Prevenzione, non solo reazione: il caso brasiliano e il valore delle nuove norme DORA sui rischi dei fornitori terzi
Fornitori terzi e resilienza digitale: cosa ci insegna il caso brasiliano (e cosa prevede il nuovo regolamento DORA)
Negli ultimi giorni, il panorama finanziario internazionale è stato scosso da una delle più grandi frodi mai viste nel settore dei pagamenti istantanei: una vulnerabilità nella gestione di fornitori tecnologici ha permesso accessi non autorizzati e il trasferimento di fondi per cifre miliardarie, con rischi a cascata su più istituzioni.
Cosa è successo?
Un fornitore terzo, coinvolto in processi chiave (autenticazione, gestione delle credenziali), è stato compromesso.
Gli attaccanti hanno sfruttato lacune nei controlli e nella governance ICT della filiera.
L’intervento rapido delle autorità (con la disconnessione immediata del provider) ha limitato l’impatto, ma non ha potuto evitare danni finanziari e reputazionali di vasta portata.
La lezione: serve prevenzione, non solo risposta
Anche la migliore reazione d’emergenza non basta più. La vera protezione nasce da una governance preventiva e strutturata dei rischi legati ai fornitori terzi. È proprio questo il cuore della nuova normativa europea: il DORA e, in particolare, il Regolamento Delegato (UE) 2025/532, in vigore dal 22 luglio.
Le nuove regole europee: un salto di qualità nella gestione dei rischi di terzi
Due diligence obbligatoria: Nessun accesso a dati/processi sensibili senza una valutazione approfondita di ogni fornitore.
Clausole contrattuali rafforzate: Audit periodici, obblighi di trasparenza, piani di risposta agli incidenti e diritto di risoluzione immediata.
Monitoraggio continuo: Ogni cambiamento nella catena di subfornitura va comunicato e valutato in tempo reale.
Resilienza operativa estesa: La sicurezza riguarda l’intero ecosistema di partner e fornitori, non solo la singola banca o fintech.
In sintesi:
L’incidente brasiliano mostra che la mancanza di governance preventiva sui terzi può mettere a rischio l’intero sistema. Il DORA e il suo regolamento attuativo rappresentano la risposta concreta dell’Europa: dalla reazione, alla vera prevenzione strutturata.