DORA: le Autorità europee pubblicano il primo rapporto sugli incidenti ICT rilevanti nel settore finanziario
Le tre Autorità europee di vigilanza – l’Autorità Bancaria Europea (EBA), l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) e l’Autorità europea degli strumenti finanziari e dei mercati (ESMA) – hanno pubblicato il primo rapporto annuale sugli incidenti ICT rilevanti segnalati dagli operatori finanziari nell’ambito del Regolamento DORA (Digital Operational Resilience Act).
Il rapporto fornisce una prima fotografia dei rischi digitali che interessano il sistema finanziario europeo e conferma come le minacce ICT assumano una dimensione sempre più transfrontaliera e interconnessa. L’analisi si basa sul nuovo sistema armonizzato di segnalazione introdotto da DORA, che consente alle Autorità competenti di monitorare gli incidenti rilevanti e di coordinare più efficacemente le attività di supervisione e risposta.
Secondo i dati pubblicati, nel corso del 2025 sono stati segnalati 3.383 incidenti ICT rilevanti, dei quali circa un terzo ha prodotto effetti in più Stati membri, evidenziando il crescente livello di dipendenza del settore finanziario da infrastrutture, servizi e fornitori tecnologici condivisi. Nonostante il numero elevato di eventi registrati, l’impatto diretto su clienti e transazioni è risultato generalmente contenuto.
Il rapporto evidenzia inoltre che le principali cause degli incidenti sono riconducibili a malfunzionamenti dei sistemi e ad eventi esterni, rafforzando l’esigenza di una gestione più efficace dei rischi legati ai fornitori terzi ICT e ai processi di esternalizzazione. Gli episodi direttamente collegati alla cybersicurezza rappresentano circa il 10% del totale, ma le Autorità richiamano l’attenzione sulla necessità di mantenere elevati standard di sicurezza informatica, anche alla luce della crescente diffusione di strumenti basati sull’intelligenza artificiale che potrebbero essere sfruttati per finalità offensive.
Le conclusioni del rapporto confermano la crescente rilevanza del rischio ICT quale rischio sistemico per il settore finanziario europeo e sottolineano l’importanza di rafforzare i presidi di resilienza operativa digitale previsti dal Regolamento DORA. In tale contesto, assumono particolare rilievo la gestione dei rischi tecnologici, la supervisione dei fornitori critici di servizi ICT, la tempestiva segnalazione degli incidenti e il coordinamento tra Autorità nazionali ed europee.
Per banche, intermediari finanziari, imprese di assicurazione, prestatori di servizi di pagamento e altri soggetti rientranti nell’ambito di applicazione di DORA, il rapporto costituisce un importante riferimento per l’evoluzione delle strategie di resilienza digitale, dei controlli interni e dei sistemi di gestione del rischio ICT, in un contesto caratterizzato da una crescente esposizione a minacce tecnologiche e operative di natura transnazionale.