Se Lavori in Finanza, DORA Riguarda le Tue Email
Se lavori nel settore finanziario — banca, assicurazione, fintech, SGR — c'e' un regolamento europeo che riguarda direttamente le tue email. Si chiama DORA.
No, non e' l'ennesima sigla da ignorare fino al prossimo audit. Il Digital Operational Resilience Act e' in vigore dal 17 gennaio 2025 e ha conseguenze concrete su come gestisci, proteggi e monitori la posta elettronica aziendale. Se la NIS2 ti ha gia' tolto il sonno, preparati: DORA va piu' in profondita', ed e' specifico per il tuo settore.
In questo articolo ti spieghiamo cosa dice davvero DORA riguardo alle email, quali rischi corri, e cosa devi fare per essere in regola. Niente legalese, niente panico. Solo quello che ti serve sapere.
DORA in Parole Semplici
DORA sta per Digital Operational Resilience Act (Regolamento UE 2022/2554). E' un regolamento europeo — non una direttiva, quindi si applica direttamente senza bisogno di leggi nazionali di recepimento — pensato per rendere il settore finanziario resistente agli attacchi informatici e ai disservizi ICT.
Chi deve rispettarlo:
- Banche e istituti di credito
- Compagnie di assicurazione e riassicurazione
- Fondi di investimento e SGR
- Societa' fintech e di pagamento
- Fornitori ICT critici per il settore finanziario
L'obiettivo: garantire che un attacco informatico, un guasto tecnico o un incidente ICT non metta in ginocchio un'entita' finanziaria. Resilienza operativa digitale — la capacita' di continuare a funzionare anche quando qualcosa va storto.
E le email? Sono il canale di comunicazione piu' usato nel settore finanziario. Sono anche il vettore di attacco numero uno. DORA non le nomina esplicitamente in ogni articolo, ma le implicazioni sono dirette e inaggirabili.
Cosa Dice DORA sulle Email
Vediamo i punti chiave del regolamento e come si traducono in obblighi concreti per la posta elettronica.
Art. 5-6: Governance ICT — La Responsabilita' e' del Vertice
DORA e' chiaro: l'organo di gestione (CdA, board) e' direttamente responsabile della sicurezza ICT. Non il reparto IT, non il CISO. Il vertice.
Per le email: se il board non ha approvato una strategia di protezione della posta elettronica, e' inadempiente. Il CdA deve conoscere i rischi email, le misure in atto, e approvare formalmente il framework di gestione del rischio ICT che le include.
Art. 7-14: Gestione del Rischio ICT — Le Email nel Risk Assessment
Questi articoli richiedono un framework di gestione del rischio ICT completo. Devi identificare, classificare e valutare tutti i rischi informatici — e la posta elettronica deve essere inclusa.
In pratica: hai fatto un risk assessment che include i rischi legati alle email? Hai valutato la probabilita' e l'impatto di un attacco phishing riuscito? Di un attacco BEC che porta a un bonifico fraudolento? Di un ransomware che entra da un allegato email e paralizza l'operativita'?
Se la risposta e' no, hai un gap di compliance.
Art. 17-19: Incident Management — L'Email Compromessa Va Segnalata
DORA introduce obblighi stringenti di segnalazione degli incidenti ICT. Se un'email compromessa porta a un accesso non autorizzato, una perdita di dati o un'interruzione di servizio, devi:
- Classificare l'incidente secondo criteri definiti (impatto, durata, dati coinvolti)
- Segnalarlo alle autorita' competenti (Banca d'Italia, IVASS, Consob, a seconda del settore)
- Documentare tutto: cronologia, causa, impatto, misure di contenimento, azioni correttive
Dipendente che clicca su phishing e perde le credenziali? Incidente ICT da segnalare. Ransomware da allegato? Da segnalare. BEC che svuota un conto? Da segnalare. Senza un sistema che tracci tutto, documentare l'incidente diventa un'impresa.
Art. 24-27: Test di Resilienza — Testa Anche le Email
DORA richiede test regolari di resilienza operativa digitale. Per le entita' finanziarie piu' significative, servono anche test di penetrazione avanzati (TLPT — Threat-Led Penetration Testing).
Le email devono far parte di questi test. Simulazioni di phishing, test di risposta a BEC, verifica che i filtri antispam funzionino davvero, test di incident response dopo una compromissione email. Non e' un suggerimento — e' un obbligo normativo.
Se vuoi iniziare subito, puoi usare il nostro test di phishing gratuito per avere un primo riscontro.
Art. 28-30: Rischio Fornitori Terzi — Il Tuo Provider Email e' un Fornitore ICT
Molti lo sottovalutano: DORA dedica un'intera sezione al rischio fornitori ICT terzi. Il tuo provider email — Microsoft 365, Google Workspace, qualsiasi servizio — e' un fornitore ICT a tutti gli effetti.
Devi tenere un registro aggiornato dei fornitori ICT (incluso il provider email), valutare i rischi di concentrazione, avere clausole contrattuali adeguate e definire una strategia di uscita.
Se usi solo Exchange Online Protection di Microsoft come antispam, hai un rischio di concentrazione che DORA ti chiede esplicitamente di mitigare.
I 4 Rischi Email Specifici per il Settore Finanziario
Le email sono un rischio per tutti. Ma per il settore finanziario, quattro scenari sono particolarmente devastanti.
1. Phishing su Clienti (Impersonificazione della Banca)
Un attaccante invia email ai tuoi clienti fingendosi la tua banca o la tua assicurazione. Chiede di cliccare un link, inserire le credenziali, confermare un pagamento. I clienti si fidano — e' la loro banca.
Il danno non e' solo economico per il cliente. E' reputazionale per te. E con DORA, se non avevi misure adeguate per impedire che il tuo brand venisse usato per il phishing (SPF, DKIM, DMARC — puoi verificarli qui), hai un problema di compliance.
