DORA: cosa cambia davvero per banche, pagamenti digitali e sicurezza dei nostri soldi
Nel Supplemento Ordinario della Gazzetta del 18 febbraio 2026 è stato pubblicato un aggiornamento delle disposizioni di vigilanza della Banca d’Italia per recepire il regolamento europeo Regolamento (UE) 2022/2554, noto come DORA (Digital Operational Resilience Act).
Può sembrare un tema tecnico, ma in realtà riguarda tutti noi.
Parla di sicurezza informatica delle banche, dei pagamenti digitali, delle carte, dei bonifici, delle app bancarie.
In parole semplici: serve a evitare che un attacco informatico blocchi i nostri soldi.
Che cos’è davvero DORA?
DORA è una legge europea che impone a:
-
banche
-
istituti di pagamento
-
società di carte di credito
-
fintech
-
assicurazioni
-
fornitori tecnologici delle banche
di essere preparati a resistere a cyber-attacchi, blackout informatici e guasti digitali.
Il concetto chiave è resilienza digitale.
Significa:
non solo prevenire gli attacchi, ma essere in grado di continuare a funzionare anche durante un attacco.
Cosa succede se una banca subisce un cyber-attacco?
Immaginiamo un attacco ransomware (virus che blocca i sistemi chiedendo un riscatto).
Senza adeguate misure potrebbero verificarsi:
-
blocco dei bonifici
-
impossibilità di usare carte e bancomat
-
impossibilità di accedere all’home banking
-
ritardi negli stipendi
-
problemi nei pagamenti delle imprese
Con DORA, invece, le banche devono:
-
avere sistemi di backup separati
-
poter ripristinare i servizi in tempi molto rapidi
-
comunicare immediatamente l’incidente alle autorità
-
avere piani di emergenza testati in anticipo
In pratica: non si improvvisa più la gestione delle crisi informatiche.
I nuovi obblighi per banche e istituti di pagamento
DORA introduce obblighi molto concreti.
1️⃣ Gestione del rischio ICT
ICT significa Information and Communication Technology, cioè tutti i sistemi informatici.
Le banche devono:
-
mappare tutti i rischi digitali
-
sapere dove sono i dati
-
sapere chi ha accesso ai sistemi
-
controllare costantemente le vulnerabilità
Non basta avere un antivirus.
2️⃣ Test obbligatori di sicurezza
Le banche devono effettuare:
-
simulazioni di attacchi informatici
-
test di penetrazione (hacker “etici” che provano a entrare nei sistemi)
-
verifiche periodiche indipendenti
È come fare prove di evacuazione antincendio, ma nel mondo digitale.
3️⃣ Segnalazione immediata degli incidenti
Se c’è un attacco importante:
-
la banca deve informare rapidamente le autorità
-
devono essere attivati protocolli precisi
-
deve essere garantita trasparenza
Prima ogni Paese aveva regole diverse.
Ora il sistema è armonizzato a livello europeo.
Cosa cambia per i fornitori tecnologici?
Questa è una delle novità più importanti.
Molte banche oggi usano:
-
servizi cloud
-
società di software
-
data center esterni
-
piattaforme di pagamento esterne
Con DORA, anche questi fornitori diventano soggetti a controllo.
La responsabilità non può più essere scaricata dicendo:
“È colpa del fornitore cloud”.
Le banche devono:
-
valutare i rischi dei fornitori
-
inserire clausole contrattuali precise
-
garantire accesso ai controlli
-
prevedere piani di uscita (exit strategy)
In altre parole:
se il fornitore cade, la banca non deve cadere con lui.
Quanto costa adeguarsi?
Adeguarsi a DORA comporta:
-
investimenti in cybersecurity
-
aggiornamento infrastrutture IT
-
nuove figure professionali
-
audit e controlli periodici
-
consulenze specialistiche
Per le grandi banche il costo è rilevante ma sostenibile.
Per piccoli istituti di pagamento o fintech può essere più impegnativo.
Tuttavia, il costo di non adeguarsi potrebbe essere molto più alto:
-
perdita di fiducia
-
danni reputazionali
-
sanzioni
-
blocco operativo
Perché è un tema di sicurezza economica nazionale?
Oggi l’economia è digitale.
Se il sistema bancario si blocca:
-
le imprese non pagano fornitori
-
gli stipendi si fermano
-
i mercati si agitano
-
la fiducia crolla
Un attacco informatico sistemico può avere effetti simili a una crisi finanziaria.
DORA è quindi uno strumento di stabilità economica.
Cosa cambia per il cittadino?
Nel quotidiano, probabilmente nulla di visibile.
Ma in caso di incidente:
-
meno rischio di blocchi prolungati
-
maggiore tutela dei servizi essenziali
-
maggiore trasparenza
È una protezione “invisibile”, ma fondamentale.
FAQ – Domande frequenti
DORA protegge i miei soldi da una truffa online?
Non direttamente.
DORA riguarda la sicurezza dei sistemi delle banche, non le truffe individuali.
Per le truffe restano valide le norme su frodi e rimborsi.
Se una banca viene hackerata, perdo i soldi?
Di norma no.
I depositi sono garantiti fino a 100.000 euro dal Fondo Interbancario di Tutela dei Depositi.
DORA serve proprio a evitare che si arrivi a situazioni critiche.
Vale solo per le banche?
No.
Vale anche per:
-
istituti di pagamento
-
moneta elettronica
-
fintech
-
assicurazioni
Le piccole fintech rischiano di chiudere?
Non necessariamente.
Dovranno adeguarsi, ma il regolamento prevede proporzionalità:
gli obblighi sono calibrati sulla dimensione e sul rischio.
È una legge italiana?
No.
È un regolamento europeo, quindi si applica direttamente in tutti i Paesi dell’Unione.
Temi collegati e utili da conoscere
Se questo argomento ti interessa, sono collegati:
-
PSD2 e sicurezza dei pagamenti digitali
-
NIS2 (direttiva europea sulla sicurezza delle reti)
-
Protezione dei dati personali (GDPR)
-
Continuità operativa nelle infrastrutture critiche
-
Cybersecurity nazionale e Agenzia per la Cybersicurezza
Conclusione
DORA non è solo una norma tecnica.
È una risposta europea alla crescente minaccia cyber.
Riconosce che oggi il sistema finanziario è digitale e che la sua sicurezza è parte integrante della sicurezza economica del Paese.
In un mondo dove un attacco informatico può bloccare pagamenti, stipendi e risparmi, la resilienza digitale non è più un’opzione: è una necessità.