• Chi Siamo
  • Pubblicità
  • Il Team
  • Contatti
giovedì, Luglio 16, 2026
BrokerChannel | Il Magazine del Broker di Assicurazioni
  • News
    • Mergers & Acquisitions
    • Mercato
    • Operatori
    • Normativa
  • Rubriche
    • Tavolo Manageriale
    • Quaderno di Risk Management
    • Quaderno Attuariale & Tecnico
    • Osservatorio Legale
    • Osservatorio Rischio Sanità
    • Laboratorio di Psicologia del Rischio
    • Forum Marketing & Comunicazione
    • Notebook di Storia delle Assicurazioni
    • Radar InsurTech
  • Interviste
    • CEO & Top Management
    • Protagonisti del Brokeraggio
    • Istituzioni e Associazioni
    • Innovazione e Insurtech
  • Editoriali
  • Analisi & Approfondimenti
  • Novità dai Partner
  • Eventi
Nessun risultato
Vedi tutti i risultati
  • News
    • Mergers & Acquisitions
    • Mercato
    • Operatori
    • Normativa
  • Rubriche
    • Tavolo Manageriale
    • Quaderno di Risk Management
    • Quaderno Attuariale & Tecnico
    • Osservatorio Legale
    • Osservatorio Rischio Sanità
    • Laboratorio di Psicologia del Rischio
    • Forum Marketing & Comunicazione
    • Notebook di Storia delle Assicurazioni
    • Radar InsurTech
  • Interviste
    • CEO & Top Management
    • Protagonisti del Brokeraggio
    • Istituzioni e Associazioni
    • Innovazione e Insurtech
  • Editoriali
  • Analisi & Approfondimenti
  • Novità dai Partner
  • Eventi
Nessun risultato
Vedi tutti i risultati
BrokerChannel | Il Magazine del Broker di Assicurazioni
Nessun risultato
Vedi tutti i risultati
Home Rubriche Quaderno di Risk Management

Il Risk Appetite Framework (RAF) e le interazioni con il DORA nel mondo assicurativo

Massimo Adelfio di Massimo Adelfio
16/04/2026
A A
RAF

RAF e DORA

Il Digital Operational Resilience Act (DORA, Regolamento UE 2022/2554) è la normativa europea, in vigore dal 17 gennaio 2025, che armonizza i requirements in materia di sicurezza ICT per gli operatori settore finanziari. Con il DORA, il legislatore interviene sulle modalità necessarie a rafforzare il quadro relativo alla resilienza operativa digitale, agendo attraverso cinque pilastri fondamentali:

  • Gestione dei Rischi ICT: Governance strutturata e policy di sicurezza.
  • Segnalazione Incidenti: Classificazione e notifica tempestiva agli enti di vigilanza.
  • Test di Resilienza Operativa: Prove periodiche.
  • Gestione dei Rischi Terze Parti: Monitoraggio dei fornitori ICT, con focus sui fornitori “DORA critical”.
  • Condivisione delle Informazioni: Scambio di dati sulle minacce cyber.

Il DORA enfatizza l’importanza dei presidi dei rischi ICT e operativi nelle imprese di assicurazione, tenuto conto del sempre crescente rischio legato ai sistemi informatici.

Il Risk Appetite Framework (RAF) rappresenta lo strumento con cui il Consiglio di Amministrazione definisce il livello di rischio accettabile, in relazione alle caratteristiche del business. Il Risk Appetite Framework è composto da metriche e limiti operativi collegati tra loro e monitorati periodicamente. Il monitoraggio del profilo di rischio, nonché la definizione della propensione al rischio e il rispetto dei vari limiti identicati, sono effettuati sia in ottica prospettica che attuale. Inoltre, un’attenta e tempestiva revisione del framework è necessaria al fine di garantirne il continuo aggiornamento e un adeguato livello di efficacia nel tempo.

