Cos’è il DORA?
Il Digital Operational Resilience Act — noto come DORA — è il Regolamento (UE) 2022/2554, adottato dal Parlamento europeo e dal Consiglio il 14 dicembre 2022. L’UE lo ha pubblicato nella Gazzetta ufficiale il 27 dicembre 2022. È entrato in vigore il 16 gennaio 2023 ed è diventato pienamente applicabile il 17 gennaio 2025.
Il DORA colma una lacuna specifica nella regolamentazione finanziaria dell’UE. Prima del DORA, le istituzioni finanziarie gestivano il rischio operativo principalmente accantonando capitale. Tuttavia, tale approccio non copriva adeguatamente le interruzioni legate all’ICT, che possono colpire contemporaneamente molti istituti quando un fornitore di tecnologia condiviso viene meno. Pertanto, il DORA introduce un quadro uniforme in tutta l’UE per la gestione del rischio ICT, la segnalazione degli incidenti, i test di resilienza operativa e la sorveglianza dei fornitori di tecnologia terzi.
Chi deve conformarsi al DORA?
Il DORA si applica a due gruppi principali di organizzazioni coinvolte nei servizi di tecnologia dell’informazione e della comunicazione (ICT) all’interno del settore finanziario.
Il primo gruppo è costituito dalle entità finanziarie. Queste includono enti creditizi, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, imprese di assicurazione e riassicurazione, fornitori di servizi di cripto-attività, depositari centrali di titoli, controparti centrali e sedi di negoziazione, tra gli altri elencati nell’Articolo 2 del regolamento.
Il secondo gruppo è composto dai fornitori terzi di servizi ICT — aziende che forniscono servizi tecnologici alle entità finanziarie. Questo gruppo include fornitori di cloud computing, sviluppatori di software, società di analisi dei dati, aziende di cybersicurezza, fornitori di data center e qualsiasi altro fornitore i cui servizi supportino le operazioni di un istituto finanziario regolamentato.
È importante sottolineare che il DORA copre anche i fornitori ICT con sede fuori dall’UE. Se un’azienda tecnologica negli Stati Uniti, nel Regno Unito o in Asia fornisce servizi a istituti finanziari regolamentati dall’UE, il DORA si applica a tale relazione.
Il requisito LEI ai sensi del DORA
Il DORA richiede alle entità finanziarie di mantenere un Registro delle informazioni dettagliato che copra tutti i loro fornitori terzi di servizi ICT. Il Regolamento di esecuzione (UE) 2024/2956 della Commissione, pubblicato il 2 dicembre 2024, stabilisce i modelli standard per questo registro.
L’Articolo 3(5) di tale regolamento di esecuzione stabilisce direttamente:
“Le entità finanziarie utilizzano un identificativo della persona giuridica (LEI) valido e attivo o l’identificativo unico europeo di cui all’articolo 16 della direttiva (UE) 2017/1132 (‘EUID’) e, se disponibili, entrambi tali identificativi, per identificare tutti i loro fornitori terzi di servizi ICT che sono persone giuridiche, ad eccezione delle persone fisiche che agiscono a titolo professionale.”
In altre parole, ogni fornitore terzo di servizi ICT che sia un’entità giuridica deve essere identificabile tramite un LEI valido e attivo o un EUID. Entrambi devono essere aggiornati. Un LEI scaduto o decaduto non soddisfa questo requisito.
LEI o EUID: quale si applica al tuo caso?
Entrambi gli identificativi soddisfano i requisiti DORA, ma coprono situazioni diverse. Capire la differenza ti aiuta a scegliere correttamente.
Il LEI (Legal Entity Identifier) è un codice alfanumerico di 20 caratteri riconosciuto a livello globale basato sullo standard ISO 17442. La Global Legal Entity Identifier Foundation (GLEIF) gestisce il Global LEI System e rende tutti i dati LEI pubblicamente disponibili nel Global LEI Index. Il LEI copre entità giuridiche in oltre 200 giurisdizioni e include anche dati sulla proprietà e sul controllo.
L’EUID (European Unique Identifier) si collega al sistema di interconnessione dei registri delle imprese dell’UE (BRIS). Poiché si connette esclusivamente ai registri nazionali dell’UE, copre solo le entità registrate negli Stati membri dell’UE.
Qui il regolamento di esecuzione traccia una distinzione fondamentale: i fornitori ICT stabiliti fuori dall’UE devono essere identificati esclusivamente tramite il LEI. L’EUID semplicemente non è disponibile per le entità extra-UE. Di conseguenza, il LEI è l’unico identificativo valido per qualsiasi fornitore che operi dall’esterno dell’UE.
Per i fornitori con sede nell’UE, entrambi gli identificativi sono validi. Tuttavia, per le operazioni globali o per i fornitori con esposizione extra-UE, il LEI è la scelta migliore per via del suo riconoscimento internazionale e della più ampia copertura dei dati.
Cosa significa in pratica “valido e attivo”
Il regolamento di esecuzione richiede specificamente un LEI valido e attivo. Questo si riferisce allo stato che appare nel database globale GLEIF.
Un LEI che mostra lo stato “Issued” (Emesso) è valido e attivo, e quindi soddisfa il DORA. Un LEI che mostra “Lapsed” (Scaduto) è terminato e, di conseguenza, non soddisfa il requisito. Le entità finanziarie non possono registrare un LEI scaduto come identificativo conforme nel loro Registro delle informazioni.
