DORA 2025: profili cyber per banca e fintech

Perché DORA 2025 cambia subito le assunzioni in cyber

Dal 17 gennaio 2025 il Regolamento europeo DORA si applica a banche e imprese fintech con requisiti stringenti su gestione dei rischi ICT, resilienza operativa digitale, reportistica degli incidenti e test di penetrazione guidati dalla minaccia. DORA è legge direttamente applicabile e prevede responsabilità chiare del board, obblighi su terze parti ICT e capacità di risposta agli incidenti misurabili. Il testo ufficiale è il Regolamento UE 2022 2554 pubblicato nella Gazzetta Ufficiale dell Unione europea fonte. Le autorità europee di vigilanza hanno pubblicato standard tecnici e linee guida attuative nel corso del 2024 fonte.

Il settore finanziario ha un impatto economico rilevante in caso di violazione. Secondo l edizione 2024 del Cost of a Data Breach Report di IBM, il costo medio di una violazione nel settore finanziario è di circa 6 milioni di dollari superiore alla media globale fonte. Allo stesso tempo ENISA conferma il continuo predominio di ransomware, phishing e supply chain come vettori principali fonte. Questi numeri spiegano perché il 2025 richiede strutture e profili mirati, non solo compliance.

Mappare i requisiti DORA sui ruoli chiave da assumere

Il modo più efficace per costruire la squadra è tradurre i capitoli DORA in responsabilità operative. Di seguito la mappatura essenziale con profili e deliverable.

Governance e gestione del rischio ICT

• Chief Information Security Officer guida il framework di gestione del rischio ICT, propone budget, definisce KPI e KRI di resilienza, presidia il reporting al board. Interagisce con Internal Audit e Risk Management. Deliverable principali politica di sicurezza, roadmap triennale, misure di controllo documentate.
• ICT Risk Manager DORA integra il rischio ICT nel RAF e nel rischio operativo. Cura il registro degli eventi e delle vulnerabilità, mappa dei controlli e risk assessment periodici. Deliverable metodologia rischi, register dei rischi con piani di trattamento.
• GRC Analyst con focus DORA mantiene evidenze, policy, standard e metriche per audit e vigilanza. Coordina la rendicontazione verso le autorità secondo gli standard tecnici comuni. Deliverable pacchetti di evidenza per ispezioni, template incident reporting.

Monitoraggio, incident response e test

• Responsabile SOC struttura turni, procedure e integrazione con il business. Deliverable playbook, SLA, piani di copertura turni.
• SOC Analyst di primo e secondo livello gestiscono alert, triage, correlazione e contenimento. Deliverable registri di eventi, ticket, lesson learned.
• Incident Response Lead coordina risposta, lindicizzazione forense, la comunicazione interna e la notifica verso autorità quando richiesto. Deliverable piano IR testato, report post mortem.
• Threat Intelligence Analyst alimenta use case e difese sulla base di indicatori e avversari rilevanti per il settore. Deliverable bollettini, indicatori, raccomandazioni di hardening.
• TLPT Coordinator e Red Team pianificano e gestiscono test di penetrazione guidati dalla minaccia allineati ai principi TIBER EU dell Eurosistema fonte. Deliverable scoping, report tecnici, remediation plan.

Terze parti e cloud

• Third Party Risk Manager produce e aggiorna metodologia di rischio sui fornitori ICT, con attenzione a cloud provider, software critici e servizi gestiti. Deliverable inventario fornitori, KPI di rischio, clausole contrattuali DORA.
• Cloud Security Engineer cura identity, configurazioni sicure, logging e cifratura in ambienti public cloud, con integrazione nel SOC. Deliverable baseline di sicurezza, architetture, convalida controlli.
• IAM Engineer gestisce gestione identità, privilegi e autenticazione forte, con segregazione dei ruoli e monitoraggio degli accessi privilegiati. Deliverable modelli di ruolo, processi joiner mover leaver, report SoD.

Turni e copertura operativa per banca e fintech

La scelta del modello di copertura dipende dalla criticità dei servizi e dal profilo di rischio. DORA richiede capacità di rilevare e rispondere in tempi adeguati alla natura e gravità degli incidenti. Di seguito tre modelli pratici, con suggerimenti sui turni.

Grande banca

• SOC interno 24 ore su 24 e 7 giorni su 7 con tre turni giornalieri, team di primo livello in presidio continuo, secondo livello in copertura estesa e incidente major gestito con war room. Integrare un servizio esterno di monitoraggio in overflow per i picchi e per copertura festività.
• TLPT trimestrale con campagne mirate su processi di pagamento, canali digitali e core banking, in coordinamento con le funzioni di sicurezza applicativa.
• On call tecnico per ruoli specialistici come IAM, cloud e rete, con tempi di ingaggio definiti in SLA interni.

Banca regionale o gruppo specializzato

• SOC interno 8 a 20 nei giorni lavorativi con servizio gestito per le ore notturne e i week end. Obiettivo ridurre costo fisso mantenendo controllo su casi sensibili.
• Incident response retainer con fornitore forense per escalation di eventi ad alto impatto e supporto su contenimento e raccolta evidenze.
• Test di sicurezza semestrali su applicazioni e infrastrutture, con una sessione annua di red teaming guided by threat.

