DORA, SOC 2 e ISAE 3402: conformità per i fornitori di servizi IT svizzeri

Questa è una trascrizione automatica del nostro podcast. In fondo alla pagina troverete il link al podcast.

DORA, SOC 2, ISAE 3402: tre concetti, un unico obiettivo

Chi opera nel settore finanziario svizzero, in quello sanitario o in altri settori regolamentati non può più ignorare questi tre concetti.

DORA (Digital Operational Resilience Act) è un regolamento europeo in vigore dal gennaio 2025. Regola i fornitori di servizi ICT in relazione ai rischi di terze parti e richiede una gestione sistematica dell'intera catena di fornitura. A differenza delle precedenti direttive FINMA svizzere, che si limitano alle esternalizzazioni significative, DORA include esplicitamente anche i subfornitori e le quarti parti.

SOC 2 (Service Organization Controls 2) verifica come le aziende gestiscono i rischi. Lo standard segue i Trusted Service Criteria e si concentra sui rischi IT, sulla disponibilità, sulla riservatezza e sull'integrità dei dati. SOC 2 è particolarmente rilevante nei settori sensibili che richiedono una gestione dei rischi dimostrabilmente efficace.

L'ISAE 3402 è uno standard di revisione internazionale destinato ai fornitori che prestano servizi ad altri soggetti. Il rapporto di revisione che ne deriva risponde alla domanda fondamentale: il sistema di controllo interno del fornitore è strutturato in modo solido e funziona anche nella pratica quotidiana? Un rapporto ISAE 3402 di Tipo II copre un periodo di revisione più lungo e dimostra che i controlli non solo sono definiti, ma vengono anche attuati in modo efficace.

Mentre una certificazione ISO 27001 dimostra che un'azienda dispone di un piano, SOC 2 e ISAE 3402 verificano se tale piano funziona effettivamente. Questa verifica dell'efficacia fa la differenza decisiva.

Perché il regolamento DORA riguarda anche i fornitori IT svizzeri

Molte aziende svizzere ritengono che il regolamento DORA, essendo un atto normativo dell'UE, non sia rilevante per loro. Si tratta di un errore. Non appena un fornitore di servizi IT serve clienti che devono sottostare al regolamento DORA – come banche o compagnie assicurative con attività nell'UE – entra a far parte della catena di fornitura regolamentata.

In pratica ciò significa che le garanzie contrattuali da sole non sono più sufficienti per molti clienti. Essi richiedono una verifica indipendente che dimostri in modo standardizzato che il fornitore soddisfa i requisiti. Per i fornitori di servizi IT ciò comporta un chiaro vantaggio: invece di rispondere singolarmente alle richieste dei singoli clienti, una verifica uniforme crea uno standard che vale allo stesso modo per tutti i clienti.

I numeri sottolineano l'urgenza: secondo il reporting della FINMA, circa il 47% di tutti gli incidenti segnalati è attribuibile a carenze di terze parti. È proprio questo il rischio che DORA affronta – ed è proprio per questo che gli auditor stanno prestando sempre più attenzione a come i fornitori IT gestiscono la loro catena di fornitura.

Cosa significa davvero la compliance nella pratica quotidiana

Affinché un audit apporti un valore aggiunto ai clienti, non basta documentare i processi. Questi devono essere messi in pratica quotidianamente e la loro attuazione deve essere dimostrabile. Ciò comporta responsabilità chiare, una documentazione completa e controlli che vengono effettuati e verificati regolarmente.

Gli auditor non verificano solo se i processi esistono, ma anche se funzionano in modo stabile per un periodo di tempo prolungato, sulla base di registri, campioni e prove. Le aziende che affrontano la compliance come un progetto una tantum sottovalutano sistematicamente questo impegno. Chi invece concepisce la compliance come un processo continuo affronta un audit in modo decisamente più rilassato: basta semplicemente mostrare come si lavora già.

L'aspetto culturale è fondamentale in questo contesto. La compliance inizia dalla cultura aziendale. Anche nei settori soggetti a regolamentazione, una cultura della compliance vissuta non è scontata. Le aziende che concepiscono la compliance strategicamente come un vantaggio competitivo e non solo come un obbligo si distinguono fondamentalmente da quelle che si limitano a spuntare le liste di controllo.

La compliance non è un progetto con una scadenza precisa: è un processo continuo che parte dalla cultura aziendale. Chi vive la compliance invece di limitarsi a spuntarla su una lista, crea fiducia, riduce i rischi e guadagna tempo per dedicarsi all’essenziale.

Installarlo da soli o affidarsi a un fornitore certificato?

Le aziende che intendono implementare la conformità in modo autonomo spesso sottovalutano l'impegno richiesto. Non servono solo le tecnologie, ma anche competenze interne in materia di sicurezza informatica, gestione dei rischi e conformità, processi e controlli chiaramente definiti e, spesso, anche una consulenza esterna. Possono trascorrere rapidamente diversi mesi o addirittura anni prima che un'azienda sia pronta per un audit. A seconda della complessità, i costi possono variare da cinque a sei cifre.

