DORA, le 4 ore di clock: la classificazione è il nuovo problema probatorio

L'enforcement DORA è entrato nella fase attiva nel 2026. La tolleranza informale che le autorità di vigilanza hanno concesso per tutto il 2025 è finita, e la European Banking Authority, insieme alle autorità competenti nazionali (NCA), sta ora analizzando submission reali contro i template armonizzati. La regola che fa titolo — 4 ore per notificare un incidente ICT grave — sta finalmente venendo misurata. E la parte che cede per prima sotto misurazione non è il template, non è il canale di trasmissione, non è la firma del senior management. È lo step di classificazione da cui il clock di 4 ore parte.

Il clock di 4 ore parte dalla classificazione, non dalla detection

Il clock definito da RTS 2025/301 e dagli standard congiunti EBA/ESMA/EIOPA non è "4 ore dall'alert del SOC". È 4 ore da quando l'incidente è classificato grave secondo i criteri DORA. La classificazione, a sua volta, ha la propria deadline — senza indebito ritardo, in pratica entro 24 ore dalla detection. Da quel momento l'entità regolata ha 4 ore per inviare la notifica iniziale, 72 ore per il report intermedio con analisi preliminare della root cause, un mese dal report intermedio per chiudere il report finale.

L'ordine conta perché il regolatore può contestare due cose separatamente:

• Hai classificato in ritardo. Detection a T0, classificazione a T0+18h, ma gli indicatori erano sufficienti già a T0+4h. Violazione Articolo 19, percorso classificazione.
• Hai notificato in ritardo. Classificazione pulita a T0+6h, ma la notifica iniziale è uscita a T0+13h. Violazione Articolo 19, percorso reporting.

Entrambe sono sanzionabili sotto lo stesso articolo. Le 4 ore di cui parlano tutti sono solo la seconda delle due.

Sette criteri, due soglie, una finestra per decidere

Il framework di classificazione in RTS 2025/301 Allegato II elenca sette criteri:

#	Criterio	Segnale concreto
1	Clienti, controparti, transazioni impattate	Numero / quota sopra la soglia di materialità
2	Impatto reputazionale	Copertura stampa, segnalazioni regolatori, picchi social
3	Durata e downtime del servizio	Tempo di indisponibilità o degrado
4	Diffusione geografica	Numero di Stati membri con utenti impattati
5	Perdita di dati	Riservatezza, integrità, disponibilità di dati personali o di business
6	Criticità dei servizi colpiti	Se il sistema supporta una funzione critica o importante (CIF)
7	Impatto economico	Costo diretto + indiretto sopra la soglia di EUR 100.000

Un incidente è classificato grave quando soddisfa almeno due criteri primari, o un criterio primario più la soglia economica di EUR 100.000. L'esempio walked-through nel materiale didattico di regulation-dora.eu — l'incidente fittizio Bank Alpha — è un caso pulito: 2h58m di downtime nelle ore di picco, costo totale EUR 220.000 (EUR 40K diretti, EUR 180K indiretti), clienti impattati in Germania e Francia, home banking colpita, copertura stampa e picco sui social. Cinque criteri su sette scattano. La classificazione è ovvia a posteriori.

Non è ovvia a T0+90 minuti, con un solo ingegnere reperibile, un failure mode parzialmente compreso e una mappa del blast radius incompleta.

Fine della fase di tolleranza: cosa significa enforcement nel 2026

L'esposizione sanzionatoria DORA, per una banca tier-1, è abbastanza grande da spostare le priorità a livello di board:

• Fino al 2% del fatturato annuo mondiale per le violazioni più gravi, secondo la guida sull'enforcement DORA.
• Fino all'1% del fatturato giornaliero medio mondiale, ricorrente, applicata per forzare la remediation delle vulnerabilità ICT identificate — il regolatore può lasciarla accumulare finché il fix non arriva.
• Sanzioni personali fino a EUR 1 milione al senior management, inclusi CIO, CISO e il responsabile DORA designato dal board.

La stessa guida descrive esplicitamente la postura del supervisore come fine della fase di tolleranza: la tolleranza informale che caratterizzava il 2025 è chiusa, e le review 2026 cercano prova di resilienza, non documentazione di policy. Le NCA stanno testando la qualità delle submission, e tre pattern stanno già emergendo nelle prime review:

• Ritardi tra prima awareness e notifica iniziale — la classificazione ha richiesto troppo tempo.
• Misclassificazione degli incidenti (l'under-reporting è il rischio dominante; anche l'over-reporting viene segnalato).
• Report finali con root cause analysis inadeguata, nonostante l'estensione di un mese dal report intermedio.

Il pattern è coerente. Le istituzioni che falliscono la review non sono quelle che hanno saltato un campo nel template. Sono quelle la cui pipeline detection-to-classification è troppo lenta, gira su un foglio Excel, o dipende dal fatto che un essere umano sia sveglio.

Perché il binder probatorio è diventato un flusso

Il modello mentale 2025 della compliance DORA aveva forma di binder: un bundle trimestrale assemblato da un team interno, riletto dall'auditor settimane dopo. L'enforcement attivo 2026 rompe il modello su due fronti.

Primo, la NCA ora può chiedere evidenze e leggerle lo stesso giorno. Il workflow del binder presumeva review asincrona. Il nuovo workflow presume che il regolatore tiri un bundle corrente on-demand e lo legga nel pomeriggio. Qualsiasi cosa ricostruita ex-post dai log tre settimane dopo non è, per definizione, corrente.

