DORA Register of Information: solo il 6,5% ha superato i controlli. Cosa ci dice questo dato.

Il 6,5%

A gennaio 2025 DORA è entrato in vigore in tutta l'Unione Europea, portando con sé — tra gli altri obblighi — il Register of Information (RoI): il registro strutturato di tutti i contratti con fornitori ICT di terze parti che ogni entità finanziaria deve mantenere e trasmettere alla propria autorità competente.

Nel 2024 le ESA hanno organizzato un dry run: 1.039 entità finanziarie hanno sottoposto i propri registri in condizioni simili a quelle reali. Solo il 6,5% ha superato tutti i controlli di qualità. 92 sottomissioni non sono nemmeno arrivate alla fase di analisi dati: rifiutate per problemi strutturali prima ancora di essere lette.

Questo non è un problema di commitment. Le entità che hanno partecipato al dry run stavano cercando attivamente di conformarsi. Il problema è un malinteso di fondo su cosa sia, concretamente, il Register of Information.

Non è un registro. È una submission di dati.

Il RoI non è un documento di governance interno, né un Excel da consegnare al proprio NCA. È una submission machine-readable in formato xBRL-CSV, governata da un Data Point Model formale, validata in modo automatico su tre livelli distinti dalle ESA: struttura tecnica del pacchetto, completezza dei campi obbligatori, e verifica degli identificatori contro fonti esterne (GLEIF per i LEI, BRIS per gli EUID).

Questa distinzione cambia la natura del problema. Non si tratta di "compilare i campi giusti" — si tratta di produrre dati verificabili, coerenti tra template diversi, con identificatori attivi al momento della submission. Un pacchetto ZIP con la struttura sbagliata non entra nel sistema. Un LEI scaduto non passa la verifica esterna. Un campo chiave lasciato vuoto rompe l'integrità referenziale di tutti i template collegati.

Dove si inceppa la macchina

I fallimenti del dry run si concentrano in tre aree, tutte con una caratteristica comune: richiedono informazioni che le entità finanziarie non possiedono autonomamente.

Identificatori del fornitore ICT.

Il RoI richiede il LEI o EUID del fornitore ICT — non un nome commerciale, non una P.IVA: un identificatore standardizzato, attivo e verificato. Molti contratti ICT firmati anni fa non riportano questi dati. Ottenerli significa tornare dal fornitore.

Ultimate Parent Undertaking.

Per ogni fornitore ICT, il registro richiede l'identificatore della capogruppo finale. Questa informazione non è in nessun contratto standard. Richiede di mappare la struttura societaria del fornitore fino alla cima della catena di controllo — che può essere una holding non-UE senza obbligo di trasparenza pubblica.

Numeri di riferimento contrattuale.

Gli stessi contratti devono essere identificati con gli stessi reference number in tutti i template del registro. Un'entità che gestisce i contratti su sistemi non progettati per DORA scopre numerazioni incoerenti, duplicate, o assenti.

In tutti e tre i casi la soluzione non è un intervento tecnico interno: richiede engagement attivo con i fornitori ICT, con sufficiente anticipo rispetto alla scadenza.

Cosa cambia adesso

Il ciclo del RoI è annuale. La reference date è il 31 dicembre, con trasmissione alle ESA entro il 30 aprile successivo. Non è un one-off: è un processo ricorrente da governare nel tempo.

C'è però una dimensione che supera la compliance formale. I registri trasmessi dalle entità finanziarie sono la fonte dati primaria con cui le ESA identificano e designano i Critical Third-Party Providers (CTPP) — i fornitori ICT la cui resilienza è considerata sistemica per la stabilità finanziaria europea. La completezza e l'accuratezza del tuo registro contribuisce direttamente a questa mappatura settoriale. Un registro incompleto non è solo un problema di conformità individuale: è un dato mancante in un'analisi che riguarda l'intero mercato.

Tre azioni concrete

Se stai preparando il ciclo 2026, tre aree meritano attenzione immediata.

Avvia l'engagement con i fornitori adesso.

Identificatori, strutture societarie e parent undertaking hanno tempi di risposta lunghi. Non è attività dell'ultima settimana prima della scadenza.

Separa la governance del registro dalla produzione del file.

Il registro è un processo continuo — ogni nuovo contratto, ogni modifica rilevante deve essere registrata. Il file xBRL-CSV è il suo output periodico. Confondere i due è la causa principale dei problemi strutturali.

Testa la submission prima della scadenza.

Gli strumenti di validazione EBA permettono di verificare localmente struttura e completezza del pacchetto prima di trasmettere al proprio NCA. Usarli sistematicamente riduce il rischio di rigetto.

DORA non è un adempimento episodico: è un sistema di governo dei fornitori ICT basato su dati strutturati, verificabili e trasmissibili. Il 6,5% del dry run non è un risultato di settore — è un benchmark da superare.