Il 2025 segna l’inizio di una nuova era per la regolamentazione bancaria europea. Con l’entrata in vigore del Regolamento (UE) 2024/1623 (CRR III – Capital Requirements Regulation), si completa l’implementazione delle cosiddette final Basel III reforms – note informalmente come Basilea IV. Parallelamente, la Direttiva (UE) 2024/1619 (CRD VI – Capital Requirements Directive), che entrerà in vigore dal gennaio 2026, rafforza il quadro di governance e controllo dei rischi, con particolare attenzione alla sostenibilità e alla vigilanza consolidata.
L’ambizione è netta: rendere il sistema bancario più robusto, trasparente e comparabile, limitando l’arbitraggio regolamentare tra istituzioni e promuovendo una cultura della resilienza. Per le banche italiane, ciò si traduce in una trasformazione che coinvolge il capitale regolamentare, la qualità e tracciabilità dei dati, il modo in cui si misura e comunica il rischio operativo.
Inoltre, non da meno, anche l’approccio alla gestione di quest’ultimo portando a un irrobustendo dei processi di controllo ‘’ex ante’’ con l’obiettivo di rafforzare la capacità di prevenzione e risposta ai rischi operativi.
Una nuova logica per la gestione del capitale e del rischio operativo
Uno dei passaggi chiave è l’introduzione dell’Output Floor, che impone un limite inferiore al capitale regolamentare calcolato con modelli interni. L’effetto principale è quello di livellare i requisiti patrimoniali tra banche che usano approcci standardizzati e banche che impiegano modelli avanzati, fissando una soglia minima al 72,5% del requisito derivante dall’approccio standard.
L’impatto più significativo riguarda il rischio operativo, con la definitiva dismissione del metodo AMA – Advanced Measurement Approach e l’introduzione dello SMA – Standardised Measurement Approach. Il nuovo metodo prevede una componente dimensionale (il Business Indicator) e una storica, basata sulle perdite operative effettive.
La logica non è più predittiva, ma retrospettiva: chi ha storicizzato e classificato correttamente gli eventi passati sarà premiato; chi ha sottovalutato i processi di loss data collection si troverà a pagare un premio di capitale. In questo contesto acquisirà maggiore importanza il processo di Risk Control Self-Assessment (RCSA), la cui finalità principale è quella di individuare gli eventi di rischio specifici direttamente connessi con manifestazioni di perdite economiche potenziali.
Il RCSA rappresenta uno strumento per condurre analisi di scenario dei rischi e delle vulnerabilità di un processo, prevedendo il diretto coinvolgimento delle strutture organizzative; è propedeutico per diffondere la cultura del Controllo ed è uno strumento fondamentale di gestione volto alla rilevazione dei rischi “ex ante”, soprattutto se confrontato con i risultati del processo di Loss Data Collection.
Per molte banche, anche italiane, ciò comporta simulazioni che mostrano aumenti tra il 10% e il 20% del capitale assorbito. In altri casi, l’impatto del solo SMA ha inciso per oltre 40 punti base sul CET1 – Common Equity Tier 1. È un passaggio che trasforma il rischio operativo da categoria “secondaria” a leva strategica di capital management.
Tutto ciò porterà le istituzioni ad approfondire non solo gli aspetti legati al computo e monitoraggio del capitale regolamentare, ma anche la valutazione del capitale economico, in quanto rappresenta la misura interna del capitale che un'impresa deve detenere per proteggersi da eventi estremi e inattesi che potrebbero comprometterne la stabilità finanziaria.
Infatti, a differenza dei requisiti regolamentari minimi imposti dalle autorità (come quelli di Basilea), il capitale economico considera il profilo di rischio specifico dell'organizzazione, delle sue vulnerabilità operative e delle sue strategie di business.
Raccolta e qualità dei dati diventano fattori critici di successo
Con l’adozione dello SMA (Standardised Measurement Approach), la capacità di raccogliere, tracciare e aggregare in modo affidabile i dati relativi alle perdite operative diventa un elemento fondamentale. La granularità dei dati, la riconciliazione tra sistemi (finance e risk) e la qualità del reporting interno sono elementi che influenzeranno direttamente il capitale regolamentare.
Un esempio evidente è quello di eventi operativi legati a frodi interne o contenziosi legali mal codificati, spesso non tracciati o esclusi dai flussi SMA. Senza adeguate tassonomie, data ownership e tracciabilità (data lineage), il rischio è doppio: sovrastimare l’indicatore dimensionale, sottostimare le perdite storiche, e generare inefficienze patrimoniali.
In questo contesto, l’adozione di strumenti di machine learning e intelligenza artificiale (AI) si sta affermando come leva per migliorare la gestione del rischio operativo. Algoritmi supervisionati possono supportare la classificazione automatica degli eventi, l’individuazione di anomalie nei dati o la previsione di pattern di rischio sulla base di serie storiche.
Se correttamente integrati nei processi interni, questi strumenti possono rafforzare la governance del dato, migliorare la qualità delle informazioni e aumentare l’efficacia dei controlli. Numerose banche italiane stanno correndo ai ripari con task force dedicate e revisione dei framework di classificazione degli eventi di rischio e di data governance.
I cambiamenti in termini di trasparenza informativa e reporting regolamentare (Pillar 3)
Il Pillar 3 (terzo pilastro di Basilea), ossia la disclosure regolamentare verso mercato e vigilanza, evolve verso un sistema di comunicazione integrata. Con il CRR III, le banche sono chiamate a pubblicare informazioni comparabili e accessibili non solo sulle esposizioni al rischio di credito, ma anche sulla struttura del Business Indicator e sul trattamento del rischio operativo.
Qui si apre una nuova opportunità: quella della trasparenza come leva reputazionale. I programmi di Pillar 3 combinano automazione dei flussi, coerenza narrativa ESG e governance trasversale dei dati. La disclosure sulle perdite operative e sulla sensibilità ai modelli interni diventa elemento distintivo anche in ottica di posizionamento competitivo.
Come prepararsi concretamente all’entrata in vigore del nuovo pacchetto
Le banche italiane più strutturate stanno già lavorando su modelli adattivi di implementazione. Le priorità sono aggiornare i sistemi informativi per calcolare correttamente lo SMA, rivedere la logica di allocazione delle perdite, integrare il reporting operativo nei flussi di Pillar 3.
Alcune hanno formalizzato ruoli dedicati alla supervisione della qualità dei dati nel rischio operativo; altre stanno riesaminando la segmentazione delle linee di business alla luce dei requisiti del Business Indicator.
Le iniziative di adeguamento non sono solo di compliance: sono investimenti in solidità e posizionamento. In particolare, alcuni tra i più grandi gruppi bancari hanno già avviato progettualità che collegano Basilea IV, ottimizzazione del capitale ed efficientamento della struttura operativa interna, tramite la digital transformation e l’intelligenza artificiale.
Il rischio operativo diventa elemento fondamentale di resilienza
Basilea IV cambia la rilevanza del rischio operativo: da obbligo tecnico a componente centrale della resilienza bancaria. La sua misurazione non è più un esercizio modellistico teorico, ma un test della maturità gestionale e informativa dell’istituto. Per chi saprà trasformare questo obbligo in leva di efficienza, si apriranno spazi di vantaggio competitivo e credibilità verso la vigilanza.
La compliance, oggi, non riguarda più solo l’adeguamento normativo, è diventata un esercizio strategico, che la banca è sempre più chiamata a fare e gli sviluppi della tecnologia rendono sempre più un’opportunità.