Fintech in crescita

• Modello follow the sun se presente footprint internazionale, con team snelli che coprono fasce orarie differenti sfruttando sovrapposizioni di un ora per passaggi di consegne.
• Automazione e playbook per incidenti ricorrenti grazie a strumenti di orchestrazione e risposta. Questo consente di sostenere volumi di alert con meno addetti, mantenendo tracciabilità.
• Programma terze parti robusto, con qualificazione iniziale, monitoraggio continuo e diritti di audit previsti a contratto come raccomandato da DORA e dagli RTS delle autorità europee fonte.

Budget e retribuzioni di riferimento in Italia

I costi variano per geo, seniority e regime di turnazione. Le guide retributive italiane offrono benchmark utili per impostare il budget. Hays e Michael Page pubblicano range retributivi aggiornati per ruoli cyber e IT.

• CISO tipicamente tra 100 mila e 180 mila euro RAL annui secondo guide retributive specialistiche in Italia fonte fonte.
• Security Manager o Incident Response Lead tra 60 mila e 100 mila euro RAL annui fonte.
• Cloud Security Engineer e IAM Engineer tra 45 mila e 80 mila euro RAL annui a seconda della seniority fonte.
• SOC Analyst tra 30 mila e 50 mila euro RAL annui con differenziale per lavoro su turni e indennità serali e notturne fonte.
• GRC Analyst e Third Party Risk tra 45 mila e 75 mila euro RAL annui fonte.

Indicazioni pratiche per il budget complessivo.

• Grande banca con SOC 24 ore su 24 e 7 giorni su 7 un nucleo di 12 a 16 SOC analyst, 3 a 5 figure di secondo livello, un responsabile SOC, un IR lead e profili specialistici cloud e IAM porta il costo del personale tra 1,2 e 2,2 milioni annui di RAL, a cui sommare costi di piattaforme e servizi esterni. Il rapporto tra spesa per tecnologia e personale nel SOC tende a essere vicino a uno a uno nelle realtà mature.
• Banca media con SOC 8 a 20 e servizio gestito notturno 6 a 8 SOC analyst, 2 a 3 specialisti, un manager e un GRC dedicato indicano un budget tra 600 mila e 1,1 milioni di RAL annui, più canone del servizio gestito e fee per IR retainer.
• Fintech in crescita team core di 5 a 7 persone tra GRC DORA, TPRM, Cloud Security e un piccolo nucleo di detection con MDR esterno. Budget del personale tra 350 mila e 600 mila euro RAL annui, con quota servizi esterni variabile.

Questi range sono stime pratiche basate sull aggregazione delle fasce retributive pubblicate nelle guide Hays e Michael Page citate e vanno adattati alla complessità del perimetro, alla necessità di turni e alla localizzazione. A livello macro, le survey internazionali mostrano che molte istituzioni finanziarie hanno incrementato i budget cyber nel 2024 e prevedono ulteriore crescita nel 2025 fonte.

Job description pronte per DORA con deliverable misurabili

CISO

• Obiettivo garantire governo e resilienza operativa digitale coerente con DORA.
• Deliverable framework di risk management ICT approvato, KPI e KRI, piano triennale con milestone e budget.
• Metriche percentuale controlli critici coperti, tempo medio di rilevazione e contenimento incidenti, avanzamento remediation.

Responsabile SOC

• Obiettivo rilevare e contenere incidenti in tempi definiti, assicurare tracciabilità e reporting.
• Deliverable playbook operativi, matrice SLA e ruoli, piano turni, rapporti mensili su metriche di detection.
• Metriche tempo medio di triage, tasso di falsi positivi, copertura log su sistemi critici, percentuale playbook eseguiti con successo.

Third Party Risk Manager

• Obiettivo ridurre il rischio derivante da fornitori ICT e cloud in linea con DORA.
• Deliverable inventario aggiornato, scorecard rischio fornitori, clausole contrattuali con diritti di audit e obblighi di notifica, flusso di onboarding.
• Metriche percentuale fornitori critici valutati, tempo di remediation, disponibilità dei piani di continuità dei fornitori.

TLPT Coordinator

• Obiettivo pianificare e condurre test guidati dalla minaccia allineati a TIBER EU.
• Deliverable scoping annuale, report con evidenze tecniche e business impact, piano di remediation con ownership.
• Metriche numero di finding critici chiusi per trimestre, tempo medio di chiusura, copertura dei processi core.

Piano dei prossimi 90 giorni per essere pronti

• Entro 30 giorni definire owner DORA, gap analysis contro gli articoli del regolamento e contro gli RTS pubblicati dalle autorità europee fonte. Avviare processo di selezione per CISO o Security Manager se non presenti.
• Entro 60 giorni pubblicare job description basate sui deliverable sopra, scegliere il modello di copertura operativa e ingaggiare fornitore IR retainer e o MDR se necessario. Aggiornare contratti con clausole DORA per fornitori critici.
• Entro 90 giorni avviare programma TLPT con scoping preliminare, eseguire un tabletop di crisi, misurare KPI e KRI iniziali e allineare il reporting al board.

Checklist essenziale da stampare

• Owner e responsabilità DORA confermati e comunicati al board
• Ruoli chiave ingaggiati o in selezione CISO SOC IR TPRM Cloud Security GRC
• Modello di turnazione definito con SLA e on call
• Contratti fornitori aggiornati con clausole di resilienza e notifica
• Playbook incident response approvati e testati con esercitazione
• Piano TLPT calendarizzato e allineato ai processi core
• KPI e KRI di resilienza pubblicati con baseline

Pubblicato da PortaleLavoro.Org | 10-12-2025 | Consigli per la tua carriera

Tags: assunzioni, banca, cybersecurity, DORA, fintech