Statistiche sulla Conformità DORA 2026: Oltre 60 Dati su Ambito, Preparazione e Applicazione
Il Digital Operational Resilience Act (DORA) è diventato pienamente applicabile il 17 gennaio 2025, rappresentando una delle tappe normative più significative per il settore finanziario europeo. DORA richiede a più di 22.000 entità finanziarie e ai loro fornitori di servizi ICT di rispettare standard rigorosi in materia di gestione del rischio ICT, segnalazione degli incidenti, test di resilienza e gestione del rischio di terze parti.
Questa pagina raccoglie statistiche verificate sull'ambito di applicazione di DORA, il livello di preparazione alla conformità, il quadro sanzionatorio, la supervisione dei fornitori ICT terzi, le minacce informatiche che colpiscono il settore finanziario e i costi di implementazione. Ogni dato è tratto da autorità di vigilanza ufficiali dell'UE, organismi di regolamentazione e report di settore verificati.
Ambito di Applicazione e Portata di DORA
DORA si applica a 21 tipi di entità finanziarie e ai loro fornitori di servizi ICT terzi. A differenza di molte normative finanziarie che si concentrano esclusivamente sulle banche, DORA copre l'intero spettro del settore finanziario dell'UE.
| Dato | Fonte |
|---|---|
| Più di 22.000 entità finanziarie e fornitori di servizi ICT rientrano nell'ambito di DORA in tutta l'UE | Palo Alto Networks; PwC |
| 21 tipi di entità finanziarie sono coperti dall'articolo 2 di DORA | ESMA DORA Overview |
Entità Finanziarie nell'Ambito di Applicazione
DORA si applica a enti creditizi (banche), istituti di pagamento, istituti di moneta elettronica, imprese di investimento, prestatori di servizi per le cripto-attività (CASP), depositari centrali di titoli (CSD), controparti centrali (CCP), sedi di negoziazione, repertori di dati sulle negoziazioni, gestori di fondi di investimento alternativi (GEFIA), società di gestione di OICVM, imprese di assicurazione e riassicurazione, intermediari assicurativi e riassicurativi, enti pensionistici aziendali o professionali, agenzie di rating del credito, revisori legali e società di revisione, amministratori di indici di riferimento critici, fornitori di servizi di crowdfunding, repertori per le cartolarizzazioni e fornitori di servizi di comunicazione dati.
Fonte: LegalNodes DORA Compliance Guide
Livello di Preparazione alla Conformità DORA
Indagini provenienti da molteplici fonti delineano un quadro chiaro: il settore finanziario ha faticato a raggiungere la piena conformità DORA entro la scadenza di gennaio 2025.
Indagine McKinsey (marzo 2024, 18 dirigenti di importanti istituzioni finanziarie dell'UE)
| Dato | Fonte |
|---|---|
| Solo circa un terzo delle istituzioni finanziarie ha espresso fiducia nel poter soddisfare tutti i requisiti DORA entro gennaio 2025 | McKinsey - "Europe's new resilience regime" (giugno 2024) |
| Il 70% ha dichiarato che la conformità DORA avrebbe comportato costi operativi permanentemente più elevati per la tecnologia | McKinsey (giugno 2024) |
| In circa il 50% delle istituzioni, l'organizzazione IT guida l'implementazione di DORA | McKinsey (giugno 2024) |
Indagine CSSF Lussemburgo (agosto/settembre 2024, ~500 entità)
| Dato | Fonte |
|---|---|
| Il 90% aveva completato la propria analisi dei gap DORA | CSSF - Results of DORA readiness survey (ottobre 2024) |
| Più di due terzi (~67%) si consideravano "parzialmente pronti" | CSSF (ottobre 2024) |
| Quasi un quarto (~25%) si considerava "quasi pronto" | CSSF (ottobre 2024) |
| Solo 1 entità si percepiva come pienamente pronta | CSSF (ottobre 2024) |
Indagine IDC (maggio 2024)
| Dato | Fonte |
|---|---|
| Il 49% dei rispondenti: "Siamo a conoscenza di DORA ma non abbiamo ancora avviato lavori esplorativi" | IDC - "Final Countdown to DORA" |
| Il 14% ha ammesso: "Non siamo a conoscenza di DORA" | IDC - "Final Countdown to DORA" |
Indagine Europea Deloitte (inizio 2025, in 28 paesi europei)
| Dato | Fonte |
|---|---|
| Solo il 25% delle entità si sente conforme al Pilastro I (Gestione del Rischio ICT) | Deloitte Luxembourg - DORA European Survey 2025 |
| Il 48% ha protocolli di gestione degli incidenti ICT pronti (Pilastro II) | Deloitte (2025) |
| Solo l'8% ha raggiunto la piena conformità sui Pilastri III e IV (Test e Rischio di Terze Parti) | Deloitte (2025) |
| Il 46% identifica il registro delle informazioni come il compito più impegnativo | Deloitte (2025) |
Costi della Conformità DORA
Il costo della conformità DORA varia significativamente in base alle dimensioni e alla complessità dell'entità. I grandi gruppi finanziari affrontano programmi da svariati milioni di euro, mentre i soli requisiti di test rappresentano una spesa continuativa significativa.
