Istituti finanziari, fintech, assicurazioni, gestori di OICR. Avete vincoli regolamentari stringenti su business continuity, gestione incidenti, third-party risk. Costruiamo software che entra nel vostro framework di compliance senza generare non-conformità.
Tutto il settore finanziario UE deve avere ICT risk management framework, processo di incident reporting, programma di resilience testing, gestione strutturata del third-party risk. Il software deve supportare questi requisiti.
DORA prevale dove c'è sovrapposizione, ma NIS2 resta applicabile a fornitori ICT non finanziari del settore e ad alcune banche essenziali. Coordinare i due regimi richiede un approccio integrato di compliance.
Molti istituti finanziari italiani hanno sistemi COBOL peripheral al core banking: reportistica, batch notturni, sistemi storici di sportello. I programmatori vanno in pensione, il rischio knowledge è massimo.
Il settore non ammette downtime non pianificati. Architetture multi-zona o multi-regione, DR plan testato, monitoraggio 24/7 sono requisiti baseline. Software custom deve essere progettato in coerenza.
Reporting verso Banca d'Italia, EBA, CONSOB con scadenze rigide e formati specifici. Il software deve supportare i flussi di reporting prudenziali e i requisiti DORA di notifica incidenti.
AI per automazione documentale (KYC, AML check di primo livello, lettura contratti), RAG su knowledge base interna (procedure operative, regolamentazione). Vincoli AI Act stringenti per applicazioni high-risk: scoring credito, decisioni automatizzate, biometria.
Vedi il pilastro
Modernizzazione progressiva di sistemi peripheral (COBOL, AS/400, gestionali storici) senza toccare il core banking regolamentato. Strangler pattern, knowledge recovery dal team senior, integrazione con sistemi core via API documentate.
Vedi il pilastro 
Software DORA-compliant con ICT risk management framework integrato, business continuity progettata, audit trail strutturato per incident reporting, gestione third-party risk. ISO 27001-compatibile per chi è certificato o in percorso.
Vedi il pilastro Resilience operativa, gestione incident, third-party risk per finance.
Per chi è certificato ISO 27001 o vuole arrivarci.
Controlli tecnici richiesti da NIS2 implementati nel software.
Privacy nelle decisioni architetturali, non come feature aggiunta dopo.
Per chi ha COBOL ancora in produzione e zero documentazione aggiornata.
Retrieval-augmented generation su documenti interni con accesso governato.
Requisiti tecnici per chi sviluppa o usa AI ad alto rischio.
Digital Operational Resilience Act, applicato dal 17 gennaio 2025 a tutto il settore finanziario UE. ICT risk management, incident reporting, resilience testing, third-party risk.
Applicabile a banche essenziali e a fornitori ICT non finanziari del settore. Coordinamento con DORA per casi di sovrapposizione.
Requisiti high-risk per AI in scoring credito, fraud detection con decisioni automatizzate, classificazione clienti. Trasparenza, explainability, human oversight.
Dati finanziari di clientela, profilazione, retention. Stratificazione normativa che richiede coordinamento di compliance.
Sì, costruiamo software DORA-compliant per fintech, paytech, gestori di OICR, assicurazioni medio-piccole. Per istituti sistemici (banche centrali, grandi assicurazioni) collaboriamo come specialisti tecnici a fianco dei loro team interni o di system integrator dedicati. La compliance DORA organizzativa resta sempre in capo al cliente.
Non lavoriamo direttamente sul core banking (sistemi tipicamente forniti da vendor specializzati: Temenos, Murex, Avaloq, custom). Lavoriamo su sistemi peripheral: reportistica, dashboard, integrazione, software custom verticali, layer AI sopra il core. La separazione è esplicita e contrattualizzata.
Range tipici: €60.000-150.000 per audit + knowledge recovery + primo modulo migrato. €200.000-600.000 per migrazione completa di sistemi medi. La fase di knowledge recovery dal team senior (anche post-pensione in consulenza) è critica per la riuscita.
Forniamo evidenze tecniche sul software che consegniamo: documentazione architetturale, threat model, audit log, evidenze test sicurezza, business continuity plan. Supportiamo la due diligence tecnica del cliente con queste evidenze. La negoziazione contrattuale e la gestione del registro dei fornitori ICT terzi resta in capo al Legal/Compliance del cliente.
Una conversazione vera con chi costruirà il software. Niente preventivi automatici, niente bot di vendita.
Parliamone