Un corretto collegamento tra RAF e risk assessment DORA è essenziale per garantire coerenza tra strategia, governance e resilienza digitale. La necessità di recepire il DORA da parte degli operatori assicurativi, adeguando il proprio framework di policy e procedure, è stata anche oggetto di una specifica lettera al mercato emanate dall’IVASS lo scorso 11 marzo 2025. Sulla scorta di tale aspettativa rappresentata dall’IVASS, appare ancora più rilevante pervenire ad una vista integrata del RAF e del DORA.

Classificazione del rischio ICT nel RAF

All’interno del RAF, il rischio ICT è tipicamente incluso tra i rischi operativi, con potenziali correlazioni con il rischio reputazionale, con quello relativo alla continuità operativa e di outsourcing. Tra l’altro, il RAF deve rappresentare criteri di misurazione qualitativi (ad esempio, politiche di tutela della clientela o del brand, aderenza alla regolamentazione applicabile, fattori ESG, etc) nonchè soglie quantitative misurabili (solvency ratio, limiti degli investimenti, indicatori di liquidità).

Collegamento logico tra RAF e DORA

Da un punto di vista operativo è necessario che il RAF approvato dal Board esprima chiare misure di tolleranza al rischio ICT e definisca in maniera specifica le relative metriche di monitoraggio. Il risk assessment DORA, processo obbligatorio previsto dalla normativa di riferimento, valuta il profilo di rischio ICT effettivo nel continuo, identificando, analizzando e verificando misure di mitigazione del rischio ICT. Tale processo permette di confrontare il rischio assunto e il rischio accettabile, nonché l’attivazione di azioni correttive ed eventuali escalation. Inoltre, consente di realizzare un’analisi dettagliata delle metodologie di valutazione dei singoli rischi, delle analisi di scenario effettuate e collegamento con il Business Continuity Plan aziendale. I punti chiave del processo di risk assessment DORA sono i seguenti:

  • ICT Risk Management Framework: definire, manutenere e testare un framework dei servizi ICT.
  • Asset Management: effettuare ed aggiornare un inventario di tutti i sistemi ICT, incluse le relative dipendenze e interconnessioni.
  • Monitoraggio continuo: monitorare l’evoluzione delle minacce cyber e delle vulnerabilità.
  • Gestione del rischio collegato a terze parti: valutare i rischi derivanti da fornitori esterni ICT e prevedere un registro di queste informazioni.
  • Business Impact Analysis (BIA): valutare come eventuali scenari di interruzione possano impattare l’operatività, e fissare alcune soglie di tolleranza

I risultati di questo processo dovranno quindi essere riflessi all’interno del RAF consentendo una vista consolidata dei vari profili di rischio a cui l’azienda è esposta, e permettendo di identificare eventuali superamenti del risk appetite e definire, di conseguenza, i necessari piani di remediation. Esempi di metriche includono:

  • massima durata accettabile dei downtime dei servizi critici,
  • numero massimo di incidenti ICT gravi,
  • assenza di data breach rilevanti,
  • percentuale di fornitori critici con exit strategy,
  • copertura dei test di resilienza digitale.

Le best practice osservate oggi sul mercato, mostrano una convergenza verso un RAF integrato, caratterizzato da:

  • una chiara e coerente mappatura tra metriche RAF e requisiti DORA,
  • un allineamento con il sistema di incident reporting,
  • BCP/DR e gestione dell’outsourcing,
  • adeguata evidenza documentale delle decisioni del Board.

