new
VIGILANZA DIGITALE&RISPARMIO
DORA e la metrica per le SGR immobiliari

Come applicare il regolamento DORA alle società di gestione del risparmio, ben diverse dalle banche, senza produrre adempimenti sproporzionati o, al contrario, presìdi troppo deboli? La chiave si chiama principio di proporzionalità...

Giovanni Angotta
Giovanni-Angotta

La recente revisione dei processi di valutazione dei modelli interni nel settore bancario, introdotto dall’entrata in vigore del regolamento europeo Digital Operational Resilience Act (DORA, che stabilisce requisiti armonizzati per la resilienza operativa digitale delle entità finanziarie europee, applicabile dal 17 gennaio 2025), segnala una tendenza più ampia della vigilanza europea: ridurre gli automatismi procedurali, concentrare le verifiche sui rischi più rilevanti e responsabilizzare maggiormente le funzioni interne degli intermediari. Il passaggio da una logica prevalentemente ex ante a meccanismi più selettivi, fondati su attestazioni interne, controlli successivi e salvaguardie prudenziali, riflette un’esigenza ormai evidente: rendere la regolazione più efficace, non necessariamente più pesante.

La stessa chiave di lettura può essere utile per comprendere l’applicazione di DORA alle società di gestione del risparmio. Il Regolamento europeo mira a garantire che tutte le entità finanziarie dell’UE possano resistere, rispondere e riprendersi rapidamente da incidenti informatici o perturbazioni dei sistemi ICT, proteggendo così la continuità dei servizi finanziari essenziali e l’economia reale

Dora non pone soltanto un tema di cybersecurity, aggiornamento contrattuale o gestione degli incidenti ICT. Pone soprattutto una questione di adattamento: come applicare regole comuni a intermediari molto diversi tra loro, senza produrre adempimenti sproporzionati o, al contrario, presìdi troppo deboli.

Nel caso delle SGR immobiliari, questa esigenza è particolarmente evidente. Una SGR immobiliare non ha, di norma, lo stesso profilo digitale di una banca retail o di un operatore dei pagamenti. Non gestisce una piattaforma transazionale aperta a milioni di clienti, non offre servizi online continuativi al pubblico e non fonda il proprio rapporto con gli investitori su canali digitali ad alta frequenza. Tuttavia, ciò non significa che il rischio ICT sia marginale. Significa che il rischio va cercato altrove: nei gestionali fondi, nella qualità e disponibilità dei dati sugli asset, nei flussi verso depositario e outsourcer, nel reporting, nella conservazione documentale, nella continuità operativa nei momenti di valorizzazione.

È qui che il principio di proporzionalità diventa decisivo. Proporzionalità non significa fare meno perché si è piccoli. Significa fare ciò che è adeguato rispetto al proprio modello operativo, alla propria complessità, al grado di esternalizzazione, alla criticità delle funzioni svolte e ai rischi effettivamente presenti. È una logica diversa dalla mera semplificazione. Non si tratta di chiedere esenzioni, ma di evitare applicazioni meccaniche.

Per una SGR immobiliare, un incidente digitale rilevante può non coincidere con il blocco di un servizio al cliente finale. Può consistere nell’indisponibilità del gestionale durante una finestra di valorizzazione, nel ritardo di una scadenza di reporting, nell’alterazione di dati necessari alla riconciliazione dei flussi, oppure nell’impossibilità di dimostrare che un controllo sia stato svolto. Il rischio, dunque, non è necessariamente meno importante: è diverso. E proprio perché è diverso deve essere misurato, documentato e presidiato con strumenti coerenti.

La proporzionalità richiede quindi un lavoro preliminare di adattamento. Prima di scrivere policy o acquistare pacchetti standard, la SGR dovrebbe chiedersi quali siano le funzioni essenziali, quali sistemi le supportino, quali dati siano critici, quali fornitori siano coinvolti e quali eventi potrebbero compromettere davvero la continuità dell’attività. Solo dopo questa mappatura ha senso definire registri, procedure, test, clausole contrattuali e flussi informativi verso gli organi aziendali.

Il rischio, altrimenti, è duplice, perché se, da un lato, si rischia di cadere in una lettura minimalista della proporzionalità, intesa come riduzione automatica degli obblighi per gli operatori più piccoli, dall’altro, si rischia di importare modelli di compliance pensati per banche o payment provider, producendo documentazione ampia ma poco aderente ai rischi reali della società. In entrambi i casi, la proporzionalità viene tradita: nel primo perché diventa sottovalutazione del rischio; nel secondo perché diventa burocrazia.

Anche le metriche previste da DORA devono essere lette in modo coerente con il contesto. Per una SGR riservata, con pochi investitori professionali, il numero dei clienti impattati può essere meno significativo del momento in cui l’incidente si verifica. Un blocco informatico in una fase ordinaria può avere effetti limitati; lo stesso blocco durante una valorizzazione, una cessione rilevante o una scadenza di reporting può generare conseguenze molto più serie. Allo stesso modo, il danno economico può non emergere subito come perdita diretta, ma tradursi in ore di lavoro aggiuntive, ricostruzioni manuali, consulenze straordinarie, ritardi, errori nei dati o tensioni con investitori e Autorità.

L’adattamento riguarda anche il rapporto con i fornitori. Le SGR immobiliari dipendono spesso da pochi provider specializzati, talvolta comuni a una parte significativa del mercato. Chiedere piani di continuità, certificazioni, SLA, report di test e informazioni sul sub-outsourcing è necessario, ma non basta. Questi documenti devono essere letti, classificati e collegati alle funzioni essenziali che il fornitore supporta. Una scheda fornitore non è utile perché esiste, ma perché consente alla SGR di formulare un giudizio sulla criticità del servizio e sull’adeguatezza dei presìdi.

In questa prospettiva, la proporzionalità è anche una questione di governance. Il consiglio di amministrazione non deve trasformarsi in un organo tecnico, ma deve ricevere informazioni comprensibili sulle dipendenze critiche, sui fornitori rilevanti, sugli incidenti, sui test svolti, sulle azioni correttive aperte e sulle scelte di adattamento adottate dalla società. La responsabilità dell’organo di gestione non consiste nel conoscere ogni dettaglio ICT, ma nel poter approvare e monitorare un modello di presidio coerente con il rischio effettivo.

La lezione è la stessa che emerge dalle più recenti evoluzioni della vigilanza bancaria: semplificare non significa abbassare la guardia, ma allocare meglio responsabilità, controlli e risorse, perché regole comuni non implicano soluzioni identiche per tutti gli operatori.

La resilienza digitale di una SGR immobiliare non si misura replicando il modello di una banca retail, ma verificando se la società è in grado di garantire continuità, qualità dei dati, controllo dei fornitori e tracciabilità delle decisioni nei momenti in cui il proprio modello operativo è realmente esposto.

*Per una trattazione più ampia si rinvia a Rivista Bancaria-Minerva Bancaria n°3 2026

Condividi questo articolo