Il Risk Appetite Framework (RAF) e le interazioni con il DORA nel mondo assicurativo

RAF e DORA

Il Digital Operational Resilience Act (DORA, Regolamento UE 2022/2554) è la normativa europea, in vigore dal 17 gennaio 2025, che armonizza i requirements in materia di sicurezza ICT per gli operatori settore finanziari. Con il DORA, il legislatore interviene sulle modalità necessarie a rafforzare il quadro relativo alla resilienza operativa digitale, agendo attraverso cinque pilastri fondamentali:

• Gestione dei Rischi ICT: Governance strutturata e policy di sicurezza.
• Segnalazione Incidenti: Classificazione e notifica tempestiva agli enti di vigilanza.
• Test di Resilienza Operativa: Prove periodiche.
• Gestione dei Rischi Terze Parti: Monitoraggio dei fornitori ICT, con focus sui fornitori “DORA critical”.
• Condivisione delle Informazioni: Scambio di dati sulle minacce cyber.

Il DORA enfatizza l’importanza dei presidi dei rischi ICT e operativi nelle imprese di assicurazione, tenuto conto del sempre crescente rischio legato ai sistemi informatici.

Il Risk Appetite Framework (RAF) rappresenta lo strumento con cui il Consiglio di Amministrazione definisce il livello di rischio accettabile, in relazione alle caratteristiche del business. Il Risk Appetite Framework è composto da metriche e limiti operativi collegati tra loro e monitorati periodicamente. Il monitoraggio del profilo di rischio, nonché la definizione della propensione al rischio e il rispetto dei vari limiti identicati, sono effettuati sia in ottica prospettica che attuale. Inoltre, un’attenta e tempestiva revisione del framework è necessaria al fine di garantirne il continuo aggiornamento e un adeguato livello di efficacia nel tempo.

Un corretto collegamento tra RAF e risk assessment DORA è essenziale per garantire coerenza tra strategia, governance e resilienza digitale. La necessità di recepire il DORA da parte degli operatori assicurativi, adeguando il proprio framework di policy e procedure, è stata anche oggetto di una specifica lettera al mercato emanate dall’IVASS lo scorso 11 marzo 2025. Sulla scorta di tale aspettativa rappresentata dall’IVASS, appare ancora più rilevante pervenire ad una vista integrata del RAF e del DORA.

Classificazione del rischio ICT nel RAF

All’interno del RAF, il rischio ICT è tipicamente incluso tra i rischi operativi, con potenziali correlazioni con il rischio reputazionale, con quello relativo alla continuità operativa e di outsourcing. Tra l’altro, il RAF deve rappresentare criteri di misurazione qualitativi (ad esempio, politiche di tutela della clientela o del brand, aderenza alla regolamentazione applicabile, fattori ESG, etc) nonchè soglie quantitative misurabili (solvency ratio, limiti degli investimenti, indicatori di liquidità).

Collegamento logico tra RAF e DORA

Da un punto di vista operativo è necessario che il RAF approvato dal Board esprima chiare misure di tolleranza al rischio ICT e definisca in maniera specifica le relative metriche di monitoraggio. Il risk assessment DORA, processo obbligatorio previsto dalla normativa di riferimento, valuta il profilo di rischio ICT effettivo nel continuo, identificando, analizzando e verificando misure di mitigazione del rischio ICT. Tale processo permette di confrontare il rischio assunto e il rischio accettabile, nonché l’attivazione di azioni correttive ed eventuali escalation. Inoltre, consente di realizzare un’analisi dettagliata delle metodologie di valutazione dei singoli rischi, delle analisi di scenario effettuate e collegamento con il Business Continuity Plan aziendale. I punti chiave del processo di risk assessment DORA sono i seguenti:

• ICT Risk Management Framework: definire, manutenere e testare un framework dei servizi ICT.
• Asset Management: effettuare ed aggiornare un inventario di tutti i sistemi ICT, incluse le relative dipendenze e interconnessioni.
• Monitoraggio continuo: monitorare l’evoluzione delle minacce cyber e delle vulnerabilità.
• Gestione del rischio collegato a terze parti: valutare i rischi derivanti da fornitori esterni ICT e prevedere un registro di queste informazioni.
• Business Impact Analysis (BIA): valutare come eventuali scenari di interruzione possano impattare l’operatività, e fissare alcune soglie di tolleranza

I risultati di questo processo dovranno quindi essere riflessi all’interno del RAF consentendo una vista consolidata dei vari profili di rischio a cui l’azienda è esposta, e permettendo di identificare eventuali superamenti del risk appetite e definire, di conseguenza, i necessari piani di remediation. Esempi di metriche includono:

• massima durata accettabile dei downtime dei servizi critici,
• numero massimo di incidenti ICT gravi,
• assenza di data breach rilevanti,
• percentuale di fornitori critici con exit strategy,
• copertura dei test di resilienza digitale.

Le best practice osservate oggi sul mercato, mostrano una convergenza verso un RAF integrato, caratterizzato da:

• una chiara e coerente mappatura tra metriche RAF e requisiti DORA,
• un allineamento con il sistema di incident reporting,
• BCP/DR e gestione dell’outsourcing,
• adeguata evidenza documentale delle decisioni del Board.

Il Board è responsabile dell’approvazione del RAF e della supervisione della resilienza digitale. Inoltre, i risultati del DORA risk assessment dovranno poi anche essere utilizzati nell’ORSA operativo e possono comportare revisioni del risk appetite o investimenti ICT, in un’ottica di continuo miglioramento del processo di governo dei rischi – attuali e prospettici – che la compagnia è chiamata a gestire.

a cura di Massimo Adelfio e Caterina De Angelis