Chi deve adeguarsi a DORA: soggetti obbligati, casi limite e fornitori ICT
Risposta rapida
Devono verificare l’adeguamento DORA le entità finanziarie rientranti nel perimetro del Regolamento, tra cui banche, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, gestori, assicurazioni, intermediari, infrastrutture di mercato e altri soggetti indicati dal testo. Anche i fornitori ICT non sempre sono direttamente obbligati come entità finanziarie, ma diventano centrali perché l’entità cliente deve censirli, valutarli, contrattualizzarli e monitorarli. I fornitori ICT critici possono inoltre ricadere nel regime europeo di oversight.
Perimetro, cinque pilastri, gap analysis e report audit-ready.
Perché questo tema è importante
La prima domanda operativa non è “quali documenti servono?”, ma “siamo nel perimetro e con quale livello di obblighi?”. Un errore di scoping può produrre due danni opposti: sottovalutare obblighi applicabili o investire risorse in controlli non proporzionati. Nel settore finanziario, gruppi societari, outsourcing, fintech, intermediari, società di servizi, provider tecnologici e partnership commerciali possono creare situazioni ibride.
Il perimetro DORA deve quindi essere analizzato su due piani. Il primo è il soggetto: che tipo di entità è, quale autorizzazione o vigilanza ha, quali servizi presta. Il secondo è la funzione digitale: quali servizi ICT supportano funzioni critiche o importanti, quali fornitori sono coinvolti e quali rischi derivano dalla catena tecnologica.
Quadro normativo e fonti ufficiali
L’articolo 2 del Regolamento DORA definisce l’ambito soggettivo, includendo numerose categorie di entità finanziarie. Le ESA e l’EIOPA ricordano che DORA si applica a 20 tipi di entità finanziarie e ai fornitori ICT terzi nei termini previsti dal regolamento. Il regime dei fornitori ICT critici è oggetto di oversight europeo coordinato dalle ESA, mentre l’entità finanziaria mantiene obblighi di gestione del rischio e controllo dei propri accordi contrattuali ICT.
Cosa significa per l'azienda
Per l’azienda, la verifica del perimetro deve produrre una decisione documentata. Non basta una risposta verbale del tipo “siamo una fintech, quindi sì” o “siamo solo un fornitore, quindi no”. Occorre classificare il soggetto, individuare autorità competente, servizi prestati, gruppo di appartenenza, funzioni supportate, contratti ICT e possibili obblighi indiretti.
Per i fornitori ICT, la questione commerciale è altrettanto importante. Anche quando un fornitore non è direttamente vigilato come entità finanziaria, i clienti soggetti a DORA gli chiederanno evidenze, clausole, livelli di servizio, informazioni su subfornitori, test, incidenti e continuità. Prepararsi significa diventare più credibili nella supply chain finanziaria.
Cosa deve fare concretamente l'organizzazione
- Classificare il soggetto giuridico: verificare autorizzazioni, attività, vigilanza, gruppo e servizi prestati.
- Confrontare la categoria con l’articolo 2 DORA: identificare se l’entità rientra direttamente nel perimetro.
- Valutare esclusioni e proporzionalità: alcuni soggetti possono avere regimi specifici o semplificazioni; la valutazione dipende dal caso concreto.
- Mappare i servizi ICT: anche per soggetti obbligati, il perimetro operativo passa da sistemi, fornitori e funzioni supportate.
- Verificare ruolo da fornitore ICT: se l’azienda serve clienti finanziari, preparare evidenze e contratti coerenti con richieste DORA.
- Documentare la conclusione: conservare analisi, fonti, decisione e data di revisione.
Esempio pratico
Una software house italiana sviluppa una piattaforma usata da istituti di pagamento per onboarding clienti. La software house non è automaticamente una banca o un istituto finanziario, ma i clienti soggetti a DORA la considerano fornitore ICT rilevante. In fase di rinnovo contrattuale le vengono richieste informazioni su sicurezza, subfornitori, localizzazione dati, business continuity, incident management e audit rights.
La software house non deve limitarsi a dire “DORA non si applica a noi”. Deve costruire un pacchetto di evidenze coerente per i clienti finanziari, perché la sua capacità di risposta diventa parte della compliance dei clienti.
Errori comuni da evitare
- Valutare il perimetro solo in base al codice ATECO o alla descrizione commerciale.
- Ignorare gruppi, controllate, outsourcing e ruoli multipli.
- Dimenticare che i fornitori ICT possono essere coinvolti indirettamente anche senza essere entità finanziarie.
- Non documentare l’analisi di scoping.
- Applicare la stessa intensità di controlli a servizi ICT marginali e servizi critici.
Come GAPOFF aiuta
GAPOFF può essere usato per documentare lo scoping DORA, creare workspace per entità o clienti, collegare fornitori e servizi ICT, e mantenere evidenze del processo decisionale. Per un consulente, la piattaforma permette di gestire più clienti con perimetri distinti. Per un fornitore ICT, il Trust Center e Vendor Risk aiutano a preparare evidenze da condividere con clienti finanziari.
Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.
Scopri il modulo DORA →Checklist operativa
- Categoria soggettiva verificata.
- Autorità competente individuata.
- Eventuali regimi specifici o semplificati valutati.
- Servizi ICT e funzioni supportate mappati.
- Ruolo come fornitore ICT verso clienti finanziari verificato.
- Analisi di scoping documentata e approvata.
- Data di revisione pianificata.
- Evidenze disponibili per audit o clienti.
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →
FAQ
Tutte le aziende ICT devono adeguarsi a DORA?
Non tutte sono direttamente soggette come entità finanziarie, ma molte saranno coinvolte come fornitori ICT di clienti finanziari.
Come capisco se la mia azienda rientra nel perimetro?
Serve una verifica su attività autorizzata, categoria regolamentare, servizi prestati, gruppo e ruolo nella catena finanziaria.
I fornitori ICT critici sono vigilati direttamente?
DORA prevede un framework europeo di oversight per i critical ICT third-party providers designati. La designazione dipende dai criteri ufficiali e dal processo delle ESA.
Un consulente può usare GAPOFF per più clienti DORA?
Sì, la logica multi-tenant e i workspace separati sono utili per gestire scoping, gap analysis, evidenze e report per clienti diversi.
Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.
Vai al modulo DORA →Fonti ufficiali e riferimenti
- EUR-Lex - Regolamento (UE) 2022/2554 DORA
- EBA - Digital Operational Resilience Act
- EIOPA - Digital Operational Resilience Act DORA
- ESMA - Digital Operational Resilience Act DORA
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.
FAQ
Tutte le aziende ICT devono adeguarsi a DORA?
Non tutte sono direttamente soggette come entità finanziarie, ma molte saranno coinvolte come fornitori ICT di clienti finanziari.
Come capisco se la mia azienda rientra nel perimetro?
Serve una verifica su attività autorizzata, categoria regolamentare, servizi prestati, gruppo e ruolo nella catena finanziaria.
I fornitori ICT critici sono vigilati direttamente?
DORA prevede un framework europeo di oversight per i critical ICT third-party providers designati. La designazione dipende dai criteri ufficiali e dal processo delle ESA.
Un consulente può usare GAPOFF per più clienti DORA?
Sì, la logica multi-tenant e i workspace separati sono utili per gestire scoping, gap analysis, evidenze e report per clienti diversi.
Ultima revisione: 2026-05-19.