Lo studio (University of Genoa Centre for Law and Finance, WP n.4/2026) analizza l'evoluzione della regolamentazione nel settore dei servizi finanziari, sempre più dipendenti da fornitori terzi di servizi ICT.

Con l'entrata in vigore del Regolamento DORA (Digital Operational Resilience Act), questi fornitori sono ora soggetti a norme specifiche, mentre i legislatori europei si stanno mostrando sempre più attivi anche nel campo del cloud computing.Sul piano economico, tali servizi tecnologici possono ridurre i costi di erogazione dei servizi finanziari, anche su base transfrontaliera.

L'approccio regolatorio si sta spostando verso un modello basato sull'attività svolta, con l'obiettivo di ridurre gli spazi per l'arbitraggio regolamentare. Tuttavia, l'estensione della regolamentazione e della vigilanza a questi nuovi ambiti pone alcune questioni critiche: in primo luogo, se le autorità di vigilanza dispongano delle competenze tecniche necessarie per affrontare queste nuove attività, anche in collaborazione tra loro. In secondo luogo, la concentrazione del mercato nei servizi tecnologici desta preoccupazione sia sotto il profilo del potere di mercato, sia per i potenziali conflitti di interesse delle imprese attive contemporaneamente nei mercati SupTech e RegTech.

The Broadening Scope of Financial Regulation: Digital Operational Resilience and Cloud Computing

Lo studio (Insurance: Mathematics and Economics, Volume 126, January 2026, 103167) analizza l'efficacia delle classificazioni del rischio cyber nella previsione delle distribuzioni delle perdite, spostando il focus dalla capacità di adattamento ai dati storici alla performance previsionale fuori campione. Attraverso un'analisi a finestra mobile e l'utilizzo di funzioni di scoring pesate per soglia, gli autori confrontano diverse classificazioni comunemente adottate.

I risultati mostrano che le classificazioni tradizionali, orientate a criteri di business, risultano troppo rigide e poco adatte a catturare l'eterogeneità degli eventi cyber. Al contrario, classificazioni dinamiche basate sull'impatto si dimostrano più efficaci nel prevedere le perdite future. Una conclusione rilevante per il settore assicurativo è che le tipologie di rischio cyber hanno una capacità previsionale limitata riguardo alla severità delle perdite, e dovrebbero essere utilizzate dagli attuari principalmente nella modellazione della frequenza degli eventi, non della loro gravità.

Lo studio fornisce indicazioni utili sia per i decision-maker aziendali che per i regolatori, contribuendo allo sviluppo della conoscenza scientifica nel campo della gestione del rischio cyber.

Cyber risk taxonomies: statistical analysis of cybersecurity risk classifications