DORA e VDR: cosa cambia per gli avvocati M&A

Se gestisci operazioni di M&A o due diligence nel settore finanziario, il 17 gennaio 2025 ha segnato un cambio di paradigma. Da quella data, il Regolamento (UE) 2022/2554, noto come DORA, Digital Operational Resilience Act, è pienamente applicabile e con esso arrivano obblighi concreti, non solo principi astratti.

Questa guida risponde a una domanda precisa: cosa cambia, in pratica, per chi gestisce flussi di documenti riservati durante processi di due diligence? E in che modo una Virtual Data Room (VDR) diventa uno strumento di compliance e non solo di organizzazione?

Cos'è DORA?

DORA è il regolamento europeo che impone al settore finanziario, banche, assicurazioni, SGR, fondi, istituti di pagamento, intermediari e i loro fornitori ICT, di gestire in modo documentato, testato e continuativo i rischi legati ai sistemi digitali.

Non è una raccomandazione: è un obbligo direttamente applicabile in tutti i 27 Stati membri, senza necessità di recepimento nazionale (anche se l'Italia ha emanato il D.Lgs. di adeguamento pubblicato in Gazzetta Ufficiale n. 58 dell'11 marzo 2025).

Il punto cruciale per gli avvocati M&A: DORA si applica anche ai fornitori terzi ICT che svolgono funzioni critiche per le entità finanziarie. Questo include le piattaforme utilizzate per condividere documenti riservati durante le due diligence.

Chi è soggetto a DORA: la lista completa

L'articolo 2 del Regolamento individua oltre venti tipologie di soggetti destinatari. Tra quelli più rilevanti per il mondo M&A e legale abbiamo:

• enti creditizi (banche);

• istituti di pagamento e di moneta elettronica;

• imprese di investimento;

• gestori di fondi di investimento alternativi (FIA) e OICVM;

• imprese di assicurazione e riassicurazione;

• agenzie di rating del credito;

• fornitori di servizi per le cripto-attività;

• revisori legali e società di revisione;

• fornitori ICT terzi che erogano servizi critici a qualsiasi entità sopra elencata.
  

Se il tuo studio legale o il tuo cliente appartiene a queste categorie, o se utilizzi strumenti digitali per gestire le loro due diligence, DORA ti riguarda direttamente.

I cinque pilastri di DORA: cosa cambia operativamente

Pilastro I. Gestione del rischio ICT con responsabilità al vertice

DORA ridefinisce la governance in modo radicale: la responsabilità per la gestione del rischio ICT non è delegabile. L'organo di amministrazione (CdA) deve "definire, approvare, sovrintendere e rispondere" di tutte le strategie relative al rischio tecnologico. In pratica, il CFO o il CRO non possono più semplicemente delegare la questione all'IT: devono dimostrare supervisione attiva.

Per chi gestisce una DD: le piattaforme di condivisione documenti utilizzate devono essere valutate, selezionate e monitorate nell'ambito di questo framework di governance.

Pilastro II. Gestione degli incidenti ICT

Il nuovo Regolamento Europeo introduce scadenze precise riguardo la gestione e la notifica degli incidenti:

• notifica iniziale all'autorità competente entro 4 ore dalla classificazione dell'incidente come "grave";

• rapporto intermedio entro 72 ore;

• relazione finale entro un mese.

Per gli avvocati M&A, questo significa che qualsiasi violazione dei dati avvenuta su piattaforme utilizzate durante una può attivare obblighi di notifica regolamentare per il cliente entità finanziaria. La VDR deve produrre log di audit dettagliati e immediatamente consultabili.

Pilastro III. Test di resilienza operativa digitale

Le entità finanziarie devono condurre test periodici sui propri sistemi ICT, inclusi penetration test (TLPT, Threat-Led Penetration Testing) per le entità più significative.

Per i fornitori di servizi digitali utilizzati nelle DD, questo implica la necessità di dimostrare che le proprie infrastrutture siano sottoposte a verifiche di sicurezza documentate.

Pilastro IV. Gestione del rischio dei fornitori terzi ICT

DORA impone alle entità finanziarie di:

• condurre una due diligence rigorosa su ogni fornitore ICT prima dell'onboarding;

• mantenere un registro aggiornato di tutti gli accordi contrattuali con fornitori ICT;

• negoziare contratti che includano clausole specifiche su audit, resilienza e strategie di uscita;

• applicare clausole "flow-down" quando il fornitore ricorre a subappaltatori (es. cloud provider che delega il disaster recovery);

• comunicare annualmente alle autorità il numero di nuovi contratti ICT stipulati.

Pilastro V. Condivisione delle informazioni sulle minacce

DORA istituisce un framework (su base volontaria) per la condivisione di informazioni di cyber threat intelligence tra entità finanziarie. Per le DD questo è meno rilevante in modo diretto, ma implica che le piattaforme utilizzate debbano permettere l'estrazione e la condivisione di log di sicurezza in formati standardizzati.

Il ruolo della VDR nella compliance DORA

Una Virtual Data Room diventa un'infrastruttura critica per la gestione documentale della compliance ICT. Ecco perché la scelta della VDR giusta non è un dettaglio operativo.

Cosa deve garantire una VDR per essere DORA-compatibile

• Audit trail completo e verificabile: ogni accesso, download, stampa e modifica deve essere tracciato con timestamp RFC 3161 e hash SHA-256 per garantire l'integrità forense del log.

• Watermark dinamico: i documenti devono recare l'identità del visualizzatore, rendendo tracciabile qualsiasi leak.

• Permessi granulari per cartella e documento: la gestione degli accessi deve essere documentata e revocabile in tempo reale.

• Export certificato (Deal Binder): al termine della DD, il pacchetto documentale deve essere esportabile in formato verificabile offline, con manifest di integrità.

• Conformità GDPR: il trattamento dei dati personali presenti nei documenti deve rispettare il Regolamento (UE) 2016/679, con possibilità di esportazione, cancellazione e gestione dei consensi.

• Infrastruttura con SLA certificati: uptime garantito, datacenter in UE, crittografia end-to-end.

Le sanzioni: perché la conformità non è opzionale

Il regime sanzionatorio di DORA, dettagliato nel D.Lgs. italiano di adeguamento (marzo 2025), distingue tra:

• violazioni gravi (governance, gestione fornitori critici, mancata notifica incidenti): sanzione fino al 10% del fatturato annuo totale dell'ente;

• violazioni meno gravi (inadempienze operative, ritardi in notifiche non critiche): sanzione fino al 7% del fatturato annuo;

• fornitori ICT "critici" designati dalla Commissione Europea: sanzione periodica fino all'1% del fatturato medio giornaliero mondiale per ogni giorno di non conformità.

Per le società di revisione incluse nel perimetro applicativo, la non conformità può comportare l'esclusione dal mercato. Non si tratta di rischi teorici: le autorità di vigilanza europee (EBA, EIOPA, ESMA) hanno già avviato le attività di supervisione.

Il Digital Operational Resilience Act, non è un adempimento burocratico destinato solo agli uffici compliance delle banche. È un framework operativo che ridisegna il modo in cui i professionisti legali e finanziari devono approcciarsi alla gestione documentale nelle operazioni straordinarie.

La scelta della Virtual Data Room, la struttura dei contratti con i fornitori ICT, la capacità di produrre prove verificabili: tutto questo è ora parte della diligenza professionale richiesta.

SimpleVDR è stato progettato con questi requisiti in mente: audit trail certificabile, watermark difendibile, export verificabile offline e conformità GDPR nativa. Strumenti semplici per obblighi complessi.