(AGENPARL) – mer 17 aprile 2024 Governare il cambiamento: l’evoluzione del mercato
e le prospettive della Vigilanza
Intervento di Giuseppe Siani
Capo del Dipartimento Vigilanza bancaria e finanziaria della Banca d’Italia
Workshop ‘EU regulation 2024: tra resilienza, buona governance e value for money?’
CETIF – Università Cattolica di Milano
17 aprile 2024
1. Introduzione
Negli ultimi anni, il mercato finanziario ha conosciuto una profonda trasformazione
a causa in particolare della cosiddetta ‘twin-transition’, climatica e digitale, e dei ripetuti
shock di natura sistemica, che hanno richiesto agli intermediari finanziari di modificare le
proprie strategie di business. Allo stesso tempo, è aumentata la potenziale concorrenza
di altri players (ad es. le BigTech), in grado di competere su scala mondiale in alcuni
segmenti dell’attività finanziaria, con bacini di clientela enormi e capacità di gestione dei
dati al momento non paragonabili a quelle degli intermediari tradizionali.
Tali dinamiche si riflettono anche sulla ‘catena del valore’ del business bancario
e finanziario, che tende a segmentarsi lungo direttrici che privilegiano la maggiore
efficienza nella gestione dei processi, anche per rispondere più rapidamente alla
accresciuta concorrenza e alle mutate esigenze della clientela. Questa segmentazione
produce in genere una maggiore interazione e interconnessione con altri operatori,
finanziari e non, che svolgono attività complementari o in parte comuni a quelle proprie
degli intermediari tradizionali.
Questa evoluzione rende necessario gestire rischi che possono manifestarsi anche
in modo diverso rispetto al passato e richiedono pertanto robusti presidi di governance
e di controllo interno. Allo stesso tempo, anche le autorità di vigilanza stanno rivedendo
regole, processi e metodologie, per seguire l’effettivo profilo di rischio degli operatori
vigilati, valutarne la sostenibilità del business e individuare potenziali effetti di contagio.
Nel mio intervento, dopo avere brevemente ricordato l’evoluzione in atto nel
sistema finanziario, descriverò alcuni esempi emersi dalla nostra esperienza concreta
di supervisione. Richiamerò inoltre le implicazioni operative di tali tendenze per la
governance dei soggetti vigilati e per la Vigilanza.
L’evoluzione del mercato non bancario
Nonostante il calo registrato nel 2022, negli ultimi anni è proseguita a livello globale
la crescita delle attività detenute dalle entità finanziarie non bancarie (Non Banking
Financial Institutions – NBFI) – che comprendono fondi d’investimento, compagnie
assicurative, fondi pensione e altri intermediari finanziari (circa il 50 per cento delle attività
finanziarie mondiali, rispetto al 42 per cento del 2008)1. La crescita è stata favorita da
molteplici fattori, quali ad esempio l’evoluzione demografica di lungo periodo; le politiche
monetarie espansive, che hanno limitato la remunerazione delle attività finanziarie più
sicure e incentivato la ricerca da parte degli investitori di prodotti finanziari a più elevato
rendimento potenziale (c.d search for yield); i processi di de?leveraging successivi alla crisi
del 2008.
In particolare, alla fine del 2022 il valore delle attività delle NBFI era pari a circa
220 trilioni di dollari; escludendo i fondi pensione e le compagnie assicurative, le cd.dd.
‘other financial institutions’ (OFIs), detenevano attività totali pari a circa 139 trilioni di
dollari (circa il 170 per cento del PIL dei Paesi inclusi nella rilevazione), di cui 39 negli USA
(corrispondenti al 154 per cento del PIL), 39 nell’area euro (280 per cento), 10 nel Regno
Unito (318 per cento). Nell’area dell’euro, alle OFIs è riconducibile circa il 38 per cento
delle attività finanziarie totali, percentuale equivalente a quelle riferite al sistema bancario
(39 per cento).
