Negli ultimi anni, la funzione Compliance nelle banche europee ha dovuto affrontare un aumento della complessità regolatoria senza precedenti. A un quadro normativo già articolato si sono aggiunti nuovi ambiti – dalla sostenibilità al digital finance, dalla gestione dei dati all’Intelligenza Artificiale – che hanno ampliato in modo significativo il perimetro di responsabilità della funzione.
Solo nell’ultimo anno, autorità europee e nazionali hanno pubblicato più di 430 documenti applicabili al settore bancario, pari a una media di più di 35 al mese. Un corpus documentale importante, caratterizzato spesso anche da connessioni e interdipendenze (Fig. 1).
[Fig. 1 – Crescente complessità del panorama normativo europeo]
A questa crescente complessità si affianca un contesto di enforcement sempre più rigoroso. Dal 2008 ad oggi, secondo uno studio Fenergo, sono state comminate più di 64 miliardi di dollari di sanzioni in materia di anti-financial crime, con una forte concentrazione negli ultimi dieci anni ed un ruolo particolarmente rilevante delle autorità statunitensi anche nei confronti di gruppi bancari europei.
Su altre materie, nello stesso periodo, l’entità delle sanzioni comminate è stata meno eclatante ma è chiaro ormai che le conseguenze di una non conformità non si limitano più all’impatto economico ma includono anche danni reputazionali e vincoli operativi.
In questo scenario, il rischio regolatorio è sempre meno legato alla mera interpretazione della norma e sempre più alla capacità di execution: tradurre requisiti complessi, in continua evoluzione e spesso multilivello, in processi operativi coerenti, efficienti e scalabili.
Non sorprende quindi che, secondo un recente studio di Accenture, più del 70% di Compliance executives preveda nei prossimi due anni un aumento degli investimenti nell’area, con un focus su revisione dei modelli operativi, tecnologia e competenze del personale.
Un ruolo chiave in questa trasformazione è giocato dall’adozione di Intelligenza Artificiale e Generative AI, che stanno già mostrando un impatto concreto sull’automazione di attività a minor valore aggiunto ma ad alta intensità di tempo.
Tra queste, rientrano ad esempio l’analisi dell’orizzonte normativo, la redazione e aggiornamento delle policy interne, il reporting periodico della funzione. In base ad una nostra recente survey il 70% degli Intermediari Finanziari a livello Globale ha già avviato casi d’uso di AI in ambito Compliance o li ha inseriti nella propria roadmap di breve periodo (Fig. 2).
[Fig. 2 – Attività area Compliance con adozione di AI e Generative AI]
Al tempo stesso, l’adozione dell’AI su scala più ampia introduce nuovi rischi che richiedono presidi dedicati: dalla spiegabilità dei modelli alla gestione dei bias, dalla tracciabilità delle decisioni alla governance dei fornitori.
Da questo punto di vista, l’entrata in vigore dell’EU AI Act rende ora imprescindibile il rafforzamento di framework di Responsible AI, con un ruolo centrale proprio della funzione di Compliance che è chiamata a definire policy, controlli e meccanismi di supervisione lungo l’intero ciclo di vita dei sistemi.
Le funzioni Compliance più mature stanno rispondendo a queste sfide attraverso un percorso di evoluzione articolato lungo quattro direttrici principali.
In primo luogo, il ridisegno dei modelli operativi
Nei gruppi bancari cross-border si sta consolidando un approccio “group-led”, volto a rafforzare la governance centrale attraverso la definizione di metodologie, processi e regole comuni, per garantire maggiore coerenza e uniformità di approccio a livello di Gruppo.
Questo include spesso anche l’adozione di soluzioni IT comuni e la creazione di Regional Hub per processi operativi più standardizzabili con l’obiettivo di facilitare l’adozione di procedure realmente omogenee e generare economie di scala e di specializzazione.
Al contempo, le diverse entità del Gruppo possono mantenere una certa autonomia operativa per adattare le regole centrali alle specificità normative e operative locali. In pratica un modello integrato, con regole chiare di accountability e capacità di challenger centrale più forte.
