Parte Dora. L’AI come acceleratore per una compliance totale

Articolo a cura di Andrea Tesei, Ceo e co-founder di Aptus.AI.

Sono oltre 20 mila le società dei Financial Services in Europa che il 17 gennaio 2025 che da oggi dovranno essere totalmente adeguate al Digital Operational Resilience Act (Dora). Il mercato ha faticato nell’adeguamento perché, come emerso da alcune survey condotte lo scorso anno. Nonostante l’impegno di tutte le organizzazioni a comprendere i requisiti della legislazione, nella seconda metà del 2024 meno di un terzo del totale analizzato era pronto all’adeguamento entro la scadenza, e alla chiusura dell’anno la situazione si presentava ancora complessa per molti. Il rischio del non adeguamento è rimanere esclusi da ecosistemi digitali sempre più sfidanti.

Enti creditizi e istituti di pagamento fino a istituti di moneta elettronica, fornitori di servizi per le criptovalute, gestori di fondi di investimento alternativi e Sgr, per ricordarne alcuni – si sono dovuti misurare su diverse incertezze, come ad esempio, sugli ambiti di applicazione; in alcuni casi dovendo incrementare le risorse destinate all’implementazione di Dora.

Il Digital Operational Resilience Act (Dora) non impone obblighi unicamente alle istituzioni finanziarie, ma estende la propria portata anche ai fornitori di servizi che collaborano con queste istituzioni. Sebbene l’attenzione si concentri principalmente sulle strutture interne di compliance e cyber-resilienza degli enti finanziari, molte delle disposizioni normative si riflettono anche sui fornitori di servizi esterni, coinvolgendo provider IT, consulenti e terze parti di supporto operativo. Questi operatori devono garantire che i loro servizi siano conformi agli standard richiesti da Dora, il che implica una revisione di policy, infrastrutture e protocolli di gestione dei rischi digitali, con conseguente aumento dei costi per i fornitori per adeguarsi alle norme, che probabilmente si rifletterà nel pricing dei loro servizi. Ad esempio, per mantenere la conformità con Dora, molti provider dovranno aggiornare i propri sistemi di monitoraggio e resilienza operativa, implementare misure di sicurezza informatica più avanzate e garantire la continuità operativa. Questi adeguamenti richiederanno nuovi investimenti in tecnologia, formazione e processi, che potrebbero incidere sensibilmente sui costi di erogazione dei servizi.

Per le istituzioni finanziarie, ciò si traduce in un ulteriore incremento delle spese di conformità, poiché i fornitori potrebbero trasferire parte dei costi di compliance sui loro clienti, che a loro volta dovranno far fronte a budget già fortemente condizionati dagli obblighi normativi. Questa dinamica rende più complessa la gestione dei costi di compliance, con effetti che si riverberano anche sulla pianificazione finanziaria e sulla competitività a lungo termine delle organizzazioni.

La necessità di rimanere conformi alle norme europee e locali, oltre a Dora, potrebbe portare a una pressione significativa sui budget destinati alla compliance, richiedendo una gestione finanziaria ancor più strategica e agile per rimanere competitivi nel contesto finanziario sempre più digitale e normativamente esigente.

I principali obblighi che la normativa introduce coinvolgendo l’intero ecosistema finanziario, e caricando di lavoro e responsabilità i dipartimenti di compliance delle organizzazioni sono – ad esempio per la governance e l’organizzazione interna, ma anche per la Cyber Security & Risk Management – la predisposizione di policy che garantiscano un controllo efficace e prudente dei rischi Ict per assicurare la continuità operativa, implementando sistemi e piani di ripristino. Ciò implica prevedere l’inserimento di figure professionali e strumenti idonei a rilevare vulnerabilità, minacce, incidenti e attacchi informatici e, di conseguenza, ad elaborare specifici piani di comunicazione verso i clienti. Si rende dunque indispensabile un sistema di segnalazione degli incidenti informatici, protocolli di information sharing sulle minacce informatiche, ma anche svolgere test di resilienza operativa digitale. Un elenco denso e non esaustivo di attività che gli operatori finanziari dovranno completare nei prossimi due mesi.

L’accento sull’impatto che tutto ciò ha sui dipartimenti compliance deriva dalle numerose interconnessioni che Dora ha con altre norme nel campo della Cyber Security, sia a livello europeo (Nis1, Nis2, MiFID II, Gdpr) che italiano (Psnc, la Circolare 285 della Banca d’Italia, il Regolamento Ivass). Appare dunque chiaro che tra le sfide più complesse c’è quella di identificare il delta tra gli obblighi introdotti dal Dora e le precedenti normative, così da valutare l’impatto reale che l’introduzione del Dora ha sulla propria organizzazione.

Risulta comprensibile la preoccupazione degli operatori ma è proprio qui che il ruolo dell’AI diventa cruciale esprimendo il massimo valore che può portare in termini di velocità ed efficientamento di processi e costi. Adottare piattaforme tecnologiche aiuta i soggetti coinvolti ad automatizzare i processi di adeguamento a Dora, abbattendo tempi e costi velocizzando l’analisi e l’individuazione degli impatti delle nuove norme, oltre a garantire la comprensione e la pianificazione delle attività di compliance necessarie per adeguarsi al quadro normativo europeo, ove possibile anche in anticipo.

Il caso Dora è esemplificativo di come le migliori soluzioni RegTech possano, all’aumentare della complessità normativa, essere sempre più decisive. Saranno davvero competitivi quei soggetti che riusciranno a sfruttare i vantaggi della tecnologia per farsi trovare pronti alle future sfide dell’ecosistema finanziario sempre più digital e data driven e, anche per questo, sempre più complesso.