In Italia, sebbene sia operativo un numero rilevante di intermediari, la dimensione
complessiva è più contenuta rispetto alle altre economie avanzate, sia in valore assoluto
(1,3 trilioni di dollari al netto dei fondi ‘esterovestiti’) sia in rapporto al PIL (63 per cento),
rimanendo in termini di incidenza ben al di sotto dei valori espressi in altre giurisdizioni (16
per cento delle attività finanziarie complessive, rispetto al 44 per cento riferito alle banche).
Diverse iniziative di regolamentazione sono state attuate a seguito della crisi
finanziaria del 2008 e sono state ulteriormente rafforzate nel periodo post pandemico.
Negli ultimi anni gli standard-setting bodies hanno inoltre compiuto progressi, nell’analisi
e nelle politiche sull’uso eccessivo della leva finanziaria nei fondi di investimento, sul
mismatch di liquidità nei fondi aperti, sull’impatto delle richieste di margini sulla liquidità
del sistema.
Vi è dunque una varietà di operatori, di forme giuridiche, dei modelli di attività
ed esposizione ai rischi, con regimi normativi e di vigilanza molto diversi. In tutti i casi,
comunque, il comparto non bancario presenta un’elevata interconnessione con il
settore bancario derivante da un’ampia gamma di attività che comprende, ad esempio,
concessioni di finanziamenti, collegamenti a vario titolo negli assetti proprietari, accordi di
collaborazione/partnership strategiche e/o operative, contratti di servizio e collocamento
di prodotti. Tale interconnessione agevola il possibile trasferimento del rischio da una parte
all’altra del sistema, la relativa potenziale trasformazione e propagazione, con effetti di
spill-over che vanno adeguatamente monitorati.
Cfr. FSB – Global monitoring report on non-bank financial intermediation – 2023; la rilevazione riguarda
29 giurisdizioni che complessivamente rappresentano circa l’85 per cento del PIL mondiale a fine 2022.
Seguire l’evoluzione delle interazioni tra le diverse componenti del sistema finanziario
permette alla Vigilanza di coglierne l’incidenza sulla distribuzione dei rischi nel sistema.
Si prenda ad esempio l’attività più tradizionale, quella creditizia; il sistema bancario ha
realizzato rilevanti progressi nella riduzione dei crediti deteriorati accumulatisi nel corso
della congiuntura negativa che ha interessato l’Italia a partire dalla crisi finanziaria del
2008. La componente non bancaria ha contribuito in modo rilevante al raggiungimento
degli obiettivi, ad esempio con il ruolo crescente svolto dai servicers nello sviluppo di un
mercato efficiente delle cartolarizzazioni.
Più di recente, nelle politiche di gestione del rischio creditizio stanno assumendo
crescente rilievo anche i ‘fondi di credito’, ancorché di dimensioni complessive ancora
contenute (circa 9 miliardi di euro di attivi gestiti a fine 2023). In Italia, il comparto è
principalmente orientato all’acquisto di crediti anomali, che vengono ceduti o conferiti ai
fondi (cc.dd. ad apporto) dalle banche, in particolare a (i) quelli che cercano di ottimizzare,
piuttosto che gestire direttamente, la riscossione delle esposizioni deteriorate secondo
strategie ordinarie di recupero (cc.dd. fondi di collection) e a (ii) quelli in cui il rimborso
dipende dal piano di risanamento, che può includere anche l’erogazione di nuova finanza
da parte del fondo stesso.
Un secondo modello operativo prevede la partecipazione del fondo al
finanziamento in pool, con erogazione di una quota di prestito fin dalla fase iniziale
ovvero in fase successiva, con subentro alle banche consorziate (cc.dd. fondi di
co-lending); si tratta, generalmente, di operazioni a più elevata rischiosità, che per profilo
di rischio-rendimento sembrano di maggiore interesse per gli investitori privati.
