Regulatory & Ops Command Center
Stato compliance DORA e KPI operativi in tempo reale
Pilastri DORA
5Regolamento (UE) 2022/2554 - Digital Operational Resilience Act
Incidenti ICT
5Timeline e stato delle segnalazioni DORA Art. 17-23
Degrado prestazionale del core banking
BassaRilevatoMalfunzionamento del sistema di firma digitale
MediaClassificatoAttacco DDoS ai servizi di home banking
CriticaReport IntermedioAnomalia nel sistema di pagamenti SEPA
AltaRisoltoAccesso non autorizzato al sistema documentale
AltaNotificatoRischio Fornitori ICT
10Due diligence e monitoraggio continuo DORA Art. 28-30
| Fornitore | Categoria | Risk Score | Contratto | Critico | Paese | Ultimo Audit |
|---|---|---|---|---|---|---|
O Oracle Cloud Database cloud, ERP finanziario | Cloud | 72 | Non Conforme | -- | Stati Uniti | 22 mar 2025 |
C Cedacri (ION Group) Core banking outsourcing, Segnalazioni Banca d'Italia +1 | Data | 68 | Non Conforme | Sì | Italia | 12 apr 2025 |
S Snowflake Data warehouse, Data sharing +1 | Data | 55 | In Scadenza | -- | Stati Uniti | 30 giu 2025 |
T Temenos Wealth management platform, Fund administration | Data | 45 | In Revisione | -- | Svizzera | 14 ago 2025 |
S SIA (Euronet) Rete interbancaria, Clearing SEPA +1 | Payments | 35 | In Revisione | Sì | Italia | 15 set 2025 |
I InfoCert S.p.A. Firma digitale, PEC +1 | Security | 32 | Attivo | -- | Italia | 01 nov 2025 |
N Nexi S.p.A. POS acquiring, Carte di pagamento +1 | Payments | 30 | Attivo | Sì | Italia | 10 dic 2025 |
M Microsoft Azure Microsoft 365, Azure AD +2 | Cloud | 28 | Attivo | Sì | Paesi Bassi (UE) | 05 ott 2025 |
A AWS (Amazon Web Services) IaaS, Database gestito +2 | Cloud | 25 | Attivo | Sì | Irlanda (UE) | 20 nov 2025 |
C CrowdStrike EDR, Threat intelligence +1 | Security | 22 | Attivo | Sì | Stati Uniti | 18 dic 2025 |
Segnali di Rischio
6Alert e raccomandazioni dal motore di analisi AI
Contratto con Cedacri (ION Group) non conforme ai requisiti DORA art. 30: mancano clausole su diritti di audit e strategie di exit. Scadenza remediation superata.
Rilevato aumento del 340% nel volume di tentativi di phishing mirati ai dipendenti nell'ultima settimana. Campagna sofisticata con spoofing del dominio aziendale.
Oracle Cloud non ha fornito la certificazione SOC 2 Type II aggiornata entro la scadenza contrattuale. Audit precedente risale a marzo 2025.
Il tempo medio di classificazione degli incidenti ICT negli ultimi 30 giorni e di 52 minuti, superiore al target interno di 30 minuti previsto dalla procedura operativa.
Contratto Snowflake in scadenza tra 45 giorni. Il fornitore non e stato ancora valutato secondo i nuovi criteri DORA per il rinnovo. Dati di 3 business unit ospitati sulla piattaforma.
Test di disaster recovery del core banking completato con successo. RTO effettivo: 2h 15min (target: 4h). RPO effettivo: 12 min (target: 30 min). Tutti i servizi critici ripristinati.
Lo stato di compliance DORA e complessivamente positivo con un punteggio medio del 81.4%. L'area critica e Third-Party Risk Management (54%) con 12 finding aperti: mancano clausole DORA Art. 30 per 2 fornitori. Negli ultimi 30 giorni si registrano 3 incidenti ad alta severita, di cui 1 attacco DDoS critico ancora in fase di report intermedio. Si raccomanda: (1) negoziazione urgente addendum contrattuale con Cedacri/ION Group; (2) accelerare la due diligence Oracle Cloud per ottenere SOC 2 Type II aggiornato; (3) migliorare i tempi di classificazione incidenti ICT (attualmente 52 min vs target 30 min).