| Dato | Fonte |
|---|---|
| L'83% delle entità finanziarie dispone di una stima dei costi di conformità | Deloitte - DORA European Survey 2025 |
| Il 64% prevede di spendere EUR 2-5 milioni per la conformità DORA | Deloitte (2025) |
| Organico medio: 5-8 FTE per istituzione dedicati a DORA | Deloitte (2025) |
| Un grande gruppo finanziario ha riportato una spesa totale per il programma DORA di quasi EUR 100 milioni | Deloitte (2025) |
| I costi del Threat-Led Penetration Testing (TLPT) sono stimati allo 0,1%-0,3% del budget ICT totale | Compact.nl, citando le ESA |
Sanzioni e Applicazione di DORA
Il quadro sanzionatorio di DORA è definito a livello UE ma lascia ampia discrezionalità agli stati membri, con conseguenti implementazioni nazionali divergenti.
Quadro Sanzionatorio a Livello UE (Articolo 50 di DORA)
| Tipo di Sanzione | Massimo |
|---|---|
| Sanzioni per le entità finanziarie | Fino al 2% del fatturato annuo mondiale totale |
| Sanzioni per i singoli individui nelle entità finanziarie | Fino a EUR 1.000.000 |
| Sanzioni per i Fornitori ICT Terzi Critici (CTPP) | Fino a EUR 5.000.000 |
| Sanzioni per i singoli individui nei CTPP | Fino a EUR 500.000 |
| Penalità giornaliere per i CTPP (non conformità continuata) | Fino all'1% del fatturato giornaliero medio mondiale, per un massimo di 6 mesi |
Fonte: QuoIntelligence - DORA Explained
Divergenze Nazionali nell'Implementazione delle Sanzioni
Gli stati membri hanno implementato le disposizioni sanzionatorie di DORA con variazioni significative, come documentato da DLA Piper nell'ottobre 2025:
| Paese | Limite Basato sul Fatturato | Limite Assoluto (Entità) | Limite per Individui |
|---|---|---|---|
| Spagna | 5% del fatturato | - | - |
| Svezia | 10% del fatturato | - | - |
| Repubblica Ceca | - | EUR 2 milioni | - |
| Italia | - | EUR 20 milioni | - |
| Germania | - | - | EUR 5 milioni |
| Finlandia | - | - | EUR 100.000 |
Fonte: DLA Piper - "Divergence in administrative penalties under DORA" (ottobre 2025)
Ulteriori Poteri di Applicazione
Oltre alle sanzioni pecuniarie, le autorità di vigilanza hanno il potere di emettere comunicazioni pubbliche delle violazioni, ordini correttivi vincolanti, sospensione o limitazione delle attività commerciali e revoca dell'autorizzazione o delle licenze.
Fonte: BOC Group - DORA Compliance Penalties
Responsabilità Penale
L'articolo 52 di DORA consente agli stati membri di imporre sanzioni penali. I membri dei consigli di amministrazione possono essere soggetti a responsabilità civile personale e potenzialmente a responsabilità penale per grave negligenza nel garantire la resilienza operativa digitale.
Fonte: Avenga - Guide to DORA's Penalties
Fornitori ICT Terzi Critici (CTPP)
Il 18 novembre 2025, le Autorità Europee di Vigilanza hanno pubblicato il primo elenco in assoluto dei Fornitori ICT Terzi Critici ai sensi di DORA. Questi 19 fornitori sono ora soggetti alla supervisione diretta del Joint Oversight Forum.