Questi modelli di gestione attiva degli investimenti creditizi favoriscono la
crescente interconnessione tra i diversi attori coinvolti nella ‘catena del valore’, tenuto
conto che svolgono ruoli operativi le banche, i gestori, gli istituti di pagamento, e altri
operatori, anche non vigilati. L’esperienza operativa di vigilanza evidenzia in particolare
come la cessione del portafoglio al fondo ovvero il relativo subentro nella concessione
del credito non comporti necessariamente l’eliminazione del relativo rischio per la
banca stessa, che potrebbe mantenere una qualche forma di esposizione all’operatività
del fondo.
Ad esempio, per le banche che hanno acquistato quote del fondo o che forniscono
a vario titolo il relativo supporto operativo e/o finanziario, l’apporto di crediti in fondi di
collection trasforma l’esposizione diretta in un profilo di rischio connesso con la redditività
e la recuperabilità dell’investimento nel fondo, che assume caratteristiche diverse a
seconda della tipologia di operazioni2. La performance dei fondi dipende anche dalla
ridotta dimensione organizzativa del gestore, che spesso implica il ricorso all’outsourcing
di funzioni core (scouting, strutturazione, monitoraggio, gestione) e di quelle di conformità,
anche a operatori non finanziari; si tratta di scelte di business del tutto legittime grazie
L’acquisizione di quote di fondi che investono in portafogli composti da posizioni che provengono
da più originator e hanno caratteristiche differenziate agevola la diversificazione del rischio (ed è
alla base del riconoscimento della derecognition); forme più elevate di concentrazione delle posizioni
provenienti dal medesimo intermediario rappresentano di fatto un mantenimento del rischio nelle sue
configurazioni originarie.
al principio della proporzionalità, ma che potrebbero favorire la frammentazione non
controllata dei processi produttivi senza il necessario presidio dei relativi rischi.
Inoltre, soprattutto nei fondi di co-lending, la relazione con il partner bancario
(collaborazione commerciale; mantenimento dei rapporti con la clientela; valutazione e
individuazione delle caratteristiche delle operazioni di investimento) mantiene di fatto
vincoli di dipendenza operativa che attenuano l’autonomia gestionale dei fondi, con un
ruolo di rilievo delle banche nella gestione di posizioni creditizie pure nominalmente
attribuite ad altri soggetti.
L’interconnessione fra banche e altri operatori, finanziari e non, è da sempre un
tema all’attenzione della Banca d’Italia, per i legami operativi funzionali allo sviluppo
dell’attività, alla diversificazione dei ricavi, alla efficienza operativa. Grazie al vigente Testo
Unico bancario, che si basa su principi di carattere generale adeguatamente flessibili e
sull’attribuzione all’autorità di vigilanza di competenze ampie che comprendono tutte
le tipologie di operatori rilevanti, è stato possibile adattare la nostra azione al mutevole
contesto di mercato e adottare tempestivamente le iniziative necessarie alla salvaguardia
della stabilità complessiva e della tutela della clientela.
Tali caratteristiche sono state poi replicate per il sistema finanziario non bancario
per il quale abbiamo sviluppato nel corso degli anni un modello regolamentare ispirato ai
principi dell’equivalenza e prassi di supervisione uniformi rispetto al comparto bancario,
mantenendo il carattere di flessibilità dell’approccio di vigilanza. La tenuta di questo
quadro di regole andrà valutata anche alla luce della crescente rilevanza dei temi di
resilienza operativa.
Nuovi paradigmi operativi
La trasformazione dei rischi dipende chiaramente anche dall’innovazione tecnologica,
che sta ridefinendo i paradigmi operativi tradizionali, contribuendo a ridisegnare modelli
di attività, a modificare strategie e a riconfigurare processi e prodotti. Emergono nuovi
servizi che, in alcuni casi, sono prestati anche da soggetti del tutto nuovi.
