Come influirà il nuovo regolamento DORA sulle entità di investimento?
L’entrata in vigore del Regolamento sulla Resilienza Operativa Digitale (DORA) rappresenta un prima e un dopo nel panorama della regolamentazione finanziaria europea. Questa normativa, che obbliga le entità finanziarie, comprese quelle di investimento o di finanziamento partecipativo, a rafforzare la loro resilienza digitale, a gestire adeguatamente i rischi tecnologici e a migliorare i protocolli di risposta agli attacchi informatici, è destinata a trasformare non solo l’operatività interna di questi attori, ma anche l’ecosistema in cui operano, compresi i settori Fintech e Proptech.
Urbanitae, come attore rilevante nel campo degli investimenti, si trova al centro di questo cambiamento, il che evidenzia l’importanza di adattarsi a un ambiente normativo sempre più esigente.
Cos’è DORA?
DORA, o Digital Operational Resilience Act, è una normativa dell’Unione Europea che stabilisce un quadro giuridico uniforme per garantire la resilienza operativa digitale nel settore finanziario. Il suo obiettivo principale è che tutte le entità finanziarie, dalle banche alle società di investimento e ai fornitori di servizi TIC, dispongano di sistemi solidi che consentano loro di gestire i rischi tecnologici e operativi, proteggere le informazioni dei clienti e garantire la continuità dei servizi in caso di attacchi informatici o eventi critici.
Il regolamento è entrato in vigore il 16 gennaio 2023 ed è diventato applicabile lo scorso 17 gennaio 2025, concedendo un periodo di adattamento di due anni affinché le entità possano conformarsi ai suoi rigorosi requisiti. Tra questi, vi è l’implementazione di piani di emergenza, valutazioni periodiche dei rischi e test di resilienza operativa, tutte misure fondamentali per incrementare la resilienza digitale e proteggere i dati in un ambiente sempre più interconnesso e vulnerabile.
Come sottolineato dal Ministero dell’Economia, del Commercio e dell’Impresa, questa normativa è particolarmente rilevante per le entità di investimento, poiché rafforza la cybersicurezza nella gestione di grandi volumi di informazioni sensibili e stabilisce uno standard che armonizza le pratiche in tutta l’UE.
Secondo Nacho Bautista, responsabile della divisione di crowdfunding dell’AEFI (Associazione Spagnola di FinTech e InsurTech) e CEO di Fundeen, “DORA non è una semplice raccomandazione, è un obbligo. E ciò che impone è che le entità di investimento smettano di considerare la cybersicurezza come una semplice casella da spuntare e inizino a trattarla come un pilastro fondamentale della loro operatività. Non basta più avere un buon antivirus o fare un backup ogni tanto. Ora parliamo di gestire i rischi digitali con la stessa serietà con cui gestiamo i rischi finanziari”.
Come devono prepararsi le entità alla nuova regolamentazione?
L’adattamento a DORA richiede una trasformazione radicale nella gestione dei rischi e nell’operatività digitale. Le istituzioni finanziarie devono iniziare con una diagnosi completa della loro infrastruttura tecnologica, identificando e classificando nel dettaglio i loro asset e processi critici. Questo permetterà di individuare le vulnerabilità e implementare misure di protezione adeguate per minimizzare i rischi.
“La gestione dei rischi diventerà più proattiva che reattiva. Non si tratterà solo di risolvere i problemi quando si presentano, ma di anticiparli e prevenirli. Ciò implica stabilire controlli continui su tutti i sistemi critici, effettuare audit interni frequenti e mantenere una sorveglianza costante sulle possibili vulnerabilità”, spiega Bautista.
Parallelamente, è essenziale riesaminare il rapporto con i fornitori esterni. Come evidenziato dall’Autorità Europea degli Strumenti Finanziari e dei Mercati (ESMA), DORA impone un controllo rigoroso sull’intera catena di fornitura dei servizi TIC, esigendo che ogni partner rispetti gli standard di sicurezza stabiliti. La revisione e l’aggiornamento dei contratti, con clausole chiare che definiscano responsabilità e protocolli di notifica, è fondamentale.
Inoltre, le entità avranno bisogno di team dedicati alla cybersicurezza, professionisti che comprendano sia la tecnologia sia i rischi specifici del settore finanziario, sottolinea il rappresentante di AEFI e Fundeen. “Saranno necessarie anche piattaforme di monitoraggio in tempo reale e sistemi di rilevamento delle intrusioni, che consentano di reagire rapidamente a qualsiasi minaccia”.
Come influisce DORA su entità come Urbanitae?
Urbanitae, essendo una piattaforma di finanziamento partecipativo regolata dalla CNMV (Commissione Nazionale del Mercato dei Valori spagnola), è soggetta a un quadro normativo che garantisce trasparenza e protezione degli investitori, ma che deve anche adattarsi ai requisiti imposti dal nuovo Regolamento DORA.
“Le piattaforme di crowdfunding immobiliare e di altri settori, per la loro natura digitale, sono particolarmente esposte ai rischi tecnologici. Conformarsi a DORA potrebbe sembrare inizialmente un peso (più costi, più processi, più audit…), ma può anche diventare un fattore di differenziazione chiave”, spiega Bautista.
L’impatto di DORA su un’entità come Urbanitae si traduce nella necessità di rafforzare la cybersicurezza e la gestione dei rischi tecnologici. La normativa impone che le entità finanziarie, incluse quelle dedicate al crowdfunding immobiliare, implementino sistemi solidi per identificare e mitigare le vulnerabilità nelle loro infrastrutture digitali.
Questo significa che Urbanitae dovrà esaminare e auditare non solo i propri sistemi, ma anche l’intera catena di fornitori tecnologici che utilizza per elaborare e conservare le informazioni dei suoi investitori e dei progetti finanziati.
In questo contesto, Bautista afferma che “gli investitori non cercano solo rendimenti elevati, ma anche sicurezza. In un mondo in cui gli attacchi informatici sono sempre più frequenti, sapere che il proprio denaro è protetto da una piattaforma che rispetta i più alti standard di sicurezza è senza dubbio un valore aggiunto”.
L’adattamento a DORA, sebbene comporti sfide in termini di investimento e aggiornamento tecnologico, è visto in Urbanitae come un’opportunità per posizionarsi come un punto di riferimento nel settore, dimostrando un forte impegno verso la sicurezza digitale e la resilienza operativa.
Applicazione di DORA in altri settori
Sebbene DORA sia rivolto principalmente al settore finanziario, le sue implicazioni si estendono anche ad altri ambiti. Le compagnie assicurative, i fornitori di servizi cloud e le società di telecomunicazioni dovranno innalzare i loro standard di protezione, favorendo l’armonizzazione delle pratiche di sicurezza a livello europeo.