I 19 Fornitori ICT Terzi Critici Designati
| # | Fornitore |
|---|---|
| 1 | Accenture plc |
| 2 | Amazon Web Services EMEA Sarl |
| 3 | Bloomberg L.P. |
| 4 | Capgemini SE |
| 5 | Colt Technology Services |
| 6 | Deutsche Telekom AG |
| 7 | Equinix (EMEA) B.V. |
| 8 | Fidelity National Information Services, Inc. (FIS) |
| 9 | Google Cloud EMEA Limited |
| 10 | International Business Machines Corporation (IBM) |
| 11 | InterXion HeadQuarters B.V. |
| 12 | Kyndryl Inc. |
| 13 | LSEG Data and Risk Limited |
| 14 | Microsoft Ireland Operations Limited |
| 15 | NTT DATA Inc. |
| 16 | Oracle Nederland B.V. |
| 17 | Orange SA |
| 18 | SAP SE |
| 19 | Tata Consultancy Services Limited |
Fonte: EIOPA press release (18 novembre 2025); PwC Legal analysis
Registro delle Informazioni
Tutte le entità finanziarie soggette a DORA devono mantenere un registro di tutti gli accordi contrattuali con fornitori di servizi ICT terzi. Data di riferimento: 31 marzo 2025. Le autorità nazionali hanno trasmesso i registri alle ESA entro il 30 aprile 2025 per l'analisi di designazione.
Fonte: EBA - ESAs announce timeline for CTPP designation
Segnalazione degli Incidenti ICT secondo DORA
DORA introduce uno dei quadri di segnalazione degli incidenti più rigorosi nella regolamentazione finanziaria, con tempistiche di segnalazione misurate in ore anziché in giorni.
Tempistiche di Segnalazione (Regolamento Delegato della Commissione 2025/302)
| Report | Scadenza |
|---|---|
| Dal rilevamento alla classificazione | Massimo 24 ore |
| Notifica iniziale | 4 ore dopo la classificazione come incidente grave |
| Report intermedio | 72 ore dopo la notifica iniziale |
| Report finale | 1 mese dopo il report intermedio |
Fonte: QuoIntelligence; Securiti - EU Regulation 2025/302
Criteri di Classificazione
Un incidente ICT è classificato come grave quando i servizi critici sono impattati negativamente E si verifica almeno una delle seguenti condizioni: (a) un accesso non autorizzato malevolo riuscito che potrebbe comportare perdite di dati, OPPURE (b) due o più soglie di materialità vengono raggiunte (clienti interessati, controparti finanziarie o transazioni).
Fonte: FMA Austria - DORA ICT-related incidents
Threat-Led Penetration Testing (TLPT)
DORA impone test di sicurezza avanzati per le entità finanziarie significative, basandosi sul framework TIBER-EU con requisiti giuridicamente vincolanti.
| Dato | Fonte |
|---|---|
| Il TLPT è obbligatorio ogni 3 anni per le entità identificate come "significative" dal proprio supervisore | Articolo 26 di DORA |
| Prima scadenza TLPT: 17 gennaio 2028 (3 anni dalla data di applicazione di DORA) | TIBER.info |
| Il purple teaming è obbligatorio ai sensi di DORA (solo raccomandato sotto TIBER-EU) | Yogosha |
| Il fornitore di threat intelligence deve essere sempre esterno | DORA TLPT RTS |
| Ogni terzo test deve utilizzare un red team esterno | DORA TLPT RTS |
| Il TLPT RTS è stato pubblicato il 18 giugno 2025, in vigore dall'8 luglio 2025 | TIBER.info |
Minacce Informatiche nel Settore Finanziario
I seguenti dati di ENISA e di altre fonti autorevoli illustrano il panorama delle minacce che DORA è progettato per affrontare.
ENISA Threat Landscape: Settore Finanziario (gennaio 2023 - giugno 2024)
| Dato | Fonte |
|---|---|
| 488 incidenti segnalati pubblicamente che hanno colpito il settore finanziario europeo | ENISA - Threat Landscape: Finance Sector (febbraio 2025) |
| Le banche (enti creditizi) sono state il tipo di entità più colpito con il 46% di tutti gli incidenti | ENISA (febbraio 2025) |
| Organizzazioni finanziarie pubbliche: 13% degli incidenti | ENISA (febbraio 2025) |
| Attacchi DDoS: il 58% ha preso di mira specificamente le banche | ENISA (febbraio 2025) |
| Ransomware: il 29% ha colpito i fornitori di servizi finanziari, il 17% le organizzazioni assicurative | ENISA (febbraio 2025) |
| Aumento del 200% su base annua delle famiglie di malware che prendono di mira le applicazioni bancarie | ENISA (febbraio 2025) |
| 29 attacchi legati alla supply chain identificati nel settore finanziario | ENISA (febbraio 2025) |
IMF Global Financial Stability Report (aprile 2024)
| Dato | Fonte |
|---|---|
| Quasi un quinto degli incidenti informatici segnalati negli ultimi due decenni ha colpito il settore finanziario globale | IMF GFSR aprile 2024, capitolo 3 |
