come ottimizzare il recepimento della norma con l’AI

di Luca SIDOTI

Abstract

Il termine del 17 gennaio 2025 per adeguarsi al Regolamento (UE) 2022/2554 (Digital Operational Resilience Act) è ormai alle porte. Questa norma, il cosiddetto regolamento DORA (Digital Operational Resilience Act), è l’Atto sulla Resilienza Operativa Digitale emanato dall’Unione Europea e si configura come un aggiornamento normativo dall’enorme impatto sull’ecosistema finanziario europeo. 

Alla luce del contenuto del DORA e delle aree normative da esso coperte, proviamo ad analizzare i principali impatti che avrà sugli operatori finanziari europei e, vista la scadenza ormai imminente, quali siano gli strumenti tecnologici a disposizione dei dipartimenti di compliance di queste organizzazioni per ottimizzare i processi di adeguamento alle novità regolamentari.

Dalla Cyber Security al Risk Management: l’impatto del DORA sugli operatori finanziari

Il cosiddetto regolamento DORA (Digital Operational Resilience Act) è l’Atto sulla Resilienza Operativa Digitale, entrato in vigore all’interno dell’Unione Europea già il 17 gennaio 2023 e relativo alla resilienza operativa digitale per il settore finanziario. 

Si tratta del Regolamento (UE) 2022/2554 del 14 dicembre 2022, rispetto al quale gli operatori finanziari avranno tempo fino al 17 gennaio 2025 per adeguarsi. E gli operatori finanziari interessati sono davvero molti: si va dagli enti creditizi e gli istituti di pagamento, fino agli istituti di moneta elettronica, le imprese di investimento, i fornitori di servizi per le criptovalute, i depositari centrali di titoli, i gestori di fondi di investimento alternativi e le società di gestione. 

Ma il Regolamento DORA si estende alle imprese di assicurazione e di riassicurazione, agli intermediari assicurativi, riassicurativi e assicurativi a titolo accessorio, ai fornitori di servizi di tecnologie dell’informazione e della comunicazione (ICT) e a molte altre realtà del settore. Insomma, l’intero ecosistema finanziario dell’UE dovrà fare i conti con il DORA, caricando di lavoro e responsabilità i dipartimenti di compliance delle organizzazioni.

Le principali novità introdotte dal DORA, la normativa UE sulla Resilienza Operativa Digitale

Prima di scoprire come una piattaforma RegTech possa velocizzare e rendere più efficace l’adeguamento al DORA, è utile conoscere i principali obblighi che questo documento normativo introdurrà all’interno dell’UE, distinti in base all’area normativa di riferimento.

• Governance e organizzazione interna
  Predisporre policy interne che garantiscano un controllo efficace e prudente dei rischi ICT legati alla Cyber Security e che garantiscano la continuità operativa; implementare sistemi e piani di ripristino; prevedere al proprio interno figure professionali e strumenti idonei a rilevare vulnerabilità, minacce, incidenti e attacchi informatici; elaborare specifici piani di comunicazione verso i clienti.
• Cyber Security & Risk Management
  Adottare un quadro di gestione del Cyber Risk adeguato, tramite strumenti e sistemi ICT tali da ridurre al minimo l’impatto dei relativi rischi, con una visione end-to-end dei processi aziendali; prevedere e identificare rapidamente le fonti di rischio; adottare meccanismi per rilevare le attività anomale e implementare modalità di protezione e prevenzione adeguate; classificare le minacce informatiche e gli incidenti connessi ai fornitori ICT; creare un sistema di segnalazione degli incidenti informatici e prevedere protocolli di information sharing sulle minacce informatiche; svolgere test di resilienza operativa digitale; adottare un sistema di gestione dei rischi informatici derivanti da terzi.

Un elenco molto denso, ma comunque non esaustivo, di attività che dovranno essere completate dagli operatori finanziari entro i prossimi sei mesi. Senza dimenticare che il DORA presenta varie interconnessioni con altre norme nel campo della Cyber Security, sia a livello europeo (Direttiva NIS 1, Direttiva NIS 2, TIBER EU Framework, EBAGuidelines, MiFID II, GDPR, EIOPA Guidelines) che italiano (Perimetro di Sicurezza Nazionale Cibernetica – PSNC -, la Circolare 285 della Banca d’Italia, il Regolamento IVASS). 

Appare dunque chiaro che la sfida più complessa per gli operatori finanziari è quella di identificare il delta normativo tra gli obblighi introdotti dal DORA e gli adempimenti già svolti ai sensi delle normative emanate in precedenza, così da valutare l’impatto reale che l’introduzione del DORA ha sulla propria organizzazione.

Calcolare l’impatto del Regolamento DORA è semplice grazie all’AI

Affinché i team di compliance delle istituzioni finanziarie possano gestire l’adeguamento al DORA in maniera accurata e quanto più rapida possibile, sono indispensabili strumenti tecnologici all’altezza, considerando anche la complessità della norma in oggetto. 

In tal senso, il mercato RegTech offre piattaforme pensate per questo scopo che, grazie al formato machine-readable delle norme finanziarie, sono in grado di estrarre automaticamente i requisiti e gli obblighi normativi del DORA, tenendo anche conto dei processi e delle policy interne. Questa analisi automatica tramite l’Intelligenza Artificiale offre analisi di primo impatto rapide e accurate su ogni perimetro normativo, incluso quello della Cyber Security, in cui rientra il Regolamento DORA. 

In un contesto multi-regolatore e cross-country come quello dell’UE, queste piattaforme consentono alle organizzazioni di velocizzare l’individuazione degli impatti normativi per ottimizzare i processi di compliance per l’adeguamento alle novità regolamentari.

Come rendere rapido ed efficiente il recepimento del DORA?

Entrando più in dettaglio su come l’AI può ottimizzare i processi di compliance delle istituzioni finanziarie, un primo punto da sottolineare è la possibilità di analizzare i documenti normativi prima della loro pubblicazione ufficiale. 

Questa funzione consente di prepararsi in anticipo ai futuri aggiornamenti del DORA e ai nuovi documenti che l’UE emanerà nel settore della Cyber Security, così da poter pianificare le attività di compliance necessarie per adeguarsi al quadro normativo europeo in questo ambito.

Inoltre, tramita la ricerca avanzata, sia interna che esterna al testo normativo del DORA, è possibile identificare immediatamente gli obblighi introdotti, le possibili sanzioni e tutte le informazioni utili per il recepimento della norma, evidenziate in modo diverso.

Infine, il servizio di Generative AI rende la consultazione del DORA ancora più intuitiva, rapida ed efficace, tramite la possibilità di interrogare le norme in linguaggio naturale.

Intervento di Luca SIDOTI, Giornalista esperto di Intelligenza Artificiale e Media Planner, Aptus.AI

Aptus.AI è la startup italiana che rende la legge digitalmente accessibile, automatizza l’analisi normativa e ottimizza i processi di compliance per il settore finanziario.

Il software RegTech di Aptus.AI presenta una serie di funzioni uniche per i team compliance e, grazie al suo formato proprietario e brevettato machine-readable, consente sia di ricevere istantaneamente le informazioni legali di interesse con una chat di Generative AI sia di ottenere analisi di impatto automatiche, per poter prendere decisioni strategiche proattive.