L’intelligenza artificiale entra nella gestione dei pagamenti, nel monitoraggio delle frodi, nell’analisi degli alert di sicurezza e nella valutazione del rischio di credito. In questo scenario la cyber security diventa una questione di stabilità complessiva dei servizi e dei mercati. Il punto non è solo se un’azienda venga colpita da un attacco, ma se quell’evento possa trasformarsi nel detonatore di una crisi più ampia. Ecco perché è necessario comprendere il concetto di rischio sistemico cyber e il modo in cui DORA, il Digital Operational Resilience Act, si propone come strumento chiave per affrontarlo.
Che cos’è il rischio sistemico cyber nell’era dell’IA
Per capire la portata del rischio sistemico cyber è utile confrontarlo con la visione “classica” della sicurezza informatica.
Per anni ci si è concentrati su incidenti puntuali: un database violato, un ransomware che blocca i sistemi, un data breach da gestire e comunicare. Oggi questa dimensione resta importante, ma non è più sufficiente a descrivere ciò che accade in un ecosistema digitale in cui molte organizzazioni condividono gli stessi mattoni tecnologici.
Quando banche, assicurazioni, fintech e fornitori di servizi critici dipendono dagli stessi provider cloud, dagli stessi software di base, dagli stessi framework di IA e da catene di fornitura digitale intrecciate, un singolo punto di vulnerabilità può innescare una serie di guasti a cascata.
Il rischio sistemico cyber è proprio la possibilità che un evento localizzato si propaghi lungo queste interdipendenze fino a produrre effetti che superano di molto il danno subito dal soggetto inizialmente colpito. L’IA amplifica ulteriormente questo quadro con un modello di rilevamento delle frodi adottato in modo uniforme da decine di istituti, se vulnerabile, diventa un punto di rottura comune. Una pipeline di modelli, in cui l’output di uno alimenta il successivo, può diffondere errori silenziosi lungo l’intero flusso decisionale.
Interfacce di IA integrate in sistemi di trading o gestione della liquidità possono, se manipolate, spostare decisioni operative su larga scala. L’omogeneità tecnologica, efficiente dal punto di vista dei costi, riduce la diversità difensiva e crea superfici di attacco uniformi che l’attaccante può sfruttare contemporaneamente in più punti.
Perché DORA rappresenta un cambio di paradigma
DORA è la risposta europea più avanzata a questa trasformazione, in quanto non nasce come l’ennesima norma sulla sicurezza informatica, ma come un regolamento che affronta direttamente la resilienza operativa del sistema finanziario nel suo complesso. Il presupposto è che gli operatori non siano entità isolate, bensì nodi di una rete che poggia su infrastrutture digitali condivise, spesso esterne al loro perimetro.
Il regolamento chiede alle banche, alle imprese di investimento, ai gestori di servizi di pagamento e ad altri soggetti vigilati di mappare in modo dettagliato le proprie dipendenze ICT, identificare le funzioni realmente critiche e valutare come un incidente potrebbe propagarsi lungo le catene tecnologiche e organizzative. In questo contesto, il rischio che nasce da fornitori cloud, servizi di outsourcing, componenti software strategiche e, sempre di più, modelli di IA integrati nei processi core, non viene più considerato “esterno”, ma parte integrante del rischio operativo dell’istituzione.
La prospettiva è chiaramente macroprudenziale: non interessa soltanto la capacità del singolo attore di reagire a un attacco, ma la tenuta dell’intero sistema di fronte a incidenti che colpiscono nodi di concentrazione del rischio.
Per questo DORA insiste su aspetti come l’inventario delle dipendenze critiche, il testing avanzato di scenari severi, il controllo sui fornitori ICT essenziali e la capacità di mantenere continuità operativa anche in presenza di shock tecnologici importanti.
Come l’IA si intreccia con il rischio DORA
Sebbene DORA non sia un regolamento sull’intelligenza artificiale, l’IA è ormai parte del contesto che la norma deve governare. Nei processi finanziari, modelli di machine learning e sistemi più avanzati vengono utilizzati per filtrare transazioni sospette, rilevare pattern fraudolenti, classificare traffico di rete, supportare decisioni di credito, orchestrare la risposta a incidenti di sicurezza.
In un contesto del genere, il rischio non è solo che un modello specifico sbagli la valutazione su un singolo evento, ma che un difetto comune a più modelli o a un framework largamente riutilizzato generi un errore ripetuto su scala ampia.