| USD 12 miliardi in perdite dirette per le imprese finanziarie in due decenni di incidenti informatici | IMF (aprile 2024) |
| USD 2,5 miliardi in perdite dirette per le imprese finanziarie solo dal 2020 | IMF (aprile 2024) |
| Le perdite estreme da attacchi informatici sono quadruplicate dal 2017 | IMF (aprile 2024) |
| Solo circa la metà dei paesi indagati disponeva di una strategia nazionale di cybersicurezza focalizzata sul settore finanziario | IMF (aprile 2024) |
Incidenti Globali nel Settore Finanziario
| Dato | Fonte |
|---|---|
| 3.348 incidenti informatici segnalati nel settore finanziario a livello mondiale nel 2023, rispetto ai 1.829 del 2022 (aumento dell'83% su base annua) | Statista |
ECB Cyber Resilience Stress Test (luglio 2024)
| Dato | Fonte |
|---|---|
| 109 banche direttamente vigilate sono state testate | ECB Banking Supervision (26 luglio 2024) |
| 28 banche sono state sottoposte a test approfonditi con test effettivi di ripristino IT e visite in loco | ECB (luglio 2024) |
| Scenario testato: tutte le misure preventive falliscono, un attacco informatico compromette gravemente i database dei sistemi core | ECB (luglio 2024) |
| Risultato: le banche dispongono di framework di risposta e ripristino ma "permangono aree di miglioramento" | ECB (luglio 2024) |
Condivisione delle Informazioni secondo DORA (Articolo 45)
DORA incoraggia (ma non obbliga) le entità finanziarie a scambiare intelligence sulle minacce informatiche. Sebbene la condivisione delle informazioni in sé sia volontaria, le entità sono tenute a informare le autorità di regolamentazione su come partecipano agli accordi di condivisione delle informazioni.
Le informazioni condivise includono indicatori di compromissione, tattiche/tecniche/procedure, avvisi di cybersicurezza e strumenti di configurazione. Gli accordi devono proteggere le informazioni sensibili, rispettare la riservatezza commerciale, la protezione dei dati personali e il diritto della concorrenza.
Fonte: Articolo 45 di DORA; FS-ISAC DORA Information Sharing Requirements
Standard Tecnici DORA
Le Autorità Europee di Vigilanza (EBA, ESMA, EIOPA) hanno sviluppato un totale di 11 prodotti normativi per rendere operativo DORA:
Primo Pacchetto (gennaio 2024, pubblicato nella Gazzetta Ufficiale a giugno 2024): 3 RTS + 1 ITS
- RTS sui framework di gestione del rischio ICT
- RTS sui criteri di classificazione degli incidenti ICT
- RTS sulle politiche relative ai servizi ICT forniti da terze parti a supporto di funzioni critiche
- ITS per la definizione dei modelli del registro di outsourcing
Secondo Pacchetto (luglio 2024): 4 RTS + 1 ITS + 2 Linee Guida
Fonte: EBA - ESAs published second batch of policy products under DORA
Cronologia di DORA
| Data | Evento |
|---|---|
| 24 settembre 2020 | La Commissione Europea ha pubblicato la proposta DORA |
| 27 dicembre 2022 | Pubblicazione nella Gazzetta Ufficiale dell'Unione Europea |
| 16 gennaio 2023 | DORA è entrato in vigore |
| 17 gennaio 2024 | Primo pacchetto di RTS/ITS finalizzato dalle ESA |
| 25 giugno 2024 | Primo pacchetto RTS pubblicato nella Gazzetta Ufficiale |
| 17 luglio 2024 | Secondo pacchetto di RTS/ITS/Linee Guida finalizzato dalle ESA |
| 17 gennaio 2025 | DORA è diventato pienamente applicabile (senza periodo transitorio) |
| 31 marzo 2025 | Data di riferimento per il registro delle informazioni |
| 11 aprile 2025 | Scadenza BaFin (Germania) per la presentazione del registro delle informazioni |
| 15 aprile 2025 | Scadenza ACPR (Francia) per la presentazione del registro delle informazioni |
| 30 aprile 2025 | Scadenza ESA per la raccolta dei registri dalle autorità nazionali |
| 8 luglio 2025 | Il TLPT RTS è diventato effettivo |
| 18 novembre 2025 | Pubblicato il primo elenco di 19 Fornitori ICT Terzi Critici |
| 17 gennaio 2028 | Scadenza per il primo ciclo di TLPT obbligatorio per le entità significative |
I Cinque Pilastri di DORA
DORA è strutturato attorno a cinque pilastri, ciascuno con requisiti specifici:
Pilastro I: Gestione del Rischio ICT
Le entità devono istituire framework completi di gestione del rischio ICT che coprano identificazione, protezione, rilevamento, risposta e ripristino. Solo il 25% delle entità ha dichiarato di sentirsi conforme su questo pilastro (Deloitte 2025).
