A partire dal 17 gennaio 2025, il Digital Operational Resilience Act (DORA) dell'UE è pienamente esecutivo. Per banche, assicuratori, società di investimento, processori di pagamenti, e centinaia di altre entità finanziarie che operano nell'UE, l'era dell'auto-certificazione sulla resilienza digitale è finita.

DORA introduce requisiti vincolanti e specifici per la gestione del rischio ICT, la classificazione e la segnalazione degli incidenti, i test di resilienza operativa digitale, e la gestione dei rischi di terze parti. La non conformità espone le imprese all'azione di supervisione, ammende significative, e — criticamente — responsabilità personale per i senior manager.

Il dark web monitoring non è menzionato per nome in DORA. Ma quando leggi cosa DORA effettivamente richiede, diventa chiaro che l'intelligence continua sulla minacce dark web è uno dei controlli tecnici più direttamente disponibili per soddisfare gli obblighi core della regolamentazione.

Questa guida spiega esattamente come.

Cos'è DORA e Chi Lo Applica

Il Digital Operational Resilience Act (Regolamento UE 2022/2554) stabilisce un framework unificato per la resilienza operativa digitale in tutto il settore finanziario dell'UE. A differenza di una direttiva (che deve essere transposta nel diritto nazionale), DORA è un regolamento — si applica direttamente e uniformemente in tutti gli stati membri dell'UE.

DORA si applica a:

• Istituti di credito (banche)
• Istituzioni di pagamento e istituzioni di moneta elettronica
• Società di investimento
• Fornitori di servizi di cripto-asset (CASP)
• Imprese di assicurazione e riassicurazione
• Fondi pensionistici e gestori di patrimonio
• Agenzie di rating del credito
• Società di audit
• Fornitori di servizi ICT di terze parti designati come "critici" dai regolatori

Se la tua organizzazione fornisce servizi a qualsiasi di quanto sopra, potresti anche essere soggetto ai requisiti DORA direttamente o attraverso obblighi contrattuali imposti dai tuoi clienti.

I Cinque Pilastri di DORA e Dove Si Adatta il Dark Web Monitoring

Pilastro 1: Gestione del Rischio ICT (Articoli 5–16)

DORA richiede alle entità finanziarie di implementare un framework completo di gestione del rischio ICT che includa:

• Identificazione continua di tutti i rischi correlati a ICT
• Misure di protezione e prevenzione proporzionate ai rischi identificati
• Capacità di rilevamento per identificare attività anomale
• Procedure di risposta e ripristino con RPI e RTO definiti
• Apprendimento e evoluzione — aggiornamento delle valutazioni di minaccia basate su nuova intelligence

Il dark web monitoring supporta direttamente questo pilastro. La regolamentazione richiede alle imprese di implementare processi per rilevare gli incidenti correlati a ICT, incluse "attività ICT anomale." Le credenziali che compaiono su mercati dark web, gli attori di minaccia che discutono l'infrastruttura della tua impresa, o gli stealer log che rivelano sessioni di dipendenti compromesse sono esattamente il tipo di segnali pre-incidente che i requisiti di rilevamento di DORA sono progettati per catturare.

Secondo l'Articolo 10, le imprese devono avere la capacità di rilevare attività anomale "il più rapidamente possibile." Il monitoraggio dark web in tempo reale — con avvisi che scattano entro pochi minuti da una nuova scoperta — è uno dei pochi controlli tecnici che ti dà questa capacità per le minacce esternamente generate.

Pilastro 2: Gestione degli Incidenti Correlati a ICT, Classificazione e Segnalazione (Articoli 17–23)

Qui è dove DORA diventa operativamente esigente. Le imprese devono:

• Classificare gli incidenti come "principali" o non principali usando i criteri definiti di DORA
• Segnalare gli incidenti principali alle autorità competenti entro stretti tempi
• Emettere notifiche iniziali entro 4 ore dalla classificazione, rapporti intermedi entro 72 ore, e rapporti finali entro 1 mese

I criteri di classificazione includono fattori come il numero di clienti interessati, la criticità dei dati, la durata dell'interruzione del servizio, e il danno reputazionale. Una violazione di credenziali che dà agli attaccanti accesso ai conti dei clienti probabilmente si qualificherebbe come incidente principale.

Il dark web monitoring supporta la classificazione precoce degli incidenti. Scoprire che le credenziali dei dipendenti sono attivamente vendute su un forum dark web — prima che qualsiasi accesso al sistema sia rilevato — offre al tuo team di risposta agli incidenti un avvertimento anticipato per indagare, classificare, e preparare la segnalazione prima che si verifichi una violazione completa.

L'orologio di 4 ore inizia dalla classificazione, non dalla scoperta. La scoperta più precoce significa una segnalazione meglio preparata.

Pilastro 3: Test di Resilienza Operativa Digitale (Articoli 24–27)

DORA richiede test regolari della resilienza operativa digitale, incluse valutazioni delle vulnerabilità, test di penetrazione, e — per entità significative — test avanzati di Penetrazione Guidata da Minaccia (TLPT).

TLPT è un approccio strutturato basato su intelligence sulle minacce (basato sul framework TIBER-EU) in cui la fase di intelligence sulle minacce comporta la ricerca di cosa gli attori di minaccia reali sanno e stanno attivamente prendendo di mira nella tua organizzazione.

Il dark web monitoring fornisce il layer di intelligence per TLPT. Comprendere quali credenziali, documenti, e informazioni sull'infrastruttura sulla tua impresa sono attualmente disponibili sul dark web è un input fondamentale per il componente Targeted Threat Intelligence (TTI) di qualsiasi esercizio TIBER/TLPT.