Chi lavora con un provider IT certificato riceve molti di questi elementi come servizio integrato. Ciò non solo fa risparmiare tempo di implementazione, ma alleggerisce anche notevolmente il proprio processo di audit: i rapporti di verifica standardizzati secondo ISAE 3402 o SOC 2 danno al cliente la certezza che i servizi esternalizzati siano verificati in modo indipendente. In pratica, ciò si traduce in un alleggerimento del carico di lavoro del 30-50% per quanto riguarda gli audit interni.

È importante sottolineare che il cliente non cede la propria responsabilità. Rimane responsabile della propria conformità complessiva e deve comprendere come i servizi esternalizzati siano integrati. Tuttavia, non deve costruire da solo le fondamenta, ma può basarsi su qualcosa che è già stato verificato e ha dato prova di efficacia.

Le principali insidie nell'attuazione

Le difficoltà iniziano già dalla comprensione. Il panorama normativo è complesso: direttive FINMA, DORA, NIS 2, Cyber Resilience Act, legge sulla protezione dei dati – quali normative si applicano dipende dal settore, dalle dimensioni e dall’area di mercato. Il principio di proporzionalità implica che una micro-banca con cinque dipendenti e una grande banca debbano sostanzialmente soddisfare gli stessi requisiti, ma in misura diversa.

Per le aziende con punti di contatto con l'UE, la situazione diventa ancora più complessa, perché le normative locali e quelle sovraordinate devono interagire tra loro. Capire quali rapporti di revisione coprano quali requisiti e come si completino a vicenda è come un puzzle.

A livello operativo, spesso mancano le risorse interne per creare e mantenere i processi di compliance. Soprattutto le aziende soggette a nuove normative – come i gestori patrimoniali dopo la nuova regolamentazione della FINMA – si trovano di fronte alla sfida di dover creare all’improvviso strutture di compliance per le quali non c’è né esperienza né capacità a livello interno.

Conformità e innovazione: non è una contraddizione

Per i fornitori di servizi IT l’innovazione è essenziale, che si tratti di IA, nuovi software o tecnologie cloud. La conformità non deve ostacolare l’innovazione, ma deve definire il quadro entro il quale essa possa avvenire in modo responsabile. Ciò richiede una conformità che si muova consapevolmente in una zona grigia positiva: assumersi rischi che possano essere adeguatamente coperti senza oltrepassare i limiti.

In questo contesto, un eccesso di controllo rappresenta un pericolo maggiore rispetto a un'adeguata propensione al rischio. Una burocrazia interna di compliance eccessiva frena un'azienda più rapidamente di un rischio controllato. La chiave sta nella gestione del rischio: assumersi consapevolmente dei rischi, documentarli in modo trasparente e consentire una certa tolleranza, purché i controlli fondamentali funzionino.

Cosa attende le aziende: governance dell'IA e Cyber Resilience Act

Nei prossimi due o tre anni, due temi in particolare caratterizzeranno il panorama della conformità.

La governance dell'IA sta diventando sempre più rilevante per le aziende che lavorano con l'intelligenza artificiale. Nell'UE l'IA è soggetta a una regolamentazione restrittiva. La Svizzera persegue invece un approccio volutamente diverso: anziché regolamentare in modo troppo restrittivo, si punta a promuovere l'innovazione e a sfruttare il vantaggio competitivo offerto dalla propria posizione. Le aziende dovrebbero comunque creare tempestivamente un quadro di governance dell'IA, poiché i requisiti in materia di protezione e trattamento dei dati aumentano enormemente con l'adozione dell'IA.

A partire dal 2027, il Cyber Resilience Act riguarderà tutte le aziende che producono o importano prodotti in grado di connettersi a una rete o a Internet. Per le aziende svizzere che operano nell'UE, ciò comporterà un cambiamento significativo.

A livello generale, il concetto di resilienza operativa sta acquisendo sempre più importanza: la capacità di riprendersi rapidamente da incidenti imprevisti e di mantenere l'operatività. Non si tratta di una misura una tantum, ma di una capacità che ogni azienda deve sviluppare e mantenere costantemente.

Tre fattori che trasformano la conformità in un vantaggio competitivo

Per i fornitori di servizi IT che applicano la conformità in modo coerente, ne derivano tre vantaggi concreti.

In primo luogo, l’accesso al mercato: più certificazioni e audit un fornitore può dimostrare di possedere, più facilmente riesce ad accedere a clienti di grandi dimensioni e soggetti a regolamentazione. Nelle gare d’appalto, una conformità dimostrabile è oggi sempre più un criterio imprescindibile.

In secondo luogo, l’efficienza: processi uniformi e sottoposti a audit per i settori di attività essenziali snelliscono l’operatività. Anziché rispondere singolarmente alle richieste di conformità, esiste uno standard valido per tutti.

In terzo luogo, il sollievo per i clienti: i clienti il cui fornitore IT è già stato sottoposto a audit risparmiano in modo significativo sui propri audit. Ciò semplifica la collaborazione e rafforza la fidelizzazione dei clienti.

Ascolta il podcast completo (in tedesco):UMB IT Expert Talk – Compliance im Fokus: DORA, SOC 2 & ISAE 3402

Per saperne di più:Sicurezza e protezione dei dati presso UMB | UMB Cyber Security | Security Services