L’area dei pagamenti è probabilmente il comparto più sensibile all’innovazione
e quello maggiormente in grado di promuoverne la diffusione all’intero sistema
finanziario; la dimensione digitale dei nuovi mercati ha infatti aumentato la capacità
dei pagamenti di fungere da abilitatore per l’accesso ad altri servizi, grazie anche alla
loro integrabilità su piattaforme finanziarie, commerciali e ibride. È questa un’area
sempre più competitiva, per la quale sono necessari continui investimenti tecnologici
per assicurare innovazione e sicurezza, che richiedono una progressiva concentrazione
tra gli operatori specializzati.
Il grado di innovazione risulta evidente se consideriamo le tecnologie basate sui
registri distribuiti (distributed ledger technologies o DLT), in particolare quelle connesse
con l’utilizzo di cripto-attività, rispetto alle quali, a pochi mesi dalla prima applicazione
della nuova disciplina europea sulle cripto-attività (MiCAR), i maggiori operatori del
settore ancora non sono inclusi nel tradizionale perimetro di vigilanza.
L’introduzione di uno strutturato sistema di norme prudenziali e di tutela degli
utenti armonizzate a livello europeo e coerenti con quelle già applicabili ad altri servizi
finanziari, rappresenta un significativo passo avanti per regolare l’esercizio di nuove
attività da parte di nuovi operatori specializzati, come ad esempio gli emittenti assetreferenced-tokens (ART) specializzati e i crypto-asset service provider (CASP), e da parte
di intermediari già vigilati. Anche se la normativa non disciplinerà tutte le componenti
del mercato delle cripto-attività (ad esempio, la DeFi o la governance delle DLT cd
permissionless), aumenterà in ogni caso il perimetro dei soggetti da vigilare e dei fattori
di rischio da presidiare.
La Banca d’Italia monitora da tempo con grande attenzione gli sviluppi nel
comparto, nell’ambito dell’ordinaria attività di supervisione, facendo ricorso anche a
indagini mirate ovvero seguendo le iniziative di mercato nell’ambito dei canali di contatto
attivati sul fronte dell’innovazione (Canale Fintech, Milano Hub, Sandbox regolamentare).
L’esperienza operativa maturata dal confronto con i primi intermediari attivi nel comparto
ha fatto emergere alcune criticità.
Pertanto, avvalendoci dei poteri e delle prerogative previsti dal quadro normativo
attuale, abbiamo richiamato l’attenzione degli intermediari sull’esigenza di coinvolgere
adeguatamente gli organi aziendali e le funzioni di controllo sin dalla fase di pianificazione
delle nuove iniziative, sull’esigenza di disporre di adeguate competenze, anche da parte
dei membri del board, sulla necessità di adottare procedure atte a identificare, misurare
e mitigare adeguatamente i rischi, anche con specifico riferimento a quelli derivanti dai
rapporti con terze parti. In alcuni casi, l’interlocuzione informale con i soggetti vigilati
ha portato ad abbandonare le iniziative ipotizzate, alla luce di rischi – reputazionali, di
compliance o di natura operativa – non facilmente presidiabili.
In prospettiva, andrà prestata particolare attenzione alla diffusione di cripto-attività
prive di un sottostante e di conseguenza prive di qualsivoglia valore intrinseco (cc.dd.
unbacked), caratterizzate da elevata volatilità e inidonee a essere utilizzate come mezzo
di pagamento, poiché rischiose per gli intermediari, per gli operatori, per i detentori. La
circostanza che esse non siano regolate da MiCAR al pari degli ART e degli electronicmoney-tokens (EMT) non costituisce un implicito avallo alla possibilità di commercializzarle
per l’offerta indiscriminata di servizi: in ambito finanziario, la loro intrinseca rischiosità e
l’assenza di tangibili benefici per il sistema economico richiede invece che tutti gli attori
del sistema, non solo la Vigilanza, esercitino una responsabilità collettiva per attuare le
iniziative necessarie per ridurre al massimo i potenziali pregiudizi per i consumatori e il
sistema nel suo complesso.