Pilastro 4: Gestione del Rischio di Terze Parti ICT (Articoli 28–44)

DORA impone obblighi significativi su come le imprese finanziarie gestiscono le relazioni con i fornitori di terze parti ICT. Le imprese devono:

• Mantenere un registro completo di tutti gli accordi contrattuali ICT
• Condurre due diligence su fornitori ICT nuovi ed esistenti
• Includere disposizioni contrattuali specifiche che coprano l'accesso ai dati, gli standard di sicurezza, i diritti di audit, e la notifica degli incidenti
• Monitorare e valutare il rischio di terze parti ICT continuamente

L'esposizione della catena di approvvigionamento è un caso d'uso del dark web monitoring. Quando un fornitore o un provider di servizi ICT su cui la tua impresa si affida appare in una violazione, un'esposizione di credenziali, o una discussione su un forum dark web, è un evento di rischio di terze parti che DORA richiede di valutare e affrontare.

DarkVault monitora le esposizioni di terze parti e della catena di approvvigionamento — avvisandoti quando un'impresa su cui dipendi emerge in una perdita dark web, prima che quell'esposizione diventi tuo problema.

Pilastro 5: Accordi sulla Condivisione di Informazioni (Articolo 45)

DORA incoraggia le entità finanziarie a partecipare ad accordi sulla condivisione di intelligence sulle minacce. Le imprese che partecipano a ISAC (Information Sharing and Analysis Centers) o comunità di intelligence specifiche del settore beneficiano di una consapevolezza più ampia delle minacce e possono ricevere un trattamento preferenziale dai supervisori.

L'intelligence sulle minacce operazionalizzata dal dark web monitoring fluisce direttamente nei programmi di condivisione di informazioni. L'intelligence specifica e contestuale da fonti dark web — nuove campagne, perdite di credenziali, discussioni degli attori di minaccia — è esattamente quello che le comunità di condivisione di informazioni sono progettate per scambiare.

I Requisiti di Threat Intelligence di DORA: Leggendo Tra le Righe

L'Articolo 13 di DORA richiede specificamente che le entità finanziarie abbiano processi per:

"Raccogliere informazioni su vulnerabilità e minacce informatiche, e analizzarle per comprendere come potrebbero influenzare i sistemi ICT dell'entità finanziaria."

Questo è quanto di più vicino a un requisito di dark web monitoring diretto come il linguaggio regolamentare può arrivare senza nominare una tecnologia specifica. Il dark web è dove le vulnerabilità nei tuoi sistemi sono discusse, dove le credenziali estratte da quei sistemi sono vendute, e dove gli attori di minaccia annunciano le loro intenzioni.

Un'impresa che monitora solo la telemetria interna e ignora l'intelligence sulle minacce esternamente disponibile non sta adempiendo a questo requisito.

Conformità Pratica a DORA con DarkVault

Ecco come DarkVault mappa ai requisiti tecnici di DORA:

Cosa I Supervisori Cercheranno

I supervisori finanziari europei (BCE, EBA, autorità competenti nazionali) che conducono ispezioni DORA esamineranno la prova che le imprese hanno:

• Implementato processi di monitoraggio continuo del rischio ICT
• Possono dimostrare il rilevamento precoce di minacce informatiche
• Hanno valutazioni dei rischi di terze parti documentate
• Conducono test regolari di resilienza operativa informati da intelligence sulle minacce attuali

I rapporti di dark web monitoring, i registri degli avvisi, e le procedure di risposta documentate forniscono esattamente questo tipo di prova. Le imprese con programmi di monitoraggio ben documentati sono significativamente meglio posizionate nelle revisioni di supervisione.

Iniziare: La Tua Checklist di Dark Web Monitoring per DORA

Prima della tua prossima revisione di supervisione, conferma di avere:

• ✅ Monitoraggio continuo dei mercati di credenziali dark web e forum
• ✅ Rilevamento stealer log per il compromesso dei dispositivi dei dipendenti
• ✅ Avvisi in tempo reale con procedure di risposta documentate
• ✅ Copertura di monitoraggio di terze parti e della catena di approvvigionamento
• ✅ Rapporto automatizzato per visibilità della prova e a livello di consiglio
• ✅ Integrazione con il tuo flusso di lavoro di gestione degli incidenti

Vedi la tua esposizione dark web attuale in 60 secondi. Esegui una scansione gratuita del dominio — nessuna registrazione richiesta — per comprendere la tua baseline prima della tua prossima valutazione DORA. Poi inizia una prova di 14 giorni con accesso completo alla piattaforma per costruire la capacità di monitoraggio continuo che DORA richiede.

Domande Frequenti

DORA è già in vigore? Sì. DORA è diventato pienamente esecutivo il 17 gennaio 2025. Tutte le entità finanziarie in-scope dovrebbero già avere i loro programmi di conformità operativi.

DORA richiede specificamente il dark web monitoring? Non per nome. Ma i requisiti di DORA per l'identificazione continua del rischio ICT, il rilevamento di attività anomale, e la raccolta di intelligence sulle minacce sono più completamente soddisfatti attraverso il dark web monitoring come controllo tecnico core.

Chi applica DORA? Autorità competenti nazionali (ANC) di ogni stato membro dell'UE, la Banca Centrale Europea (per istituti di credito significativi), e per fornitori di servizi ICT di terze parti critici, team di supervisione congiunta composti dalle ESA (EBA, ESMA, EIOPA).

Quali sono le sanzioni di DORA per la non conformità? Per le entità finanziarie, le ANC possono imporre misure di supervisione, richiedere passaggi di remediazione specifici, e — per i fallimenti ripetuti — sanzioni finanziarie. Per i fornitori di servizi ICT di terze parti critici, il Framework di Supervisione può imporre pagamenti di sanzioni periodiche fino all'1% del fatturato mondiale medio giornaliero.