In secondo luogo, l’accelerazione dell’AI
La crescente adozione di soluzioni di Intelligenza Artificiale nel settore bancario sta avendo impatti rilevanti anche sulle funzioni di controllo. Le prime applicazioni sperimentali osservate in ambito Compliance sono state prevalentemente “use case driven”, focalizzate cioè su singoli task o specifiche fasi di processo.
Oggi si osserva una progressiva transizione verso approcci più strutturati di process reinvention, resa possibile dall’emergere dei modelli di Agentic AI. A differenza delle soluzioni fin qui adottate, l’Agentic AI consente di progettare l’automazione partendo da precisi obiettivi da raggiungere e dalla definizione degli strumenti e dei dati da utilizzare per perseguirli, piuttosto che dalla definizione puntuale della sequenza di attività da automatizzare.
Questo abilita un’orchestrazione più autonoma dei flussi di lavoro, superando logiche rigidamente rule-based o task-centric. Si tratta di un cambio di paradigma importante che richiede un’evoluzione anche nell’approccio alla progettazione delle soluzioni e al relativo controllo.
Primissime applicazioni si stanno già osservando presso alcuni player internazionali negli ambiti del KYC e dell’ AML-Transaction Monitoring con ritorni di valore rilevanti.
Terzo elemento è la trasformazione delle competenze
La funzione Compliance richiede profili sempre più ibridi, in grado cioè di combinare solide competenze normative con capacità analitiche, digital literacy e soft skill come il change management.
Una recente analisi da noi condotta evidenzia che il 40% dei job posting pubblicati nell’ultimo anno su LinkedIn per ruoli in area Compliance in banche europee include, tra i requisiti richiesti, competenze digitali e/o di data analytics sia per sfruttare al meglio le nuove tecnologie all’interno della funzione che per presidiare adeguatamente le tematiche di ICT Compliance che sono sempre più attenzionate anche dall’Autorità di Vigilanza.
Le implicazioni di questo cambiamento sono significative: da un lato, occorrono assunzioni mirate di profili con competenze complementari a quelle già disponibili all’interno della funzione, dall’altro va valutata l’opportunità di qualche rotazione di personale da altre aree della banca.
Parallelamente, come stanno facendo già diversi players del settore, è necessario implementare iniziative di upskilling per la workforce esistente, sfruttando strumenti di formazione personalizzata, programmi di mentorship e/o academy interne dedicate, magari in sinergia con altre Funzioni Aziendali di Controllo che possono avere esigenze similari.
Quarta direttrice: partnership con il business
La Compliance deve cercare di evolvere verso un ruolo di trusted advisor, che non significa abbandonare il ruolo di funzione di controllo ma riuscire a collaborare in modo più stretto con le funzioni di business per anticipare rischi, semplificare processi e supportare anche l’innovazione nel rispetto delle diverse normative. Questo può includere:
- early engagement di referenti della funzione Compliance nello sviluppo di nuovi prodotti o servizi per anticipare i rischi regolatori, evitare correzioni costose in fase avanzata e garantire “by design” che l’innovazione sia compatibile con le normative in vigore o di prossima emanazione;
- approccio risk-based nei controlli, adattando profondità, frequenza e strumenti di controllo in funzione del rischio stimato, cercando di evitare sovraccarichi o blocchi nei processi operativi di business;
- co-progettazione dei processi, in particolare quelli che impattano sulla customer experience, come ad esempio nell’ambito digital onboarding dove è cruciale riuscire a conciliare esigenze di Compliance (e.g. KYC, Privacy) con la realizzazione di percorsi veloci ed intuitivi per il cliente finale.
La Compliance del futuro, in questa prospettiva, dovrà essere una funzione sempre più proattiva ed integrata, capace di guidare la banca nella gestione dei rischi, nello sviluppo di nuovi servizi e nella trasformazione dei processi, trasformando le sfide regolatorie in opportunità per crescere in modo sicuro e sostenibile.