Allo stesso tempo, sarà opportuno non incentivare l’utilizzo di asset-referencedtokens per l’effettuazione di pagamenti, tenuto conto che, nonostante possano essere
in linea con le norme, il valore di queste cripto-attività è soggetto a elevata variabilità
dipendente dall’andamento del sottostante, in maniera del tutto diversa rispetto a token
di moneta elettronica riferibili a una singola valuta fiat. È  proprio la convertibilità 1:1
con moneta fiat a rappresentare l’elemento di certezza irrinunciabile per proteggere la
caratteristica intrinseca di qualunque strumento di pagamento, la fiducia nel suo utilizzo.
L’operatività in cripto-attività presuppone chiaramente l’esigenza di gestire
accanto ai tradizionali rischi – come quelli di liquidità e di riciclaggio – profili specifici
del comparto, quali ad esempio il rischio operativo connesso con la custodia delle chiavi
private e con il funzionamento della stessa infrastruttura DLT su cui questi token verranno
emessi, trasferiti e custoditi, specie se di tipo permissionless. La custodia delle criptoattività merita un’attenzione particolare tenuto conto che in prospettiva sempre più
assets potranno essere custoditi in forma digitale e rappresenta di fatto una sorta di
collegamento tra finanza tradizionale e innovativa.
Dal punto di vista prudenziale, il servizio di custodia svolge una funzione trasversale
rispetto a tutte le altre attività operative per assicurare la sicurezza e l’integrità delle
transazioni e del sistema nel suo complesso. È importante quindi che gli intermediari siano
consapevoli dei punti di debolezza delle soluzioni tecnologiche impiegate e assumano
decisioni consapevoli su come generare e conservare le chiavi in base ad accurate
analisi dei rischi e della loro propensione al rischio. La Banca d’Italia sta approfondendo
anche in ambito internazionale i rischi specifici connessi con la custodia di cripto-attività
e continuerà a monitorare gli sviluppi del mercato, valutando l’eventuale necessità di
interventi specifici.
4. Il ruolo della governance
La crescente complessità del sistema finanziario conferma la necessità di preservare
la qualità della governance aziendale, a tutela della sostenibilità di lungo periodo del
modello operativo e della prudente gestione dei rischi. Una governance efficace non
rappresenta solo un necessario presidio dei rischi, ma costituisce anche un fattore
competitivo che consente di sfruttare le opportunità di mercato che la digitalizzazione può
offrire, adattando le proprie strategie al nuovo contesto e sfruttando la leva tecnologica
per superare i vincoli alla sostenibilità del business tradizionalmente posti da una scala
dimensionale ridotta.
Per tali ragioni, l’attenzione delle autorità di vigilanza, nazionali e internazionali,
è massima. In particolare, ha formato oggetto di specifico approfondimento la
funzionalità complessiva dei board, con specifico riferimento alla sua composizione e
al grado di diversity, in termini di competenze, età, genere e provenienza geografica. Le
caratteristiche degli esponenti devono essere adeguate rispetto al ruolo da ricoprire e
all’operatività e alle dimensioni dell’intermediario; devono inoltre garantire un’efficace
dialettica all’interno degli organi aziendali, considerando diversi profili personali e
professionali per favorire la pluralità dei contributi all’analisi dei problemi e l’assunzione
delle relative decisioni.
La selezione degli amministratori deve inoltre essere coerente con i requisiti e
criteri di idoneità degli esponenti (fit and proper). Monitoriamo le valutazioni effettuate
dagli intermediari, assicurando l’applicazione delle nuove disposizioni e il rispetto dei
principi di parità competitiva anche tramite il continuo dialogo con gli enti vigilati e
la formulazione di specifiche raccomandazioni. Apprezzabile risulta il contributo di una
parte del sistema, che ha prontamente avviato lo sviluppo di apposite policy interne
relative alla fase di valutazione degli esponenti e alle procedure di selezione dei futuri
candidati. La formalizzazione di tali atti interni costituisce un passaggio essenziale per
assicurare un miglioramento strutturale degli assetti di governance, ed è auspicabile che
tale prassi si estenda al sistema.