Pilastro II: Gestione e Segnalazione degli Incidenti ICT
Gli incidenti ICT gravi devono essere classificati entro 24 ore e segnalati alle autorità di vigilanza entro 4 ore dalla classificazione. Il 48% delle entità ha protocolli pronti (Deloitte 2025).
Pilastro III: Test di Resilienza Operativa Digitale
Sono richiesti test regolari dei sistemi ICT, con TLPT obbligatorio ogni 3 anni per le entità significative. Solo l'8% ha raggiunto la piena conformità (Deloitte 2025).
Pilastro IV: Gestione del Rischio ICT di Terze Parti
Le entità devono mantenere un registro di tutti gli accordi con terze parti ICT e valutare il rischio di concentrazione. Solo l'8% ha raggiunto la piena conformità (Deloitte 2025). Il 46% identifica questo come il requisito più impegnativo.
Pilastro V: Condivisione delle Informazioni
Scambio volontario di intelligence sulle minacce informatiche tra entità finanziarie, con obbligo di comunicare alle autorità di regolamentazione la partecipazione ad accordi di condivisione.
Domande Frequenti
D: Quante entità finanziarie sono interessate da DORA?
R: Più di 22.000 entità finanziarie e fornitori di servizi ICT rientrano nell'ambito di DORA in tutta l'UE. Ciò include 21 tipi di entità finanziarie, dalle banche e assicurazioni ai prestatori di servizi per le cripto-attività e alle piattaforme di crowdfunding, oltre ai loro fornitori di servizi ICT terzi.
D: Quali sono le sanzioni massime previste da DORA?
R: Le entità finanziarie rischiano sanzioni fino al 2% del fatturato annuo mondiale totale. I singoli individui nelle entità finanziarie rischiano sanzioni fino a EUR 1.000.000. I Fornitori ICT Terzi Critici rischiano sanzioni fino a EUR 5.000.000, con penalità giornaliere fino all'1% del fatturato giornaliero medio per non conformità continuata. Alcuni stati membri hanno implementato limiti più elevati, con la Svezia che consente fino al 10% del fatturato.
D: Quale percentuale di istituzioni finanziarie era conforme a DORA entro gennaio 2025?
R: Pochissime. Un'indagine McKinsey ha rilevato che solo un terzo ha espresso fiducia nel poter rispettare la scadenza. Un'indagine della CSSF del Lussemburgo su circa 500 entità ha rilevato che solo 1 entità si considerava pienamente pronta. Un'indagine Deloitte in 28 paesi ha riscontrato che solo l'8% era pienamente conforme sui pilastri dei test e del rischio di terze parti.
D: Quanto costa la conformità DORA?
R: Secondo un'indagine Deloitte, il 64% delle entità finanziarie prevede di spendere EUR 2-5 milioni per la conformità DORA, con un organico medio di 5-8 FTE dedicati. Un grande gruppo finanziario ha riportato una spesa per il programma prossima a EUR 100 milioni. I costi del TLPT sono stimati allo 0,1%-0,3% del budget ICT totale. McKinsey ha rilevato che il 70% dei dirigenti si aspetta che DORA comporti costi tecnologici permanentemente più elevati.
D: Quali sono le scadenze per la segnalazione degli incidenti secondo DORA?
R: DORA richiede la classificazione dal rilevamento entro 24 ore, la notifica iniziale entro 4 ore dalla classificazione, un report intermedio entro 72 ore e un report finale entro 1 mese.
D: Quali fornitori ICT sono stati designati come Critici ai sensi di DORA?
R: Il 18 novembre 2025, le ESA hanno pubblicato il primo elenco di 19 Fornitori ICT Terzi Critici. L'elenco include AWS, Google Cloud, Microsoft, IBM, SAP, Oracle, Accenture, Bloomberg e altri. Questi fornitori sono soggetti alla supervisione diretta del Joint Oversight Forum.
Tutte le statistiche presenti in questa pagina provengono da autorità di vigilanza ufficiali dell'UE, organismi di regolamentazione e report di settore verificati. Le fonti principali includono le Autorità Europee di Vigilanza (EBA, ESMA, EIOPA), ENISA, ECB Banking Supervision, l'IMF Global Financial Stability Report, McKinsey, Deloitte, CSSF Luxembourg, IDC, DLA Piper e il testo della direttiva DORA. Questa pagina viene aggiornata regolarmente man mano che diventano disponibili nuovi dati sull'applicazione.
Ultimo aggiornamento: marzo 2026