Un LEI rimane valido per un anno dalla data di emissione o dall’ultimo rinnovo. Successivamente, il titolare deve rinnovarlo per mantenere lo stato attivo. Durante il rinnovo, l’organizzazione emittente verifica nuovamente i dati di riferimento dell’entità — inclusi nome legale, sede legale e struttura proprietaria — confrontandoli con le fonti ufficiali del registro. Questo processo garantisce che i dati nel database globale LEI rimangano accurati e aggiornati.
Puoi verificare lo stato di qualsiasi LEI utilizzando lo strumento di ricerca LEI della GLEIF o tramite la ricerca di LEI System.
Perché il LEI è lo standard pratico per la conformità al DORA
I legislatori del DORA hanno scelto il LEI perché risolve un problema che nessun identificativo nazionale può risolvere: l’identificazione coerente e transfrontaliera delle entità giuridiche in un unico formato riconosciuto a livello mondiale.
I numeri di registrazione nazionale delle imprese variano significativamente tra i paesi, non sono sempre leggibili meccanicamente e non coprono affatto le entità extra-UE. Il LEI, al contrario, fornisce un codice coerente per qualsiasi entità giuridica, indipendentemente da dove sia costituita. Inoltre, poiché i dati LEI sono pubblicamente disponibili e verificabili, gli istituti finanziari possono controllare istantaneamente i dettagli del fornitore senza dover richiedere documenti.
Per gli istituti finanziari che gestiscono molti fornitori ICT in diversi paesi, questa standardizzazione riduce significativamente la complessità amministrativa della conformità al DORA. Una singola ricerca LEI fornisce informazioni verificate sul nome legale del fornitore, sui dettagli di registrazione e sulla struttura proprietaria — tutti elementi direttamente rilevanti per gli obblighi di gestione del rischio di terze parti previsti dal DORA.
Per i fornitori ICT, il possesso di un LEI valido rende semplice per i clienti degli istituti finanziari includerli correttamente nel loro registro DORA. I fornitori senza un LEI valido, d’altro canto, creano lacune di conformità per i loro clienti e rischiano quindi di danneggiare la relazione commerciale. La GLEIF fornisce ulteriori dettagli su come il LEI supporti tutto ciò nella sua panoramica sull’uso normativo del LEI.
Cosa dovrebbero fare ora i fornitori ICT
Verifica se hai un LEI valido. Se fornisci servizi ICT a qualsiasi istituto finanziario regolamentato dall’UE, il tuo cliente deve identificarti nel suo Registro delle informazioni DORA. Contattalo per confermare se ha registrato il tuo LEI e se quest’ultimo è attualmente attivo.
Registra un LEI se non ne hai uno. Il processo è completamente digitale e si completa entro 24 ore per la maggior parte delle giurisdizioni. Dovrai fornire il nome legale della tua azienda, la sede legale e il numero di registrazione. Nella maggior parte dei casi, il sistema verifica automaticamente questi dati con i registri ufficiali delle imprese. LEI System è un agente di registrazione accreditato GLEIF. Puoi iniziare la tua registrazione LEI oggi stesso.
Rinnova il tuo LEI se è scaduto. Un LEI scaduto deve essere rinnovato prima che i tuoi clienti possano utilizzarlo in un registro DORA. Il rinnovo ripristina lo stato “Issued” e convalida nuovamente i dati di riferimento della tua azienda. Puoi rinnovare il tuo LEI rapidamente tramite LEI System.
Mantieni aggiornati i dati del tuo LEI. Se il nome della tua azienda, la sede legale o la struttura proprietaria sono cambiati, aggiorna di conseguenza i tuoi dati di riferimento LEI. Dati LEI obsoleti creano complicazioni di conformità per i tuoi clienti istituti finanziari quando presentano il loro registro alle autorità nazionali.
Il DORA nel contesto della più ampia regolamentazione UE
Il DORA non opera in isolamento. Si affianca ad altri regolamenti UE che utilizzano anch’essi il LEI come identificativo standard per le entità giuridiche, tra cui la segnalazione delle transazioni MiFID II, la segnalazione dei derivati EMIR e il regolamento UE sui pagamenti istantanei. Per le entità finanziarie che già utilizzano i LEI per la segnalazione delle transazioni, il DORA aggiunge quindi un’ulteriore dimensione piuttosto che un sistema completamente nuovo.
Inoltre, il DORA si collega direttamente alla Direttiva NIS2 (Direttiva (UE) 2022/2555) sulla cybersicurezza. Il DORA funge da atto specifico per il settore finanziario nell’ambito della NIS2. Puoi leggere di più sulla NIS2 e il LEI nell’articolo NIS2 e LEI su questo sito. Per una panoramica più ampia su come opera il LEI nella regolamentazione finanziaria dell’UE, consulta Come funziona il LEI in pratica nell’UE.
DORA e LEI — Fatti chiave in sintesi
Cos’è il DORA? Il Regolamento (UE) 2022/2554 sulla resilienza operativa digitale per il settore finanziario.
Quando è diventato applicabile il DORA? Il 17 gennaio 2025.
Chi deve conformarsi? Le entità finanziarie dell’UE e i loro fornitori terzi di servizi ICT, inclusi i fornitori extra-UE che servono istituti finanziari dell’UE.
Cosa richiede il DORA per l’identificazione dei fornitori ICT? Un LEI o un EUID valido e attivo, come specificato nel Regolamento di esecuzione (UE) 2024/2956 della Commissione.
Quale identificativo si applica ai fornitori ICT extra-UE? Solo il LEI. L’EUID copre solo le entità registrate nell’UE.
Quale stato del LEI soddisfa il DORA? Solo “Issued”. Un LEI “Lapsed” non soddisfa il requisito.
Dove posso registrare o rinnovare un LEI? Tramite un agente di registrazione accreditato GLEIF come LEI System.