DORA per gli intermediari assicurativi, 18 mesi dopo: perche' quasi nessun agente o broker e' davvero obbligato

A 18 mesi dall'applicazione, il regolamento europeo sulla resilienza digitale esclude micro e piccole imprese: degli oltre 30.000 agenti e broker iscritti al RUI ne sono soggetti poche decine. Chi deve adeguarsi e perche' ti riguarda comunque.

A126 Team 6 min di lettura

La norma di cui tutti parlano e che quasi nessun intermediario deve applicare

Da diciotto mesi, esattamente dal 17 gennaio 2025, è pienamente applicabile il DORA, il Digital Operational Resilience Act, il regolamento europeo che disciplina la resilienza operativa digitale del settore finanziario. Se ne parla molto, spesso con un tono allarmato, e a molti agenti e broker è arrivato il messaggio che si tratti del "nuovo obbligo cyber" che li riguarda direttamente. La realtà, verificata sul testo del regolamento e sulle indicazioni di IVASS, è più sfumata e per certi versi sorprendente: per la stragrande maggioranza degli intermediari assicurativi italiani, DORA non si applica affatto.

Non è una scappatoia o un'interpretazione di comodo: è scritto nel regolamento. E capire perché è così — e cosa comporta comunque, indirettamente, per chi ne è formalmente escluso — è più utile di qualunque riepilogo generico della norma. Perché la domanda giusta, per un intermediario, non è "cosa devo fare per DORA", ma "DORA mi riguarda o no, e in che modo".

Cosa impone DORA, in breve

DORA nasce per un motivo concreto: il settore finanziario dipende ormai in modo critico dalla tecnologia e dai fornitori informatici, e un incidente a un fornitore può paralizzare una banca o una compagnia. Il regolamento chiede quindi alle entità obbligate di presidiare quattro aree. La governance del rischio informatico, con responsabilità chiare in capo ai vertici. La gestione e segnalazione degli incidenti, con tempi stringenti di notifica alle autorità. I test di resilienza, fino ai penetration test avanzati per i soggetti più grandi. E soprattutto la gestione del rischio dei fornitori terzi: contratti, registri, controllo della catena di fornitura ICT. Sono principi solidi e, in larga parte, semplice buon senso organizzativo portato a livello di obbligo di legge.

Il punto è a chi questi obblighi si rivolgono. Ed è qui che l'impianto, per gli intermediari, cambia radicalmente.

Chi è davvero obbligato: la questione della soglia

Il regolamento nomina esplicitamente gli intermediari: l'articolo 2 include "intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio". Se ci si fermasse qui, la conclusione sarebbe che DORA vale per tutti. Ma lo stesso articolo, poco più avanti, introduce un'esclusione decisiva: il regolamento non si applica agli intermediari che sono microimprese o piccole e medie imprese. Il considerando che accompagna la norma lo motiva richiamando esplicitamente "le specificità della struttura del mercato dell'intermediazione assicurativa".

Tradotto in numeri, un intermediario rientra negli obblighi di DORA solo se supera contemporaneamente le soglie della media impresa: almeno 250 dipendenti e un fatturato annuo superiore a 50 milioni di euro (o un bilancio superiore a 43 milioni). È la lettura ufficiale di IVASS, che sulla propria pagina dedicata a DORA precisa che sono soggetti al regolamento gli intermediari "che non sono microimprese o piccole o medie imprese". E non esiste un regime semplificato per i piccoli: semplicemente, sono fuori dal perimetro.

Basta guardare la fotografia del mercato per capire la portata di questa esclusione. Secondo la Relazione Annuale IVASS, al 31 dicembre 2025 il Registro Unico degli Intermediari conta 228.925 iscritti, di cui 25.121 agenti (sezione A) e 5.821 broker (sezione B). La quasi totalità sono persone fisiche o piccole società, lontanissime dalla soglia dei 250 dipendenti. I soggetti effettivamente obbligati si contano nell'ordine di poche decine: i grandi broker corporate di dimensione internazionale. Per l'agente di paese e per il broker di provincia, DORA è una norma che parla di qualcun altro.

Cosa è successo in diciotto mesi, per chi è obbligato

Per le compagnie e per i grandi intermediari soggetti, invece, questi diciotto mesi sono stati di lavoro concreto, e osservarli aiuta a capire cosa comporta davvero la conformità. Il primo adempimento pesante è stato il registro delle informazioni sui fornitori ICT: una mappatura completa dei contratti tecnologici, che IVASS ha richiesto di trasmettere una prima volta entro l'11 aprile 2025 e poi di aggiornare entro il 31 marzo 2026. Non è un esercizio banale: nell'esercizio di prova condotto a livello europeo nel 2024, su oltre mille entità, solo il 6,5% superò tutti i controlli di qualità previsti sul registro. Un dato che dice quanto sia difficile, anche per organizzazioni strutturate, avere sotto controllo la propria catena di fornitori.

