
    Tipo di atto<\/td>Regolamento (applicazione diretta)<\/td>Direttiva (recepimento nazionale)<\/td><\/tr>\n
    Ambito<\/td>Settore finanziario<\/td>Settori critici (energia, sanit\u00e0, trasporti, PA)<\/td><\/tr>\n
    Applicazione<\/td>17 gennaio 2025<\/td>Recepimento nazionale (in Italia, d.lgs. 138\/2024)<\/td><\/tr>\n
    Fornitori terzi ICT<\/td>Vigilanza diretta sui CTPP<\/td>Obblighi sulla supply chain, senza oversight diretto<\/td><\/tr>\n
    Prevalenza nel finanziario<\/td>S\u00ec (lex specialis)<\/td>No, per i profili coperti da DORA<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n
    Per un approfondimento sul quadro NIS2 in Italia, multe e livello di preparazione delle imprese, rimandiamo alla nostra analisi dedicata nella sezione Related Coverage.<\/p>\n\n\n\n
    L’attuazione in Italia: il decreto 23\/2025 e le tre autorit\u00e0<\/h2>\n\n\n\n
    L’Italia ha adeguato il proprio ordinamento con il Decreto legislativo n. 23 del 12 marzo 2025, pubblicato in Gazzetta Ufficiale lo stesso giorno. Il decreto allinea il quadro nazionale di vigilanza e di sanzione a DORA e alla Direttiva (UE) 2022\/2556, aggiornando i poteri ispettivi e sanzionatori delle autorit\u00e0.<\/p>\n\n\n\n
    Le autorit\u00e0 competenti per l’applicazione del regolamento DORA<\/strong> in Italia sono tre, secondo le rispettive sfere di vigilanza: la Banca d’Italia per banche e intermediari, la Consob per i mercati e gli intermediari mobiliari, l’IVASS per il comparto assicurativo. Il decreto conferma inoltre l’obbligo di segnalazione degli incidenti ICT significativi alle autorit\u00e0 competenti e al CSIRT Italia. Questa architettura a tre teste richiede coordinamento: una banca-assicurazione pu\u00f2 ritrovarsi a interloquire con pi\u00f9 di un’autorit\u00e0 a seconda dell’attivit\u00e0 interessata dall’incidente.<\/p>\n\n\n\n
    Quanto sono pronte le banche: i numeri sulla preparazione<\/h2>\n\n\n\n
    La conformit\u00e0 sostanziale resta indietro rispetto alle scadenze formali. Secondo una ricerca Deloitte citata in una fonte di settore del 2026, solo il 50% degli istituti prevedeva di essere pienamente conforme entro la fine del 2025, mentre il 38% ha spostato l’obiettivo nel corso del 2026. Tradotto: a oltre un anno dall’applicazione, una parte significativa del settore finanziario europeo non ha ancora chiuso il cerchio della compliance.<\/p>\n\n\n\n
    I punti pi\u00f9 critici sono noti. Il threat-led penetration testing richiede competenze e tempi che molte entit\u00e0 medie non hanno internalizzato. La gestione del rischio dei fornitori terzi impone rinegoziazioni contrattuali lente, soprattutto con i grandi provider cloud, che hanno potere negoziale asimmetrico. E i piani di uscita realmente eseguibili, ovvero la capacit\u00e0 di migrare un servizio critico da un fornitore a un altro senza interruzioni, restano per molti un esercizio teorico pi\u00f9 che una capacit\u00e0 testata.<\/p>\n\n\n\n
    Impatto sul mercato: costi, cloud e consolidamento<\/h2>\n\n\n\n
    L’effetto economico del regolamento DORA<\/strong> si misura su pi\u00f9 livelli. Per le entit\u00e0 finanziarie, i costi di compliance comprendono personale dedicato, strumenti di monitoraggio, test periodici e revisione dell’intero parco contratti ICT. Per i fornitori tecnologici, soprattutto i 19 CTPP designati, la vigilanza diretta comporta nuovi obblighi di trasparenza e la necessit\u00e0 di adeguare standard e contratti a un interlocutore regolatorio.<\/p>\n\n\n\n
    Sul mercato si delineano due forze opposte. Da un lato, DORA spinge le banche a diversificare i fornitori per ridurre il rischio di concentrazione, aprendo spazio a provider cloud europei e a strategie multi-cloud. Dall’altro, gli oneri di conformit\u00e0 penalizzano i fornitori pi\u00f9 piccoli, che faticano a sostenere i requisiti contrattuali e di audit richiesti, favorendo paradossalmente i grandi operatori gi\u00e0 strutturati. L’esito di questa tensione, tra diversificazione auspicata e consolidamento di fatto, sar\u00e0 uno dei temi chiave del biennio 2026-2027.<\/p>\n\n\n\n
    Le voci degli esperti sul regolamento DORA<\/h2>\n\n\n\n
    La linea dei supervisori europei \u00e8 coerente. Jos\u00e9 Manuel Campa, presidente dell’EBA, ha pi\u00f9 volte posto l’accento sulla responsabilit\u00e0 diretta dell’organo di gestione: la resilienza operativa non pu\u00f2 essere delegata ai soli reparti tecnici, ma \u00e8 una responsabilit\u00e0 del vertice aziendale che risponde in prima persona. \u00c8 il principio che DORA codifica attribuendo all’organo di gestione la responsabilit\u00e0 ultima del rischio ICT.<\/p>\n\n\n\n
    Petra Hielkema, presidente dell’EIOPA, ha sottolineato come il rischio di concentrazione sui fornitori terzi sia ormai una questione di stabilit\u00e0 sistemica e non solo di rischio operativo del singolo soggetto. Sul fronte dei mercati, Verena Ross, presidente dell’ESMA, ha collegato la resilienza digitale alla fiducia degli investitori: un disservizio prolungato su un’infrastruttura critica pu\u00f2 propagarsi ai mercati in tempi rapidissimi.<\/p>\n\n\n\n
    In Italia, la Banca d’Italia, guidata dal governatore Fabio Panetta, ha inserito la resilienza operativa tra le priorit\u00e0 di vigilanza, in linea con l’impostazione europea che chiede di passare dalla documentazione all’evidenza. Il messaggio comune delle autorit\u00e0 \u00e8 netto: nel 2026 non basta avere le procedure scritte, bisogna dimostrare che funzionano.<\/p>\n\n\n\n
    Contesto storico: dalla resilienza operativa a DORA<\/h2>\n\n\n\n
    DORA non nasce dal nulla. Affonda le radici in oltre un decennio di attenzione crescente alla resilienza operativa nel settore finanziario. Dopo la crisi del 2008, la regolamentazione si era concentrata sul rischio di capitale e di liquidit\u00e0; la trasformazione digitale ha poi spostato l’attenzione sul rischio tecnologico. Episodi di interruzione dei servizi bancari online, attacchi ransomware a operatori di pagamento e disservizi cloud su larga scala hanno reso evidente che un guasto tecnologico pu\u00f2 avere effetti sistemici quanto un’insolvenza.<\/p>\n\n\n\n
    Framework come il TIBER-EU per i test guidati dalle minacce e le linee guida settoriali di EBA ed EIOPA avevano gi\u00e0 anticipato alcuni principi. DORA li unifica e li rende vincolanti, colmando il divario tra autorit\u00e0 nazionali con approcci diversi. \u00c8 il passaggio da un mosaico di buone pratiche a un obbligo di legge omogeneo per circa 22.000 entit\u00e0.<\/p>\n\n\n\n
    Cinque previsioni per il 2026-2027<\/h2>\n\n\n\n