Il 17 gennaio 2025 è dietro l'angolo: entro quella data le entità finanziarie europee, insieme ai loro fornitori di servizi tecnologici di terze parti, dovranno implementare i nuovi standard tecnici previsti dal DORA - Digital Operational Resilience Act.
Il settore finanziario si è fortemente digitalizzato negli ultimi anni ottenendo molti benefici, ma si è anche esposto a rischi tecnologici come attacchi informatici, interruzioni di dei sistemi e guasti di tecnologie dei fornitori terzi.
Per far fronte a queste problematiche, l'Unione Europea ha definito un nuovo regolamento che stabilisce requisiti dettagliati per proteggere i processi aziendali chiave delle istituzioni finanziarie basate nell'UE.
Ma a che punto è il percorso di queste realtà? McKinsey ha condotto un'indagine proprio per valutare il livello di preparazione delle istituzioni finanziarie e dei loro fornitori ICT chiave, rivelando che c'è ancora molto lavoro da fare per rispettare gli obblighi previsti.
Il report ha rivelato comunque che il 94% delle istituzioni finanziarie è pienamente impegnato a comprendere i requisiti dettagliati della legislazione; la maggior parte lo fa attraverso un programma dedicato, con DORA come punto all'ordine del giorno del consiglio di amministrazione.
Ci sono però alcune sfide che rallentano l'implementazione dei requisiti previsti, come per esempio la limitata chiarezza dell'ambito di applicazione di elementi chiave quali la definizione delle Funzioni Critiche o Importanti (CIF) e dei fornitori di servizi ICT critici.
C'è poi una certa preoccupazione per le tempistiche di attuazione, anche considerando che il secondo di due lotti degli standard tecnici di regolamentazione delle autorità di vigilanza europee sarà finalizzato solo a luglio 2024, e che alcuni requisiti regolamentari richiedono tempi di attuazione significativi.
Non manca poi l'aumento dei budget previsti inizialmente dovuti all'incertezza sull’ambito di applicazione, in alcuni casi fino a 10 volte tanto. Per quanto riguarda le risorse allocate all’implementazione di DORA, il 40% delle istituzioni finanziarie e dei provider ICT dedica più di sette equivalenti a tempo pieno, mentre meno del 20% non ha ancora assegnato risorse dedicate.
Molte realtà percepiscono inoltre la gestione delle tecnologie di terze parti come una delle sfide principali: stando al report, la maggior parte delle istituzioni finanziarie ha evidenziato grosse difficoltà nelle negoziazioni coi fornitori, in particolare con le entità più piccole.
Ma cosa ne pensano le realtà del settore della loro capacità di soddisfare i requisiti del DORA entro il 17 gennaio prossimo? Il 31% degli intervistati si dice fiducioso del proprio successo, mentre il 38% appare ancora neutrale; il restante 31% si dice invece dubbioso a riguardo.
Le migliori strategie per l'applicazione del DORA
Nei prossimi mesi le istituzioni finanziarie dovranno premere sull'acceleratore e investire sulle pratiche di conformità alla normativa. La ricerca di McKinsey aggiunge inoltre che, oltre al rispetto degli obblighi definiti nel DORA, le pratiche migliori devono riflettere anche obiettivi aziendali più ampi.
Nel dettaglio le istituzioni considerate leader ancorano i propri sforzi a quattro principi strategici:
-
considerare la regolamentazione come un'opportunità di resilienza e non come un semplice esercizio di "spunta di crocette": il programma deve essere visto per quello che è, ovvero un'occasione per trasformare dalle fondamenta i processi, le tecnologie e i tool, migliorandoli e rendendoli più resilienti;
-
fare della resilienza una questione aziendale: i senior manager devono guidare la trasformazione definendo una strategia chiara supportata dalle priorità di business. È essenziale inoltre definire un owner di processo che sia in grado di coordinare gli sforzi aziendali e monitorare la trasformazione;
-
definire chiaramente lo scopo e il termine dei lavori: il report sottolinea che è importante implementare i requisiti basandosi sui rischi da affrontare e stabilire con precisione quando i requisiti di DORA saranno stati soddisfatti e il rischio è sarà stato mitigato;
- collaborare collettivamente per garantire la resilienza sistemica: condividere le informazioni, anche tra competitor, può sembrare controintuitivo, ma può in realtà semplificare il processo di implementazione. La collaborazione tra realtà permette di costruire reti di condivisione più ampie, aumentare la conoscenza interne e migliorare la resilienza complessiva del sistema finanziario.
"Le istituzioni hanno l'opportunità di rivedere le sfide critiche legate alla resilienza digitale, di riunire diverse parti dell'organizzazione e di trasformare le capacità fondamentali che manterranno la resilienza dell'ecosistema finanziario" conclude il report.