Blog

Il registro di informazioni secondo il Regolamento DORA: cos’è, perché è importante e come prepararsi

Che cosa è il “registro di informazioni” (Register of Information) nel contesto di DORA

Il Digital Operational Resilience Act (DORA), regolamento dell’Unione Europea pienamente applicabile dal 17 gennaio 2025, richiede alle entità finanziarie di mantenere un registro di informazioni dettagliato su tutti gli accordi contrattuali con fornitori ICT (Information and Communication Technology) terzi. eba.europa.eu+2afm.nl+2
Questo registro dovrà essere aggiornato regolarmente e presentato annualmente alle autorità di vigilanza nazionali, che a loro volta trasmetteranno i dati alle autorità europee competenti (EBA, EIOPA, ESMA). afm.nl+1

A cosa serve questo registro

Il registro di informazioni ha tre obiettivi fondamentali:

  1. Gestione del rischio ICT da parte delle entità finanziarie — Mappare tutti i contratti ICT con fornitori terzi consente alle istituzioni finanziarie di monitorare meglio i rischi operativi legati ai terzi. eba.europa.eu+1
  2. Supporto alla vigilanza delle autorità nazionali ed europee — Le autorità di vigilanza usano i registri per valutare come le entità finanziarie gestiscono il rischio ICT e per identificare eventuali fornitori critici. afm.nl+1
  3. Individuazione dei fornitori ICT critici (CTPP) — Le autorità europee (ESAs) usano le informazioni raccolte nei registri per designare quali terzi fornitori sono considerati “critici” e, quindi, soggetti a una sorveglianza più stringente. eba.europa.eu
Soluzione per il registro DORA
Contattaci

Che dati devono essere inclusi nel registro

Secondo le linee guida tecniche stabilite nel regolamento e dagli standard tecnici, il registro deve includere informazioni quali:

  • struttura organizzativa dell’entità finanziaria (entità, funzioni, relazioni) DORA REGISTER
  • dettagli dei fornitori ICT terzi (nomi, codici identificativi, contratti) DORA REGISTER
  • valore dei contratti e spese connessi DORA REGISTER
  • funzioni essenziali dell’azienda (quali attività dipendono da fornitori terzi) DORA REGISTER
  • soglie di rischio e tolleranza (quanto è “accettabile” il rischio per ciascun fornitore) DORA REGISTER

Inoltre, il formato del report richiesto per l’invio alle autorità è standardizzato: ad esempio la Banca d’Italia ha indicato che, nella prima applicazione, i registri devono essere inviati in formato CSV plain. bancaditalia.it
Le autorità nazionali possono sottoporre i dati inviati a controlli di qualità, chiedendo eventuali correzioni in caso di anomalie. bancaditalia.it

Sfide e implicazioni pratiche

Implementare un registro conforme a DORA non è banale:

  • Richiede la mappatura di tutti i contratti ICT: molte entità finanziarie hanno relazioni complesse con fornitori diversi, e non è sempre semplice raccogliere tutte le informazioni in un unico registro.
  • Serve un sistema di mantenimento aggiornato: il registro non è un adempimento “una tantum”, ma deve essere aggiornato su base continuativa. afm.nl
  • Il formato tecnico (CSV, tassonomie standard, codici identificativi) può essere complesso da gestire senza gli strumenti giusti. Secondo l’AFM (autorità olandese), non tutti i “converter” in XBRL/CSV sono compatibili; bisogna assicurarsi che il software rispetti la tassonomia EBA. afm.nl
  • A livello di gruppo (entità consolidate o sub-consolidate), è necessario decidere se mantenere registri separati per ogni entità o un registro “unificato” che copra l’intero gruppo. afm.nl

Benefici strategici

Nonostante la complessità, il registro di informazioni DORA rappresenta un’opportunità, non solo un obbligo:

  • Le entità potranno migliorare la governance del rischio ICT, grazie a una visione completa dei fornitori terzi e delle dipendenze critiche.
  • Un registro ben strutturato può aiutare a identificare fornitori di terze parti troppo rischiosi o contratti ridondanti, ottimizzando costi e mitigando rischi.
  • Le autorità di vigilanza, utilizzando questi dati, possono collaborare più efficacemente con il settore: la designazione dei fornitori critici renderà la supervisione più mirata, ma in cambio le imprese che gestiscono bene il rischio possono trarre vantaggio dalla maggiore trasparenza.

Come prepararsi concretamente

Per le entità finanziarie che devono conformarsi a DORA, ecco alcuni passi strategici consigliati:

  1. Effettuare un’analisi gap (gap analysis) — valutare quali dati sono già disponibili internamente e quali no, rispetto ai requisiti del registro.
  2. Stabilire una roadmap di raccolta dati, coinvolgendo le funzioni legali, IT, procurement e risk management.
  3. Scegliere strumenti adeguati: piattaforme che consentono di costruire il registro, mantenere l’integrità dei dati e generare report nel formato richiesto.
  4. Formazione interna: sensibilizzare i team interni (IT, compliance, finanza) sull’importanza del registro e su come compilare correttamente le informazioni.
  5. Simulazione (dry run): partecipare agli esercizi di dry run messi in atto dalle autorità di vigilanza (alcune autorità nazionali l’hanno già organizzato) per testare il processo prima dell’invio ufficiale. eba.europa.eu
  6. Stabilire processi di controllo della qualità: prima dell’invio definitivo, verificare e validare i dati per evitare errori che potrebbero richiedere la risottomissione.

Conclusione

Il registro di informazioni previsto da DORA è uno degli elementi chiave della nuova normativa europea sulla resilienza operativa digitale. Non è solo un vincolo regolatorio, ma può diventare uno strumento strategico per gestire i rischi ICT, migliorare la governance interna e rafforzare la fiducia con le autorità di vigilanza.

Affrontare oggi questo obbligo significa non solo ottemperare a un requisito normativo, ma prepararsi in modo proattivo a un futuro in cui la resilienza digitale sarà sempre più centrale nel settore finanziario.