Gestione degli incidenti ICT: i 6 criteri di classificazione e le soglie di rilevanza previste dal Regolamento DORA

La crescente digitalizzazione del settore finanziario ha reso indispensabile un approccio strutturato alla gestione del rischio informatico. Il Regolamento (UE) 2022/2554, noto come DORA (Digital Operational Resilience Act), entrato in vigore il 17 gennaio 2025, introduce un insieme di norme armonizzate per garantire la resilienza operativa digitale delle entità finanziarie. Una delle novità più rilevanti riguarda l’obbligo di classificare e notificare gli incidenti ICT significativi sulla base di sei criteri ben definiti, accompagnati da soglie di rilevanza specifiche.

Il contesto normativo: cosa prevede il Regolamento DORA

Il Regolamento DORA impone alle istituzioni finanziarie l’adozione di misure per prevenire, rilevare, contenere, recuperare e segnalare gli incidenti ICT, ponendo particolare enfasi sulla tempestività e sull’accuratezza della comunicazione verso le autorità competenti. L’articolo 18 del Regolamento stabilisce che gli incidenti ICT devono essere classificati sulla base di criteri oggettivi, successivamente dettagliati negli RTS (Regulatory Technical Standards) adottati dalla Commissione Europea a giugno 2024. Tali criteri consentono di determinare in modo coerente la gravità degli incidenti e guidano il processo di segnalazione obbligatoria.

I sei criteri di classificazione degli incidenti ICT

Di seguito si riportano i sei criteri fondamentali per la classificazione degli incidenti ICT, accompagnati dalle relative soglie indicative previste dalla normativa.

  1. Impatto su clienti, controparti e transazioni

Questo criterio valuta il numero o la percentuale di clienti, controparti e transazioni impattati dall’incidente. Un incidente è considerato rilevante se:

  • Coinvolge più del 10% della clientela attiva giornaliera.
  • Ha un impatto diretto su oltre 100.000 clienti.
  • Riguarda almeno il 10% delle transazioni eseguite nella giornata.

Questo parametro permette di quantificare l’entità dell’interruzione operativa in termini di scala e diffusione tra gli utenti finali.

  1. Perdita di dati

Qualsiasi compromissione dell’integrità, disponibilità, riservatezza o autenticità dei dati viene considerata un indicatore di incidente rilevante. Le soglie sono particolarmente basse per questo criterio: anche una sola violazione dei dati sensibili o personali può comportare la classificazione dell’incidente come grave. Il regolatore presta particolare attenzione agli impatti su dati finanziari e identificativi, soprattutto in relazione alle norme GDPR.

  1. Impatto reputazionale

Un incidente ICT può avere conseguenze significative sulla reputazione dell’ente. Vengono presi in considerazione elementi come:

  • Notizie apparse su media nazionali o internazionali.
  • Coinvolgimento dell’autorità di vigilanza in seguito a un allarme pubblico.
  • Reazioni negative dei clienti o calo della fiducia nel servizio.

La percezione esterna dell’incidente può amplificare gli effetti dannosi anche in assenza di impatti tecnici prolungati.

  1. Durata e interruzione del servizio

Un parametro fondamentale riguarda la durata dell’incidente e il tempo di indisponibilità dei servizi. In particolare, la normativa stabilisce che:

  • Un’interruzione superiore alle 24 ore è da considerarsi significativa.
  • Nei casi di servizi critici, anche un downtime superiore a 2 ore può rappresentare una soglia rilevante.

Il criterio si applica sia a servizi offerti al pubblico, sia a processi interni di back office che influenzano la continuità operativa.

  1. Estensione geografica

Un incidente che colpisce sistemi, utenti o processi distribuiti su almeno due Stati membri dell’Unione Europea viene automaticamente considerato significativo. Questo criterio risponde all’esigenza di valutare l’impatto in un contesto transfrontaliero, particolarmente rilevante per gruppi bancari, assicurativi o fintech che operano a livello internazionale.

  1. Perdita economica

Il danno economico diretto e indiretto costituisce un ulteriore indicatore di gravità. Un incidente è rilevante se genera costi o perdite superiori a 100.000 euro. La valutazione comprende:

  • Perdite operative.
  • Spese per il ripristino dei servizi.
  • Impatti legali e sanzioni.

Inoltre, le perdite devono essere contabilizzate in modo tempestivo per garantire una corretta comunicazione verso le autorità.

La classificazione degli incidenti gravi

Un incidente ICT viene classificato come grave se soddisfa almeno una delle seguenti condizioni:

  • Coinvolge un servizio critico e raggiunge una delle soglie primarie stabilite nei criteri sopra elencati.
  • Soddisfa almeno due dei sei criteri previsti, anche se individualmente non raggiungono le soglie di rilevanza.

È prevista inoltre la possibilità di considerare incidenti ricorrenti come gravi, qualora si verifichino almeno due episodi con la stessa causa o impatto nello stesso semestre. Questo approccio tiene conto della persistenza del rischio e della capacità dell’ente di gestirlo in modo efficace.

Tempistiche e obblighi di segnalazione

Il Regolamento DORA definisce chiaramente le tempistiche per la segnalazione degli incidenti ICT gravi:

  • Segnalazione iniziale: entro 4 ore dalla classificazione dell’incidente, e comunque non oltre 24 ore dalla sua identificazione.
  • Relazione intermedia: entro 72 ore dalla prima notifica, per aggiornare le informazioni disponibili.
  • Relazione finale: da presentare entro un mese dalla risoluzione dell’incidente, contenente l’analisi delle cause, l’impatto finale e le misure correttive adottate.

Tutti i report devono essere trasmessi tramite i canali indicati dalle autorità di vigilanza competenti, in formato standardizzato secondo quanto previsto dagli ITS (Implementing Technical Standards).

Conclusioni

Il sistema introdotto dal Regolamento DORA rappresenta un punto di svolta nella gestione del rischio ICT per il settore finanziario europeo. I sei criteri di classificazione degli incidenti, combinati con soglie di rilevanza misurabili, permettono di garantire una gestione coerente, trasparente ed efficace degli eventi informatici significativi. Le organizzazioni devono dotarsi di strumenti e procedure adeguate per garantire il rispetto delle nuove disposizioni normative, rafforzando al contempo la propria resilienza operativa digitale.

Sconto oneri 100%

RC Professionale

Garantisci il tuo patrimonio da richieste di risarcimento per danni che possono essere causati a terzi durante lo svolgimento della tua attività.

A partire da

140€
Calcola preventivo
Promozione –10%

Assicurazione Impresa

Tutela la tua attività dai possibili danni all’immobile e da tutti i danni che potrebbero essere involontariamente causati a terzi o ai dipendenti.

Calcola preventivo

Cyber Risk

Proteggi la tua attività e la continuità del tuo lavoro dai crescenti attacchi e crimini informatici. Assistenza e Pronto intervento inclusi.

Calcola preventivo