2. BEC su Dipendenti (Bonifici Fraudolenti)
Business Email Compromise: qualcuno si finge il direttore finanziario, un fornitore, un partner, e convince un dipendente a effettuare un bonifico. Nel settore finanziario, dove i bonifici da decine o centinaia di migliaia di euro sono routine, questo attacco e' particolarmente devastante.
Non servono tecnologie sofisticate. Basta un'email ben scritta che arrivi al momento giusto. Senza un sistema di protezione BEC basato su AI semantica, e' quasi impossibile distinguerla da una comunicazione legittima.
3. Data Leak via Email (Dati Finanziari Sensibili)
Il settore finanziario tratta dati di una sensibilita' estrema: posizioni patrimoniali, dati MNPI (Material Non-Public Information), informazioni su fusioni e acquisizioni, dati di trading. E non parliamo solo delle grandi banche — anche studi professionali e commercialisti che gestiscono dati finanziari dei clienti sono esposti. Un'email con questi contenuti inviata al destinatario sbagliato — o intercettata in transito — e' un disastro su piu' fronti: normativo (DORA + GDPR + MAR), legale, reputazionale.
4. Ransomware che Paralizza l'Operativita'
Un allegato email infetto che installa un ransomware e blocca i sistemi della banca o dell'assicurazione. Sportelli fermi, home banking offline, polizze non emesse, trading bloccato. Per DORA, un'interruzione cosi' e' un incidente ICT grave che richiede segnalazione immediata e che dimostra un fallimento nella resilienza operativa.
Come MailSniper Ti Aiuta con DORA
MailSniper, basato sul motore Libraesva Email Security, affronta ciascuno dei pilastri DORA con funzionalita' concrete.
AI semantica per la gestione del rischio ICT (Art. 7-14). L'intelligenza artificiale valuta contenuto, tono e intento dell'email. Riconosce pattern BEC, social engineering e impersonificazione — ben oltre i filtri tradizionali.
Logging completo per l'incident reporting (Art. 17-19). Ogni email analizzata e ogni minaccia bloccata viene tracciata con timestamp e classificazione. Se devi segnalare un incidente a Banca d'Italia o IVASS, la documentazione e' pronta — registrata in tempo reale, non ricostruita a posteriori.
Sandboxing per la resilienza operativa (Art. 24-27). Gli allegati vengono eseguiti in un ambiente isolato prima della consegna. Comportamento sospetto? Bloccato. Il ransomware non arriva mai ai sistemi di produzione.
Dati in Europa per la gestione del rischio fornitori (Art. 28-30). Server di analisi in data center europei. Libraesva e' un'azienda italiana con infrastruttura europea. Nessun rischio di trasferimento dati extra-UE.
DORA vs NIS2: Le Differenze per le Email
Se ti occupi di compliance, probabilmente ti stai chiedendo: ma DORA e NIS2 non si sovrappongono? In parte si'. Ma ci sono differenze importanti.
DORA e' specifico per il settore finanziario, molto dettagliato (test TLPT, registro fornitori ICT, incident reporting strutturato). NIS2 e' piu' ampio, copre tutti i settori essenziali e importanti, con requisiti piu' generici.
Se sei nel settore finanziario, DORA prevale come lex specialis. Ma la NIS2 resta applicabile per gli aspetti non coperti. In pratica: devi rispettare entrambi, ma DORA e' il tuo riferimento primario.
La buona notizia: una protezione email adeguata soddisfa i requisiti di entrambi i regolamenti contemporaneamente.
Checklist DORA Email: 5 Punti per Essere in Regola
Ecco cinque verifiche concrete che puoi fare oggi. Se rispondi "no" o "non lo so" a una qualsiasi, hai un gap di compliance DORA.
1. Il rischio email e' nel tuo framework ICT? Verifica che il risk assessment aziendale includa esplicitamente i rischi legati alla posta elettronica: phishing, BEC, ransomware via allegati, data leak. Non genericamente "rischio cyber" — specificamente "rischio email".
2. Hai un antispam professionale con AI e sandboxing? Il filtro base del provider email non basta. Serve un sistema che analizzi contenuto, allegati, link in tempo reale con intelligenza artificiale e sandboxing. MailSniper e' progettato esattamente per questo.
3. I tuoi log email sono completi e conservati? In caso di incidente, devi poter ricostruire cosa e' successo, quando, e quali misure erano in atto. I log devono essere dettagliati, immutabili e conservati per il periodo richiesto dalle autorita' di vigilanza.
4. Fai test di resilienza che includono le email? Simulazioni di phishing, test BEC, verifica dei filtri, esercitazioni di incident response dopo compromissione email. DORA richiede test regolari — e le email devono farne parte.
5. Il tuo provider email e' nel registro fornitori ICT? Devi avere un registro aggiornato di tutti i fornitori ICT, incluso il provider email e l'eventuale antispam. Con clausole contrattuali adeguate, valutazione del rischio di concentrazione e strategia di uscita.
Non Aspettare il Prossimo Audit
DORA non e' una normativa futura. E' in vigore adesso. Le autorita' di vigilanza — Banca d'Italia, IVASS, Consob — stanno gia' integrando i requisiti DORA nei loro controlli. E le email sono uno dei punti piu' esposti e piu' facili da verificare.
La buona notizia e' che mettersi in regola non e' complicato. Un antispam professionale con AI e sandboxing copre la maggior parte dei requisiti tecnici. Il logging risolve l'incident reporting. I test di phishing dimostrano che fai resilience testing.
Se vuoi capire a che punto sei, parti da qui:
Perche' DORA non chiede se hai intenzione di proteggerti. Chiede se lo stai gia' facendo.