Il Board è responsabile dell’approvazione del RAF e della supervisione della resilienza digitale. Inoltre, i risultati del DORA risk assessment dovranno poi anche essere utilizzati nell’ORSA operativo e possono comportare revisioni del risk appetite o investimenti ICT, in un’ottica di continuo miglioramento del processo di governo dei rischi – attuali e prospettici – che la compagnia è chiamata a gestire.

a cura di Massimo Adelfio e Caterina De Angelis

Tags: DORAIVASSResilienza OperativaRischio ICTRisk Appetite Framework
CondividiTweetInvia

ArticoliCorrelati

distribuzione assicurativa come processo
Osservatorio Legale

La modulistica non basta: la distribuzione assicurativa come processo

16/07/2026
social media in vacanza
Forum Marketing & Comunicazione

D’estate si posta o si stacca?

15/07/2026
Competenze digitali AI e nuovi modelli consulenziali
Radar InsurTech

Intermediazione Assicurativa nell’Era Digitale: Mindset e Strategie per Cogliere tutte le Opportunità

01/07/2026
  • In primo piano
ricambio generazionale assicurazioni

Assicurazioni, il tempo stringe: senza nuove leve la distribuzione rischia di invecchiare da sola

14/07/2026
Top 20 Broker

La Nuova Mappa del Potere nel Brokeraggio Mondiale

12/07/2026
MGA e compagnie assicurative

MGA e Compagnie, due mestieri diversi: perché oggi in Italia nascono più piattaforme di sottoscrizione che nuove assicurazioni

13/07/2026
brokeraggio medie imprese

I Grandi Broker Hanno Cambiato Rotta. E Puntano Dritti verso le Medie Imprese

10/07/2026

Ultime Notizie

RC professionale su Facile.it

Le polizze RC professionale di Cuora arrivano sui canali digitali di Facile.it

16/07/2026
revisione Solvency II

Solvency II, EIOPA ha finito. La riforma no

16/07/2026
Generali Valore Cultura

Generali celebra il decennale di Valore Cultura, Mattarella inaugura la mostra a Palazzo Bonaparte

16/07/2026
distribuzione assicurativa come processo

La modulistica non basta: la distribuzione assicurativa come processo

16/07/2026

Eventi in programma

Set 14
Tutto il giorno

Master Expert Claims Management (Cineas)

Set 16
Tutto il giorno

La Mobilità Data-Driven: creare efficienza, sicurezza e valore attraverso i dati

Ott 8
Tutto il giorno

Italian MGA Summit: il ruolo delle MGA nel mercato assicurativo italiano

Dic 3
Tutto il giorno

Prova RUI IVASS 2026 – Seconda sessione del 3 dicembre

Vedi Calendario
BrokerChannel | Il Magazine del Broker di Assicurazioni

Il Magazine del Broker di Assicurazioni
Notizie, analisi e strumenti per broker e professionisti del settore assicurativo

Seguici

Menu / Sezioni

  • News
  • Rubriche
  • Interviste
  • Editoriali
  • Analisi & Approfondimenti
  • Novità dai Partner
  • Eventi
Le tue preferenze relative alla privacy

Niente rumore, solo le notizie che contano. Direttamente nella tua inbox.

  • Chi Siamo
  • Pubblicità
  • Il Team
  • Contatti

© 2026 brokerchannel.it è un progetto di Insurance Lab S.r.l.s. Iscritta nel Registro delle Imprese di Roma C.F./P.IVA 13551031001 REA: RM-1455812

Nessun risultato
Vedi tutti i risultati
  • News
    • Mergers & Acquisitions
    • Mercato
    • Operatori
    • Normativa
  • Rubriche
    • Tavolo Manageriale
    • Quaderno di Risk Management
    • Quaderno Attuariale & Tecnico
    • Osservatorio Legale
    • Osservatorio Rischio Sanità
    • Laboratorio di Psicologia del Rischio
    • Forum Marketing & Comunicazione
    • Notebook di Storia delle Assicurazioni
    • Radar InsurTech
  • Interviste
    • CEO & Top Management
    • Protagonisti del Brokeraggio
    • Istituzioni e Associazioni
    • Innovazione e Insurtech
  • Editoriali
  • Analisi & Approfondimenti
  • Novità dai Partner
  • Eventi