Secondo, lo step di classificazione è esso stesso un evento probatorio. Il regolatore vuole vedere come hai deciso che un incidente fosse grave o meno — quali segnali hai pesato, quali criteri hai misurato, con quale timestamp. "Abbiamo deciso che era minore e non abbiamo notificato" non è una posizione difendibile se la decisione stessa non è documentata, firmata e verificabile.

Ispettore NCA: "Mi mostra come avete classificato l'incidente del 14 febbraio."

Banca: "Ecco la pagina Confluence che l'incident commander ha aggiornato quella mattina."

Ispettore NCA: "E come faccio a sapere che la pagina non è stata editata dopo i fatti?"

Il senso di un'evidenza ECDSA-signed e append-only è proprio che la seconda domanda chiude la conversazione. La chain-of-custody crittografica non è più un nice-to-have — è ciò che rende difendibile la decisione di classificazione.

L'obbligo TLPT degli Articoli 26-27 amplifica tutto. Threat-led penetration test, ogni tre anni, su sistemi di produzione live che supportano funzioni critiche — per le entità significative. La catena probatoria prodotta dall'ingaggio TLPT (quali exploit sono stati tentati, quali sono andati a segno, contro quale set di controlli, con quale blast radius) confluisce nello stesso evidence stream che la NCA leggerà in una review post-incidente.

Cosa succede nei primi 240 minuti

Il quadro operativo del CISO nelle prime quattro ore dopo un evento di sicurezza è cambiato sostanzialmente. Una ripartizione ragionevole sotto enforcement 2026:

• T+0 → T+30: Detection, correlazione alert, triage iniziale.
• T+30 → T+90: Scope assessment — quali sistemi, quali clienti, quali Stati membri.
• T+90 → T+150: Classificazione contro i sette criteri, con le evidenze prodotte dallo step 2 alimentate in uno scoring severity-weighted. Decisione: grave / non grave. La decisione e le sue evidenze a supporto vengono firmate e timestampate in questo momento.
• T+150 → T+240: Notifica iniziale redatta in formato RTS 2025/301 Allegato II, rivista dal senior management responsabile, trasmessa alla NCA.

Quel budget presuppone che la fase di classificazione giri in 60 minuti. Nella maggior parte delle banche oggi gira in 4-8 ore, perché ognuno dei sette criteri viene controllato a mano su dashboard separate, la soglia economica di EUR 100.000 viene stimata da qualcuno in operations che deve chiamare la finanza, e i segnali reputazionali e di diffusione geografica sono interamente manuali.

Tre cose comprimono la classificazione da 4-8 ore a sotto i 60 minuti:

• Misurazione continua e automatica di ciascuno dei sette criteri sullo stato corrente — non una survey trimestrale.
• Un engine di scoring severity-weighted che produce un singolo segnale grave/non grave dai sette input, con ogni input timestampato e firmato.
• Un evidence bundle pre-formattato secondo RTS 2025/301 Allegato II — così la notifica iniziale è il rendering di dati esistenti, non un esercizio di scrittura di 240 minuti.

Questo è il gap operativo che l'enforcement 2026 sta puntando davvero.

Dove tocca Zero Hunt

Il Pilastro 3 di Zero Hunt — compliance automatica — è progettato esattamente su questo gap. L'engine di compliance mappa in continuo ogni finding, ogni scan, ogni remediation contro 32 framework, DORA inclusa. Lo scoring severity-weighted è la stessa primitiva che la classificazione DORA richiede: impatto finanziario, scope, durata, criticità già strutturati, pesati e queryabili. Quando scatta un incidente, i sette criteri hanno già valori correnti; la classificazione è una query, non un workshop.

Ogni output dell'engine — scan, finding, decisioni di classificazione, eventi di remediation — è ECDSA-signed al momento della scrittura, con chain-of-custody by construction. Il Trust Center espone tutto questo all'auditor o alla NCA come un evidence stream corrente e firmato, non come un binder ricostruito. Quando l'ispettore chiede "mi mostra come avete classificato l'incidente del 14 febbraio", la risposta è un bundle firmato che il regolatore può verificare contro la chiave pubblica.

Sul lato TLPT (Articoli 26-27), lo swarm di pentest generativo a 10 agenti gira su sistemi di produzione live — Recon, Exploit, Web, Credential, Post-Exploit, Pivot, Tactic, Report, più il Controller AI — con il backtest corpus di AI Gym (142+ skill validate contro Vulhub, NYU CTF Bench, Cybench, Vulhub-Bench prima che qualsiasi nuova skill tocchi production) che fornisce la garanzia di sicurezza necessaria per girare la TLPT sui sistemi di produzione critici che DORA nomina davvero, invece di una copia di staging che non prova nulla sull'esposizione reale.

L'output di entrambi i percorsi atterra nello stesso evidence stream. È questo che riduce la finestra classification-to-notification da 4-8 ore a un numero che sopravvive a una review NCA 2026 — ed è questo che rende il clock di 4 ore un clock che puoi davvero rispettare, invece del panico-su-Excel che è stato finora per la maggior parte del settore finanziario.

Se vuoi vedere come l'engine di compliance e lo swarm TLPT producono un singolo evidence stream mappato su DORA, la panoramica della piattaforma ne descrive l'architettura, e la pagina di comparazione la confronta con i vendor da audit-binder. Oppure salta direttamente al contatto.