La resilienza operativa digitale nel DORA: il ruolo strategico e le responsabilità dell’organo di gestione.

Nel quadro delle iniziative di formazione avanzata dedicate alla resilienza digitale nel settore bancario, l’Avv. Alessandro Del Ninno ha tenuto un corso intensivo di quattro ore rivolto al management italiano e cinese di Bank of China, interamente curato e svolto dal docente, con un taglio altamente specialistico e operativo.

La lezione è stata dedicata al Regolamento (UE) 2022/2554 sulla resilienza operativa digitale (DORA) ed è stata impostata attorno al ruolo centrale dell’organo di gestione nella governance dei rischi ICT e cyber. L’intervento ha offerto una lettura sistematica del nuovo principio di piena e primaria responsabilità del management body introdotto dal DORA, chiarendo come il Consiglio di Amministrazione sia chiamato a diventare il fulcro decisionale e di controllo dell’intero framework di gestione del rischio informatico, dalla definizione delle strategie fino alla supervisione operativa e contrattuale.

Ampio spazio è stato riservato all’analisi delle fonti normative di primo e secondo livello che compongono l’architettura regolatoria del DORA, incluse le numerose Regulatory Technical Standards e Implementing Technical Standards adottate dalla Commissione europea tra il 2024 e il 2025. In tale contesto, l’Avv. Del Ninno ha illustrato in modo strutturato gli obblighi relativi alla gestione dei rischi ICT, alla classificazione e notifica degli incidenti, ai test di resilienza operativa – inclusi i threat-led penetration tests – e alla disciplina dei rapporti con i fornitori terzi di servizi ICT, con particolare attenzione ai profili di concentrazione del rischio e alla nozione di fornitori critici.

La formazione ha inoltre approfondito l’impatto del DORA sui processi organizzativi interni, evidenziando la necessità di introdurre nuovi ruoli, funzioni e registri obbligatori, nonché di rafforzare i presìdi di controllo, audit e crisis management. Un focus specifico è stato dedicato alle politiche contrattuali in materia di outsourcing ICT, alle attività di due diligence precontrattuale e alla riscrittura delle clausole contrattuali in linea con i nuovi requisiti europei, inclusi i diritti di audit, accesso e ispezione da parte delle autorità di vigilanza.

Particolare rilievo ha assunto anche il tema della proporzionalità, analizzato come criterio di modulazione degli obblighi senza attenuazione delle responsabilità, e il ruolo strategico della formazione continua del management e del personale quale elemento essenziale della resilienza operativa digitale. La lezione ha infine affrontato il coordinamento tra il DORA e la normativa nazionale di recepimento, illustrando il nuovo regime sanzionatorio e le possibili responsabilità dirette dei membri degli organi di amministrazione.

L’intervento si è caratterizzato per un approccio fortemente internazionale e manageriale, capace di coniugare rigore giuridico, visione strategica e concretezza operativa, offrendo al top management di Bank of China una chiave di lettura avanzata delle trasformazioni normative e organizzative imposte dal nuovo paradigma europeo della cyber resilience nel settore finanziario.