I soggetti finanziari soggetti a DORA affrontano simultaneamente gli obblighi del Regolamento UE sull'IA. Questo strumento identifica dove i requisiti ICT di DORA e gli obblighi del Regolamento sull'IA si sovrappongono per il vostro settore e casi d'uso AI: scoring creditizio, rilevamento delle frodi, trading algoritmico, AML.
DORA (Digital Operational Resilience Act) si applica dal 17 gennaio 2025. Il Regolamento UE sull'IA si applica da varie date nel periodo 2025–2028. Banche, assicuratori, imprese di investimento, istituti di pagamento e altri soggetti finanziari devono soddisfare entrambi simultaneamente.
I due regolamenti condividono un terreno concettuale significativo — entrambi mirano alla gestione del rischio ICT, alle dipendenze da terze parti e alla resilienza operativa — ma con ambiti e obblighi diversi.
| Caso d'uso AI | Obblighi DORA | Obblighi del Regolamento UE sull'IA |
|---|---|---|
| Scoring creditizio / decisioni sui prestiti | Gestione del rischio ICT (Art. 5-10); rischio di terze parti se fornito da fornitori | Allegato III ad alto rischio (Art. 6); tutti gli obblighi del Capitolo III; scadenza dic. 2027 |
| Rilevamento delle frodi | Classificazione degli incidenti ICT (Art. 17-23); gestione TPSP terze parti | Allegato III ad alto rischio (adiacente all'attività di contrasto — verificare l'ambito); trasparenza Art. 13 verso i deployer |
| Trading algoritmico | Gestione dei cambiamenti ICT (Art. 14-16); rischio operativo | Probabilmente rischio minimo o solo trasparenza; verificare se i modelli GPAI ne sono alla base |
| AML / monitoraggio delle transazioni | Test di resilienza ICT (TLPT per i soggetti significativi) | Potenzialmente Allegato III (nesso con l'attività di contrasto); necessaria analisi giuridica |
| Chatbot per il servizio clienti | Rischio operativo ICT | Art. 50 trasparenza — deve comunicare agli utenti la natura artificiale |
| Tariffazione del rischio assicurativo | Rischio ICT di terze parti per i fornitori di modelli | Allegato III ad alto rischio (servizi essenziali — valutazione del rischio assicurativo) |
Rischio ICT di terze parti + obblighi del fornitore ai sensi del Regolamento sull'IA: L'Art. 28-44 di DORA richiede clausole contrattuali con i fornitori di servizi ICT che coprano i diritti di audit, le strategie di uscita e gli standard di performance. Quando tale fornitore ICT è anche un fornitore ai sensi del Regolamento sull'IA, il Regolamento sull'IA richiede che il fornitore fornisca documentazione tecnica, istruzioni per l'uso e supporto per il monitoraggio post-commercializzazione. Un singolo contratto fornitore ben redatto può soddisfare entrambi.
Segnalazione degli incidenti: DORA impone la segnalazione agli organi di vigilanza degli incidenti rilevanti connessi alle TIC. Il Regolamento sull'IA richiede la segnalazione di incidenti gravi che coinvolgono sistemi AI ad alto rischio alle autorità nazionali di vigilanza del mercato. Per i soggetti finanziari, un singolo guasto AI (ad es., un'interruzione del modello di scoring creditizio che causa un rischio sistemico) può generare simultaneamente entrambe le catene di segnalazione.
Test di resilienza: Il Threat-Led Penetration Testing (TLPT) di DORA per i soggetti significativi si sovrappone ai requisiti di robustezza e sicurezza informatica dell'Art. 15 del Regolamento sull'IA. La combinazione di entrambi i regimi di test riduce le duplicazioni.
Per un'analisi dettagliata della convergenza normativa, consultate Regolamento sull'IA vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Sì. DORA si applica agli enti creditizi, alle compagnie assicurative, alle imprese di investimento, ai fornitori di servizi di pagamento e ad altri soggetti finanziari — ed è in vigore da gennaio 2025. Questi stessi soggetti sono soggetti anche al Regolamento UE sull'IA per qualsiasi sistema AI che sviluppano o dispiegano. I due regolamenti hanno requisiti sovrapposti riguardanti la gestione del rischio ICT, la segnalazione degli incidenti e la gestione dei fornitori di servizi terzi.
DORA richiede ai soggetti finanziari di gestire i propri fornitori di servizi ICT — compresi i fornitori di IA — nell'ambito di accordi contrattuali con requisiti specifici (Art. 28-44). Il Regolamento sull'IA richiede indipendentemente ai deployer di attuare misure di governance dell'IA. Quando un fornitore di IA è sia una terza parte ICT ai sensi di DORA che un fornitore ai sensi del Regolamento sull'IA, i contratti devono soddisfare entrambi i quadri normativi.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.