Board Training DORA
Livello 1

LEZIONE 1 – IL CONTESTO NORMATIVO
Questa lezione spiega come si è evoluto il quadro normativo che ha portato all’introduzione del Regolamento DORA. Viene illustrato il concetto di resilienza operativa digitale applicato al settore finanziario, con un focus sull’importanza della sicurezza delle infrastrutture tecnologiche (TIC) e sulla necessità di armonizzare le normative tra gli stati membri UE. 

LEZIONE 2 – OBIETTIVI E AMBITO DI APPLICAZIONE
Questa lezione spiega come il Regolamento DORA miri a garantire continuità e sicurezza dei servizi finanziari europei, definendo regole comuni per la gestione dei rischi digitali. Vengono illustrati i soggetti coinvolti, le misure previste e il principio di proporzionalità che regola l’applicazione alle diverse entità finanziarie.

LEZIONE 4 – GESTIONE, CLASSIFICAZIONE E SEGNALAZIONE DEI RISCHI INFORMATICI
Questa lezione spiega come devono comportarsi le entità finanziarie di fronte a incidenti informatici. Si parte dalla rilevazione, si passa alla classificazione in base a gravità e impatto, fino alla notifica obbligatoria secondo le soglie normative europee. Viene chiarita anche la gestione dei casi in cui si sovrappongono gli obblighi DORA e NIS2.

LEZIONE 5 – TEST DI RESILIENZA OPERATIVA DIGITALE
Questa lezione spiega come le entità finanziarie devono organizzare test periodici di resilienza digitale per valutare la capacità di risposta agli attacchi informatici. I test includono analisi tecniche e simulazioni realistiche, gestite da soggetti indipendenti, e servono a individuare vulnerabilità e attuare misure correttive.

LEZIONE 7 – SANZIONI
Questa lezione spiega come le autorità, in caso di violazioni del DORA, possano applicare sanzioni economiche e operative. Si va dalle multe e piani di rimedio fino alla sospensione delle attività o alla responsabilità personale dei dirigenti. Il sistema sanzionatorio ha anche effetti reputazionali.

LEZIONE 8 – REGOLAMENTI DELEGATI
Questa lezione spiega come i regolamenti delegati dell’UE definiscono gli aspetti tecnici e procedurali fondamentali per attuare il DORA. Si affrontano criteri per classificare gli incidenti, linee guida sui contratti con fornitori TIC e standard per la gestione del rischio e per l’identificazione dei fornitori critici.

LEZIONE 1 – IL RISCHIO CYBER
La gestione del rischio cyber, parte integrante delle attività aziendali, richiede di valutare e mitigare i rischi derivanti da vulnerabilità digitali sfruttate intenzionalmente da malintenzionati. La riduzione del rischio si basa su due dimensioni: abbassare la probabilità di un attacco attraverso prevenzione e consapevolezza, e limitare l’impatto tramite asset resilienti e best practice tecnologiche.

LEZIONE 2 – L’ANALISI DEL RISCHIO CYBER
L’analisi del rischio è fondamentale per comprendere minacce, probabilità e impatti, e definire le contromisure. Seguendo standard come ISO o NIST, si articola in sei fasi: identificare il contesto e i rischi, analizzarli, definire priorità, predisporre risposte e monitorare continuamente. L’output principale è il Risk Register, che mappa i rischi cyber e non, essenziale per strategie di sicurezza multi-rischio come richiesto da DORA.

LEZIONE 4 – I CONTROLLI DI SICUREZZA
La gestione degli incidenti di sicurezza si basa sull’analisi dei log generati dalle infrastrutture digitali per identificare e prevenire situazioni critiche. Il Security Operations Center (SOC) elabora gli allarmi attraverso un flusso operativo strutturato articolato in tre fasi: analisi preliminare, analisi dettagliata e definizione delle azioni di contenimento e rimedio. L’uso dell’Intelligenza Artificiale (AI) aiuta a ridurre i falsi positivi, migliorando l’efficienza operativa.

LEZIONE 5 – IL DANNO
L’impatto rappresenta il danno causato da un evento avverso, classificabile in diretto, da responsabilità civile, indiretto e consequenziale. Nel rischio cyber, i danni si distinguono in propri (interruzione attività, ripristino sistemi, gestione dell’incidente) e verso terzi (contenziosi, violazioni di dati). Mentre i danni materiali sono più facilmente stimabili, quelli immateriali richiedono valutazioni complesse.

LEZIONE 2 – LE PRINCIPALI TECNICHE DI ATTACCO
Le tecniche di attacco cyber includono malware, sfruttamento di vulnerabilità e attacchi Distributed Denial of Service (DDoS). I malware, compresi gli zero-day, sfruttano vulnerabilità sconosciute, mentre le vulnerabilità esposte su Internet consentono di sottrarre dati e ottenere accessi privilegiati, spesso attraverso il social engineering. I DDoS sovraccaricano infrastrutture o applicazioni, rendendole inservibili. 

LEZIONE 3 – LE VULNERABILITA’
Le vulnerabilità rappresentano un rischio solo se non sono mitigate da controlli tecnici o procedurali. Il loro ciclo di vita attraversa quattro fasi: scoperta, divulgazione, individuazione della contromisura e applicazione, con le prime due particolarmente critiche. La gestione efficace delle vulnerabilità richiede un processo industrializzato, basato su aggiornamenti costanti, inventari completi degli asset e una strategia basata sulle priorità.

LEZIONE 1 – TRUFFA DEL CEO
Un cyber criminale compromette o falsifica la mail del CEO o di un altro membro del Board e invia un’email urgente al CFO o a un dirigente finanziario, ordinando un bonifico di milioni di euro verso un conto estero.

LEZIONE 2 – ATTACCO RANSOMWARE CON RICATTO
Un’azienda leader nel settore energetico subisce un attacco ransomware che blocca i sistemi IT e paralizza le operazioni. I criminali minacciano di pubblicare dati sensibili del Board se il riscatto non viene pagato.

LEZIONE 4 – DATA BREACH
Un attacco mirato sottrae dati finanziari e personali dei membri del Board. La stampa ne viene a conoscenza e l’azienda subisce un danno reputazionale, oltre ai rischi per mancata conformità a DORA e al GDPR.