Care lettrici, cari lettori,
questo gennaio ha portato con sé una novità non indifferente per il mondo legale d’impresa: l'entrata in vigore, dallo scorso venerdì 17, del Digital Operational Resilience Act, detto anche DORA. Il nuovo regolamento – che tocca tasti delicati come la gestione del rischio ICT, il reporting degli incidenti, i test di resilienza e gli standard di sicurezza delle terze parti – ha iniziato la sua marcia nel settore finanziario, segnando una svolta soprattutto per quelle realtà, come le banche digitali, che operano in un ecosistema completamente tecnologico.
Al suo arrivo, in realtà, il comparto legale in house si stava preparando da tempo. Lo scorso dicembre, per esempio, abbiamo ospitato sulle pagine di MAG un intervento di Federica Pavesi, chief legal, corporate affairs, collection & privacy di Banca Aidexa, che sottolineava come, proprio nell’implementazione del DORA, un ruolo cruciale lo giochino ancora una volta i general counsel. D’altronde, non potrebbe essere altrimenti: non solo perché ormai qualsiasi novità a livello normativo, sociale ed economico entra di default nella to-do-list del legale interno, ma anche perché, in questo caso, la sfida è tanto tecnologica quanto culturale e organizzativa.
E per una ragione precisa: il DORA non è solo un insieme di regole sulla resilienza digitale, ma un'opportunità strategica di trasformare i nuovi obblighi in opportunità concrete di business. Non si tratta solo di compliance, ma di ripensare processi e strutture in chiave innovativa. Il che richiede una visione d'insieme che solo il giurista d'impresa, per sua natura abituato a dialogare con tutte le funzioni aziendali e a mettere in moto la trasformazione aziendale, può garantire.
La partita è complessa e richiede un gioco di squadra serrato, soprattutto con i team IT e organization. La domanda che sorge spontanea è: come si muoveranno le aziende che, a differenza di banche digitali e telco, non sono abituate a navigare le acque burrascose della cyber resilience?