C'è poi la segnalazione degli incidenti, con una tempistica severa: notifica iniziale entro 24 ore, report intermedio entro 72 ore, relazione finale entro un mese. I primi dati aggregati raccontano un fenomeno reale ma ancora contenuto sul fronte cyber: a livello europeo le autorità hanno registrato circa 3.383 incidenti gravi nel 2025, di cui però solo un decimo di natura propriamente cyber; nel comparto assicurativo italiano IVASS ha ricevuto una decina di segnalazioni, la maggior parte originate da fornitori terzi. È la conferma pratica del motivo per cui DORA insiste tanto sulla supply chain: il rischio, sempre più spesso, entra dalla porta dei fornitori.

Sul fronte dei controlli, a novembre 2025 le autorità europee hanno designato i primi diciannove fornitori ICT critici — i grandi nomi del cloud e dei servizi informatici, da Amazon Web Services a Microsoft, da Google a IBM — che finiscono sotto vigilanza diretta. IVASS, dal canto suo, ha avviato le prime verifiche sui grandi intermediari e una ricognizione sul mercato assicurativo. Quanto alle sanzioni, il punto merita chiarezza perché su questo circola parecchia confusione: a diciotto mesi dall'applicazione non risulta comminata alcuna sanzione DORA, né a intermediari né ad altre entità finanziarie, in Italia o in Europa. Il quadro sanzionatorio esiste ed è severo — la normativa italiana di recepimento prevede per le persone giuridiche multe fino al 10% del fatturato — ma finora si è mossa la vigilanza, non la mano sanzionatoria. Chi racconta di "prime multe già arrivate" sta anticipando qualcosa che, ad oggi, non è ancora accaduto.

Perché DORA riguarda comunque anche i piccoli

Sarebbe però un errore che l'intermediario piccolo archiviasse DORA come un problema altrui. L'esclusione formale dagli obblighi non significa immunità dagli effetti, per due ragioni molto concrete.

La prima è la catena contrattuale. Le compagnie mandanti e i grandi player soggetti a DORA devono presidiare i propri fornitori e partner ICT, e questo requisito si propaga a valle: chi si interfaccia digitalmente con una compagnia — scambiando dati, collegandosi ai suoi sistemi, gestendo informazioni dei clienti per suo conto — può vedersi richiedere, per contratto, standard di sicurezza, continuità e gestione degli incidenti che nascono proprio da DORA. In pratica, l'obbligo che non arriva dalla legge può arrivare dal contratto con la mandante.

La seconda è che l'esclusione da DORA non cancella gli altri obblighi. Un intermediario, anche piccolo, tratta dati personali particolarmente delicati e resta pienamente soggetto al GDPR e ai presidi organizzativi previsti dalla normativa di settore. Come abbiamo visto parlando della Direttiva NIS 2 e gli intermediari assicurativi, il settore finanziario ha in DORA la sua norma speciale in materia di resilienza digitale; la precisazione che qui aggiungiamo è quella decisiva, e spesso trascurata: quella norma speciale, per gli intermediari, vale solo al di sopra di una precisa soglia dimensionale. Sotto quella soglia non c'è un vuoto di sicurezza — ci sono altre regole e, soprattutto, un rischio cyber che non guarda al numero di dipendenti prima di colpire.

Il punto pratico, allora, non è "devo adeguarmi a DORA", ma "il mio livello di sicurezza informatica è all'altezza dei dati che gestisco e di ciò che le mie mandanti mi chiederanno". Ed è una domanda che vale per l'agenzia da tre persone esattamente come per il broker da trecento.

In sintesi

DORA è una norma importante e ben costruita, ma la sua applicazione agli intermediari assicurativi è molto più stretta di come viene raccontata: la quasi totalità di agenti e broker italiani, in quanto micro e piccole imprese, ne è esclusa per esplicita previsione del regolamento. Gli obbligati sono poche decine di grandi intermediari corporate, che in diciotto mesi hanno lavorato su registri dei fornitori, segnalazione degli incidenti e controlli, mentre le sanzioni restano finora sulla carta. Per tutti gli altri, DORA non è un obbligo diretto ma un segnale: la sicurezza digitale arriverà comunque, per via contrattuale attraverso le mandanti e per via del rischio concreto sui dati dei clienti.

In A126 aiutiamo gli intermediari assicurativi a capire dove si collocano rispetto a questi obblighi e a mettere in sicurezza i propri strumenti digitali in modo proporzionato alla loro dimensione reale, senza allarmismi e senza sottovalutazioni. Se vuoi fare chiarezza sulla posizione della tua agenzia rispetto a DORA e alla sicurezza dei dati, contattaci per una consulenza gratuita.

A126 Corporate Advisors — tecnologia e sicurezza su misura per chi fa intermediazione assicurativa.

Condividi questo articolo