Se numerosi attori si affidano alle stesse soluzioni di IA come “cervello” dei loro processi, un attacco mirato a quei componenti può produrre un effetto sincronizzato su più istituzioni. Allo stesso modo, l’uso di pipeline complesse, in cui i risultati di un modello alimentano altri modelli e sistemi, aumenta la difficoltà di prevedere come un incidente iniziale si propagherà nel tempo.
La logica di DORA, che spinge a mappare il perimetro tecnologico, a valutare l’impatto di un guasto nei fornitori critici e a testare scenari di crisi severi, offre una griglia utile per affrontare anche questo tipo di rischio.
Non basta sapere che l’IA è presente nei processi: occorre capire dove entra, che ruolo ha, da chi dipende, che cosa accadrebbe se smettesse improvvisamente di funzionare o fosse compromessa.
Dal “tick the box” alla resilienza come scelta di governance
Un punto decisivo, spesso trascurato, riguarda il modo in cui DORA viene interpretato dentro le organizzazioni. In molti casi la reazione spontanea è leggere il regolamento come un elenco di adempimenti: policy da aggiornare, registri da mantenere, procedure di notifica da definire, clausole contrattuali da inserire con i fornitori. Tutto questo è necessario, ma non esaurisce la portata del cambiamento.
Il vero salto di qualità emerge quando la resilienza operativa viene letta come una scelta di governance e non come un mero dossier tecnico. Significa che il consiglio di amministrazione, la direzione generale e le funzioni chiave iniziano a interrogarsi non solo su “quali obblighi abbiamo”, ma su “dove si concentra davvero il nostro rischio digitale” e “quanta dipendenza abbiamo creato rispetto a componenti, fornitori e modelli che non controlliamo direttamente”.
Antonino Polimeni avvocato e fondatore di Polimeni.Legal, si esprime sull’argomento osservando che «La resilienza operativa non si costruisce accumulando policy, registri e framework documentali, ma attraverso scelte strutturali consapevoli su architetture, catene di fornitura e modalità di integrazione dell’intelligenza artificiale nei processi critici. Ciò implica assumere il rischio sistemico come parametro di progettazione e non come variabile da misurare ex post: significa selezionare i fornitori ICT in funzione dell’impatto potenziale sulla continuità del servizio, disegnare infrastrutture che evitino la concentrazione di singoli punti di fallimento e governare l’adozione dei modelli di IA in modo da ridurre, e non amplificare, le interdipendenze opache. Solo in questa logica – conclude Polimeni – la documentazione di compliance diventa la rappresentazione coerente di scelte organizzative e tecnologiche realmente orientate alla prevenzione del rischio sistemico.»
Quando si riconosce che un incidente è, prima o poi, inevitabile, l’obiettivo diventa evitare che quell’evento isolato si trasformi in un effetto domino.
Questo comporta domande molto concrete: quante alternative reali abbiamo se un provider critico si ferma, quanta visibilità possediamo sulle catene di subfornitura, che margine di controllo abbiamo sugli algoritmi che regolano processi essenziali, quali meccanismi abbiamo predisposto per limitare il contagio in caso di compromissione di un modello comune.
Cosa significa, in pratica, governare il rischio sistemico cyber
Per un’organizzazione regolata o fortemente digitalizzata, governare il rischio sistemico cyber significa innanzitutto riconoscere che non esiste più un confine netto tra “dentro” e “fuori” il proprio perimetro.
Le dipendenze da fornitori cloud, piattaforme, servizi di IA e software condivisi rendono il rischio un fenomeno di rete. In questo contesto DORA invita a ragionare su scale diverse: dalla singola vulnerabilità al nodo strutturale, dalla gestione dell’incidente alla tenuta del sistema.
In termini operativi, questo si traduce in una maggiore attenzione alla mappatura delle interdipendenze, alla progettazione di scenari di crisi realistici, alla costruzione di piani di continuità che considerino anche la perdita improvvisa di componenti critici esterni.
Si traduce anche in un dialogo più stretto tra funzioni legali, compliance, IT, sicurezza e business, perché le decisioni sui fornitori, sull’adozione di framework di IA o sulla centralizzazione dei servizi non sono più neutre rispetto al rischio regolatorio e sistemico.
Il messaggio che emerge è che DORA non è soltanto una norma obbligatoria da rispettare entro una certa data, ma un’occasione per misurare la maturità con cui un’impresa legge il proprio ruolo dentro reti complesse.
