Negli ultimi anni l’efficacia dei framework di governance e dei processi di gestione del rischio cyber si è progressivamente configurato come un fattore strutturale della stabilità finanziaria, la cui rilevanza trascende i confini dell’operatività tecnologica per assumere la valenza di un rischio sistemico a tutti gli effetti.  

La crescente sofisticazione delle minacce, alimentata dall’escalation delle tensioni geopolitiche globali, ha trasformato il cyber risk in uno strumento della competizione tra Stati, con capacità offensive mai osservate in precedenza. Gli shock informatici, una volta confinati nella sfera tecnica, oggi potrebbero tradursi in crisi di fiducia e di liquidità, mettendo anche in discussione la tenuta complessiva dell’ecosistema bancario.

Tale consapevolezza ha orientato le più recenti elaborazioni di policy europee verso un approccio integrato, in grado di unificare le dimensioni micro e macroprudenziali della vigilanza. La resilienza digitale non è più interpretata come un presidio difensivo, bensì come componente della stabilità finanziaria e, al tempo stesso, bene pubblico che genera esternalità positive per l’intero sistema economico.

L’approccio normativo europeo alla cybersecurity finanziaria ha seguito un’evoluzione graduale ma determinata, passando da framework settoriali frammentati a un sistema integrato di resilienza digitale. Il passaggio dal paradigma della compliance a quello della resilienza sistemica segna una svolta culturale. Non si tratta solo di rispettare standard regolamentari o di garantire la continuità dei servizi critici, ma di costruire un ecosistema finanziario capace di apprendere e reagire in modo adattivo agli shock digitali.

Il Digital Operational Resilience Act (DORA) (UE 2022/2554), entrato in vigore nel gennaio 2025, applicandosi direttamente a circa 22.000 entità del settore finanziario europeo, senza necessità di recepimento nazionale, rappresenta la più recente e significativa evoluzione del quadro normativo europeo.

Nel nuovo assetto regolatorio si impone una visione risk-based centrata sui servizi critici. Il Regolamento DORA rappresenta un vero big bang regolatorio che introduce un modello di gestione del rischio ICT fondato su principi di responsabilità condivisa, coordinamento intersettoriale e prevenzione proattiva. Le funzioni ICT e di cyber resilience non possono più essere delegate a silos specialistici, ma devono essere assunte come responsabilità strategica e integrata dell’organo di gestione.

Tuttavia, le sfide che emergono dall’attuazione del DORA sono, di fatto, molteplici. La reale efficacia del nuovo quadro normativo dipenderà dalla sua capacità di tradursi in prassi operative e in un linguaggio organizzativo diffuso, superando anche le rigidità e le asimmetrie ancora presenti tra le diverse giurisdizioni europee.

Gli intermediari di minori dimensioni affrontano gravi difficoltà nell’attrarre competenze specialistiche e nel sostenere i costi della trasformazione tecnologica; le infrastrutture legacy restano vulnerabili; la condivisione delle informazioni tra operatori è ancora frenata da timori reputazionali e competitivi.

A ciò si aggiunge una tensione intrinseca tra il tempo lento della regolazione e la velocità evolutiva delle minacce cyber, che rischia di rendere obsolete alcune prescrizioni già al momento della loro applicazione. Questi limiti richiedono un ripensamento del modo stesso in cui la vigilanza interpreta il proprio ruolo: da garante del rispetto normativo a promotore di resilience governance, capace di integrare competenze tecnologiche, strategiche e cognitive.

Sul piano macroprudenziale, il rischio cyber obbliga le Autorità di vigilanza a ridefinire gli strumenti di analisi e intervento. Il tradizionale arsenale di capitale e liquidità non è sufficiente a contenere il contagio digitale, che si propaga lungo reti globali e supply chain interconnesse. Il nuovo approccio, delineato dall’ESRB, introduce strumenti come il Cyber Resilience Scenario Testing (CyRST) e i Systemic Impact Tolerance Objectives (SITO), che consentono di valutare la tenuta del sistema rispetto a scenari estremi ma plausibili, spostando l’attenzione dalla probabilità dell’evento alla magnitudo delle sue conseguenze sistemiche. In tal modo, la vigilanza si trasforma in una funzione anticipatoria, chiamata a monitorare le interdipendenze tra infrastrutture critiche, operatori e fornitori tecnologici, in una prospettiva che unisce stabilità finanziaria e sicurezza digitale.

Guardando al futuro, la resilienza digitale del settore finanziario sarà modellata dall’interazione tra innovazione tecnologica, complessità geopolitica e sostenibilità. L’Intelligenza Artificiale, per esempio, si profila come un potente strumento difensivo, ma anche come fonte di nuove vulnerabilità, dal data poisoning ai deepfake usati per sofisticate campagne di ingegneria sociale.

In questo scenario, la priorità consiste nel rendere operative le raccomandazioni di policy attraverso un’azione congiunta di istituzioni, mercati e autorità di vigilanza. Quattro linee appaiono decisive: investire nel capitale umano e nella formazione specialistica; promuovere la cooperazione pubblico-privata e la mutualizzazione dei costi; diversificare le dipendenze tecnologiche per ridurre la concentrazione dei fornitori globali; infine, adottare un quadro regolatorio dinamico, fondato su regulatory sandboxes e ambienti sperimentali capaci di testare soluzioni innovative.

Ciò che emerge, in ultima analisi, è la necessità di un salto culturale. La resilienza digitale non può essere ridotta a un adempimento tecnico né a una funzione delegata ai reparti ICT: essa implica una responsabilità strategica diffusa, che investe i vertici aziendali e ridisegna la governance complessiva degli intermediari. Le aspettative di vigilanza, orientate sempre più verso la continuità operativa come requisito prudenziale, riflettono questa trasformazione.

Ma la resilienza, per diventare reale, deve essere vissuta come valore collettivo: un bene pubblico che richiede la condivisione dei rischi e delle conoscenze, una forma di solidarietà sistemica nell’era digitale. Solo un approccio corale, fondato sulla fiducia reciproca e sulla cooperazione istituzionale, potrà garantire l’equilibrio tra innovazione, sicurezza e stabilità. La cyber-resilience, in questa prospettiva, non è soltanto un presidio tecnico: è la nuova grammatica della fiducia su cui si reggerà la finanza europea del futuro.