Navigare informati nel nuovo perimetro del rischio digitale

 

Dal 17 gennaio 2025 il Digital Operational Resilience Act è pienamente applicabile, e con esso la resilienza digitale entra nel perimetro della responsabilità aziendale.
Nel frattempo, l’Intelligenza Artificiale evolve rapidamente e introduce un livello di complessità che modifica il concetto stesso di rischio.
La questione supera il perimetro delle infrastrutture. Coinvolge direttamente il controllo dei processi e delle decisioni automatizzate.

Il cambio di paradigma: resilienza come capacità operativa

DORA richiede alle organizzazioni di garantire continuità operativa anche in condizioni critiche.
Tre capacità diventano centrali:

  1. resistere agli eventi avversi
  2. reagire in modo efficace
  3. ripristinare rapidamente le operazioni

La resilienza assume quindi una dimensione più ampia, e coinvolge: tecnologia, processi e governance.

Resilienza 2.0: l’ingresso dell’AI nel perimetro di rischio

L’AI entra nei processi aziendali come componente attiva. Diventa uno strumento avanzato di analisi e difesa e un elemento critico da governare.
Emerge un punto chiave: l’AI introduce vulnerabilità intrinseche. Tra le più rilevanti: output non affidabili (allucinazioni) e variazioni nel comportamento dei modelli (model drift).
Quando l’AI è integrata in processi decisionali, un errore produce un impatto operativo diretto.

DORA e Intelligenza Artificiale e Resilienza
DALL•E X EKO365

I nuovi rischi operativi da presidiare

  • Shadow AIStrumenti utilizzati senza controllo interno. Dati aziendali condivisi con piattaforme esterne senza governance.
  • Prompt Injection – Attacco che sfrutta il linguaggio. L’AI può essere indotta a ignorare le regole e a esporre informazioni sensibili.
  • Dipendenza dai modelli – L’integrazione nei processi core richiede una valutazione precisa: cosa accade se il servizio viene interrotto o modificato?

Il punto centrale di DORA: la governance

DORA impone un controllo strutturato. Le organizzazioni devono:

  • mappare tutti gli asset, inclusi i sistemi AI
  • monitorare i fornitori
  • garantire la continuità dei servizi

La resilienza si costruisce attraverso scelte organizzative, prima ancora che tecnologiche.

Rischio terze parti e concentrazione

Il tema dei fornitori assume un ruolo strategico. Molte aziende utilizzano pochi grandi provider tecnologici. Questo crea concentrazione.
Una singola interruzione può generare effetti estesi sull’intero ecosistema.
Diventano quindi necessarie strategie multi-vendor, architetture distribuite e piani di uscita.

Dalla gestione del rischio alla fiducia

I modelli di risk management evolvono. Framework come il NIST AI RMF (Artificial Intelligence Risk Management Framework), sviluppato dal National Institute of Standards and Technology, introducono criteri precisi: affidabilità, sicurezza e comprensibilità.
Un sistema che prende decisioni deve essere controllabile e spiegabile. Questo è il presupposto per costruire fiducia verso clienti, partner e regolatori.

La convergenza normativa europea

DORA si inserisce in un contesto più ampio:

  • AI Act
  • GDPR
  • regolamentazioni ICT

Il filo conduttore è proteggere il dato e garantire il controllo dei sistemi che lo utilizzano.

La prospettiva EKO365

La resilienza digitale richiede consapevolezza operativa.
Significa:

  • conoscere in profondità l’ambiente Microsoft 365
  • governare identità e accessi
  • monitorare continuamente la postura di sicurezza

L’approccio resta coerente con i principi EKO365:

  • trasparenza
  • responsabilità
  • protezione proattiva

La sicurezza viene progettata all’origine. Il controllo resta continuo.

La resilienza digitale evolve insieme alla tecnologia. Oggi si misura nella capacità di mantenere il controllo anche quando i sistemi diventano autonomi.
DORA definisce il quadro.
Le aziende costruiscono la sostanza.
Integrare governance, tecnologia e consapevolezza operativa significa crea un vantaggio reale e duraturo.

EKO365 Resilienza Digitale
DALL•E x EKO365