A fronte di una maggiore complessità operativa, la capacità di analizzare
efficacemente i dati anche non strutturati e provenienti da varie fonti, di aggregarli e
di assicurarne l’integrità assume crescente importanza, rappresentando un fattore
abilitante per sfruttare pienamente la trasformazione digitale. Informazioni accurate e
chiare consentono prima di tutto agli organi aziendali di adottare decisioni informate
nell’ambito della gestione dei vari rischi, anche di natura AML.
In tale contesto, l’intelligenza artificiale arricchisce in modo straordinario le
opportunità degli intermediari, potendo contribuire attivamente a migliorare le loro
capacità di analisi e sfruttamento dei dati. Tuttavia, a fronte di questi benefici, è richiesto
il continuo coinvolgimento delle funzioni di controllo. E’ necessario evitare eventuali
situazioni di acritica approvazione dell’esito delle nuove tecniche elaborative, preservando
l’oggettività del processo decisionale e la chiara attribuzione dei ruoli e delle relative
responsabilità.
Siamo consapevoli che la dimensione digitale delle nuove infrastrutture trasferisce
una parte significativa della governance da una prospettiva esclusivamente atomistica,
relativa al singolo intermediario, a una collettiva, connessa con elaborazioni algoritmiche
che regolano i nuovi ecosistemi, come nel caso di quelli basati su registri distribuiti.
Valutare la “qualità” dei paradigmi tecnologici e algoritmici che governano tali sistemi
diventa in particolare una necessità non solo per gli intermediari – al fine di misurare
il relativo rischio di contesto, ulteriore rispetto a quello relativo alle sole relazioni
con i fornitori diretti – ma anche per la Vigilanza, che non può affidarsi soltanto alla
osservazione dei singoli operatori vigilati. Per questi motivi abbiamo avviato anche con
il mondo accademico una ricerca per individuare “buoni principi” a cui far riferimento
per analizzare la robustezza dei c.d. “smart contracts” utilizzati in ambito bancario,
finanziario e assicurativo. Pubblicheremo a breve i risultati della prima parte del lavoro.
Una gestione consapevole della leva tecnologica deve estendersi al presidio
del rischio ICT. La rilevanza strategica di questo profilo di rischio è confermata dagli
orientamenti dell’Autorità Bancaria Europea, recepiti nel nostro ordinamento, che ne
richiamano il profilo di trasversalità e richiedono un adeguato sistema di controlli interni,
ivi inclusa la possibile attivazione di una funzione di controllo di secondo livello dedicata
ai rischi informatici. È importante che gli intermediari assicurino l’adozione di strategie
diversificate per garantire le competenze tecniche alla funzione di controllo (assunzione
di nuove risorse, valorizzazione di competenze interne, esternalizzazione o consulenze
specialistiche) in base alla dimensione, complessità organizzativa, modello di business e
esposizione al rischio ICT e di sicurezza, valutando le relative risorse disponibili.
Al contempo, DORA ribadisce l’importanza di adottare un sistema dei controlli
in materia di rischi informatici secondo il modello delle tre linee di difesa e assicurare
pertanto l’adeguato governo dei dati e la gestione consapevole dei servizi forniti dalle
terze parti. Seppure in linea di continuità con il passato, il Regolamento introduce nuovi
obblighi e rilevanti cambiamenti al framework per la gestione della sicurezza informatica;
impone l’adeguamento dei contratti alle previsioni regolamentari; richiede modifiche
e interventi sui sistemi per la gestione e la segnalazione degli incidenti; introduce per
alcuni soggetti l’obbligo di svolgere test avanzati di cybersicurezza.
La Banca d’Italia è consapevole dell’imponente sforzo di adeguamento richiesto
agli intermediari per l’implementazione della normativa sulla resilienza operativa. Siamo
comunque anche consapevoli della necessità di non disperdere il patrimonio di buone