Nel rischio tutto è cambiato. Anche le priorità.
«Se fino al 2022 il risk management bancario ruotava prevalentemente attorno al rischio di credito e di tasso, oggi si è trasformato nella gestione di rischi sempre più interconnessi, in cui cyber security e rischio operativo hanno assunto un peso comparabile a quello del credito – osserva Ivan Fogliata, Executive Partner di inFinance. In questo scenario, il risk manager è diventato una figura ancora più centrale, chiamata a dialogare in modo sempre più stretto con la Direzione e il CdA della banca».
L’integrazione del rischio ESG
Anche sul fronte ESG il paradigma è mutato. Se in una prima fase l’attenzione era soprattutto concentrata sulla reportistica, oggi i fattori di sostenibilità incidono direttamente su pricing, modelli di rating e decisioni di affidamento. Il rischio fisico e quello di transizione stanno infatti entrando stabilmente nelle valutazioni del credito alle imprese.
«Alcuni settori risultano già più esposti degli altri agli effetti del cambiamento climatico: dall’automotive tradizionale – osserva Fogliata – alle coltivazioni in aree soggette a crescente aridità, fino a produzioni destinate progressivamente a scomparire dal mercato, come le caldaie a gas».
Dalla reportistica al monitoraggio continuo: il ruolo dell’AI
Sul piano tecnico la direzione è chiara: meno reportistica, più monitoraggio continuo. E qui l’intelligenza artificiale può dare un contributo determinante.
«L’AI servirà soprattutto per liberare le funzioni di rischio da lavori a basso valore aggiunto. Quindi produrre documenti, riconciliare dati, scrivere bozze di analisi e così via. Dedicando più tempo alle vere decisioni – commenta Fogliata. Nel prossimo futuro, ci aspettiamo la nascita di modelli AI capaci di anticipare il deterioramento del credito prima che sia espresso dai numeri di bilancio e di integrare gli stress test climatici nel ciclo gestionale ordinario, invece di lasciarli come esercizi accademici svolti una volta l’anno per la Vigilanza».
Dall’AML all’analisi creditizia: dove l’AI fa già la differenza...
Già oggi l’AI è un prezioso alleato in precisi ambiti nella gestione del rischio. «Vediamo risultati concreti dell’impiego dell’intelligenza artificiale nell’Anti-Money Laundering (AML), dove l’AI è in grado di ridurre, in modo sensibile, i falsi positivi rispetto ai sistemi standard, spesso dipendenti dal “colpo d’occhio umano” – sottolinea Fogliata. Altri ambiti di integrazione di questa tecnologia riguardano l’analisi creditizia e dei dichiarativi fiscali, probabilmente uno dei casi d’uso più utili e interessanti per una banca».
...e dove ancora manca
Ciò che invece deve ancora venire è l’intelligenza artificiale a livello aziendale. «Il mondo del credito – osserva Fogliata – è fortemente dipendente dai propri software provider che, in questo momento, non sono ancora in grado di integrare tutti i sistemi e tutti i dati della banca per poter sfruttare appieno il potenziale di una AI privata e integrata all’interno degli istituti».
I nuovi rischi legati all’intelligenza artificiale
L’adozione dell’intelligenza artificiale nel mondo bancario procede dunque come una sorta di rivoluzione dal basso: sono i singoli utenti che iniziano a servirsi dei primi modelli AI, mentre sono assenti, almeno per ora, politiche e strategie pensate dall’alto.
«Questo genera un importante rischio legato alla privacy dei dati che vengono trasmessi all’AI dal singolo utente – aggiunge Fogliata. Per prevenire questo rischio, occorrono innanzitutto formazione e, in secondo luogo, strumenti che tutelino il dato».
La tecnologia non sostituirà le buone decisioni
Tuttavia, a grandi poteri corrispondono grandi responsabilità: chi adotta l’AI deve essere consapevole e preparato a gestire questa nuova tecnologia.
«Esiste un enorme rischio di delega acritica all’AI, con il concreto effetto collaterale di subire qualche “allucinazione” del sistema. L’AI è un sottoposto, non un superiore della risorsa che la utilizza. Detto questo, c’è una verità che, a mio avviso, è poco esplorata: nessuna delle grandi crisi bancarie degli ultimi vent’anni è stata causata da un modello sbagliato – avverte Fogliata. La maggior parte delle crisi è nata per problemi di governance, per conflitti d’interesse, per un appetito al rischio gonfiato dall’ego di chi comandava. Insomma, l’AI può aiutare a vedere meglio, ma non può sostituire le buone decisioni».
Come cambia la gestione del rischio IT in banca dopo DORA
Prima dell’entrata in vigore del regolamento europeo DORA (Digital Operational Resilience Act) un fornitore IT veniva scelto principalmente secondo logiche di mercato. Oggi deve garantire solidità, continuità operativa e capacità di resistere nel tempo. Inoltre, per le banche, è necessario predisporre sempre un “piano B”, formalizzato e documentato.
«Il DORA ha introdotto anche nuove domande per le banche. La principale è: chi c’è davvero dietro il fornitore? Spesso, infatti, il provider della banca si appoggia a un cloud provider che, a sua volta, dipende da altri soggetti – spiega Fogliata. Ed è proprio in fondo a questa catena che possono annidarsi rischi mai considerati prima. La normativa richiede di testare i sistemi simulando attacchi reali, verificare concretamente l’efficacia dei piani di ripristino e conoscere nel dettaglio a chi siano affidate le diverse fasi del servizio acquistato. Si tratta di un livello di trasparenza che molti fornitori più piccoli faranno fatica a sostenere e che, inevitabilmente, porterà parte di loro a uscire dal mercato bancario. Non è una buona notizia per la concorrenza, ma nel complesso il sistema potrebbe diventare più solido dal punto di vista del rischio IT e cyber».
Questo articolo è stato pubblicato sul numero di giugno 2026 di AziendaBanca ed è eccezionalmente disponibile gratuitamente anche sul sito web. Se vuoi ricevere AziendaBanca, puoi abbonarti nel nostro shop.
