Un’opportunità strategica per il banking ticinese

Nel cuore della trasformazione digitale che sta ridisegnando il panorama finanziario europeo, la DORA – Digital Operational Resilience Act emerge non come un’ulteriore imposizione regolatoria, ma come una chiave di lettura strategica per affrontare la complessità dell’ecosistema bancario contemporaneo.

Con la sua entrata in vigore nel gennaio 2025, DORA stabilisce un quadro normativo uniforme per la resilienza operativa digitale nel settore finanziario dell’UE, imponendo nuovi standard di gestione del rischio ICT, test di resilienza, gestione dei fornitori terzi critici e incident reporting. Sebbene la Svizzera non sia formalmente vincolata al regolamento, il banking ticinese – fortemente interconnesso a operatori e infrastrutture europee – non può permettersi un approccio attendista.

Oltre la compliance: la resilienza digitale come leva competitiva

DORA rappresenta un punto di svolta culturale: sposta l’attenzione dalla mera gestione del rischio ICT a una visione olistica e proattiva della resilienza operativa digitale. In un settore dove la fiducia è la moneta più preziosa, garantire la continuità dei servizi anche in scenari di crisi – attacchi cyber, disservizi IT, malfunzionamenti tecnologici – diventa un asset strategico.

Non si tratta più solo di proteggersi, ma di dimostrare di essere affidabili, resilienti, trasparenti, anche nei momenti di maggiore pressione. La resilienza, in questa prospettiva, si configura come una dimensione della reputazione, non solo della sicurezza.

Il paradosso normativo della Svizzera: non obbligati, ma esposti

Il paradosso è chiaro: le banche ticinesi non sono obbligate ad adottare DORA, ma sono esposte agli stessi rischi, vulnerabilità e interconnessioni dei colleghi europei. Molti istituti operano in gruppi bancari con filiali UE, si appoggiano a fornitori ICT europei, adottano soluzioni cloud distribuite su scala continentale.

In questo scenario, l’adozione proattiva del framework DORA consente di allinearsi agli standard europei, rafforzando la credibilità verso investitori, partner e autorità di vigilanza. Inoltre, è ormai evidente che anche la FINMA si sta muovendo in direzione analoga, con circolari e linee guida sempre più orientate a una visione integrata della resilienza digitale.

I 5 pillar DORA: cosa cambia davvero per il settore finanziario

ICT Risk Management

Le banche dovranno adottare un approccio strutturato, ciclico e documentato alla gestione del rischio ICT, con una governance chiara e una piena integrazione nel sistema di controllo interno.

Incident Reporting

Viene introdotto un obbligo di segnalazione tempestiva degli incidenti significativi (entro 4 ore dalla rilevazione), con tracciamento centralizzato e trasparenza regolatoria rafforzata.

Digital Operational Resilience Testing

I test diventano sistematici: dalle verifiche di routine fino ai Threat-Led Penetration Testing (TLPT), modellati su scenari reali. I player più critici dovranno dimostrare di saper “reggere l’urto” di minacce avanzate.

Third-Party Risk Management

I fornitori ICT critici entrano pienamente nel perimetro regolato: servono audit, contratti robusti, exit strategy e monitoraggio continuo. Il rischio di “single point of failure” deve essere gestito attivamente.

Information Sharing

Viene incentivata la condivisione strutturata di informazioni tra enti finanziari per rafforzare la risposta collettiva agli attacchi e alle vulnerabilità emergenti.

Sfide operative e leve strategiche per l’IT bancario

L’adozione del framework DORA impone una riflessione seria sulla maturità organizzativa e tecnologica delle strutture IT bancarie. Tra le sfide più complesse:

• l’integrazione tra cybersecurity, GRC e compliance;
• la tracciabilità delle dipendenze digitali e dei fornitori terzi (in particolare cloud e SaaS);
• l'automazione dei processi di controllo e reporting.

Allo stesso tempo, DORA apre a una serie di vantaggi competitivi concreti:

• miglioramento della prontezza operativa in caso di incidente;
• rafforzamento delle relazioni con controparti europee;
• riduzione del rischio reputazionale e legale attraverso un approccio strutturato e dimostrabile alla resilienza.

Roadmap per un’adozione proattiva in Ticino

Per le banche ticinesi, è il momento di definire una roadmap strutturata:

1. Assessment iniziale dei gap rispetto ai 5 pillar DORA.
2. Digital risk mapping: mappatura delle dipendenze ICT e dei fornitori critici.
3. Target Operating Model: revisione di processi, ruoli, tecnologie.
4. Data governance e reporting: preparazione a flussi di dati tempestivi, strutturati, tracciabili.
5. Formazione e cultura: coinvolgimento di tutta l’organizzazione, dal Board all’IT operativo.

DORA come driver di fiducia nel digital banking

La resilienza digitale non è un traguardo normativo, ma un impegno costante e multidimensionale. In un settore dove l'affidabilità si costruisce giorno dopo giorno, DORA rappresenta un’occasione per riscrivere le regole della fiducia.

Le banche che sceglieranno di adottare questi standard in modo anticipato si posizioneranno come attori solidi, trasparenti, pronti al futuro. La compliance è il minimo. La leadership si gioca sulla capacità di costruire sistemi digitali resilienti, flessibili e credibili.

Anche per le banche in Svizzera – e in Ticino in particolare – ignorare DORA non è più un'opzione. L’interconnessione con sistemi, servizi e controparti UE espone le strutture locali a obblighi indiretti e aspettative crescenti in termini di affidabilità.

In qualità di Partner Digital & GRC in una società di consulenza fintech, sto affiancando diversi istituti nell’assessment della propria readiness.

Quello che vedo?

• Un forte commitment del top management
• Una chiara volontà di trasformare la compliance in un'opportunità
• Ma anche la necessità di allineare IT, rischio e governance in un linguaggio comune

DORA può diventare il catalizzatore per rafforzare la fiducia, migliorare i processi e rendere la banca più resiliente, oggi e domani.

A cura di Elisa Sicari