Implementare le regole della Vigilanza: a cosa deve stare attento il Board
L'intervento del Governatore Barr è una critica all'allentamento della regolamentazione bancaria negli Stati Uniti. Ma per un Board il suo valore non sta nel giudizio politico, bensì in una richiamo ulteriore alle responsabilità di coloro che governano le banche in presenza di riduzione dei requisiti regolamentari. Essi sono chiamati ad applicare le regole in modo non formale, non retrospettivo e non al ribasso.
Di seguito i punti di attenzione che, alla luce di quanto osservato da Barr e dell'esperienza di vigilanza, meritano un presidio attivo da parte dell'organo amministrativo.
1. La sostanza prima della forma: evitare il "compliance teatro"
Il rischio più insidioso è ridurre l'implementazione a un esercizio documentale: procedure aggiornate, policy approvate, caselle spuntate — senza che cambi davvero il modo in cui il rischio viene gestito. Barr lo descrive con efficacia parlando di "grade inflation": sistemi di valutazione che finiscono per giudicare ben gestita una banca che ben gestita non è, ignorando debolezze reali nel risk management. Il Board dovrebbe porsi sistematicamente una domanda di controllo: stiamo gestendo il rischio, o stiamo solo documentando di averlo fatto? La conformità formale che non incide sui comportamenti e sui processi è un'esposizione, non una protezione.
2. Calibrare con margine, non al minimo regolamentare
Barr richiama un punto tecnico decisivo: i costi di "sbagliare" sono asimmetrici. Un livello di capitale o liquidità modestamente superiore al necessario costa poco in termini di crescita; un livello anche solo leggermente insufficiente fa crescere bruscamente il rischio di crisi. Tradotto in chiave di Board: implementare le regole puntando a stare appena sopra la soglia minima è una strategia fragile. L'organo amministrativo dovrebbe ragionare in termini di margine di sicurezza rispetto ai requisiti, non di ottimizzazione al limite. Il capitale e la liquidità non sono vincoli da minimizzare, ma la capacità della banca di assorbire shock continuando a operare e a erogare credito.
3. Guardare avanti, non solo indietro
Una delle critiche più nette di Barr riguarda lo spostamento verso misure backward-looking, a scapito della valutazione della gestione del rischio come indicatore prospettico. Un'implementazione efficace delle regole non si limita a fotografare le condizioni finanziarie passate: deve anticipare i rischi emergenti. Per il Board questo significa pretendere che il framework di risk management incorpori scenari di stress credibili e i rischi in più rapida evoluzione quali il rischio cyber e resilienza ICT, l'intelligenza artificiale, i rischi climatici e di transizione, le concentrazioni di rischio. La qualità prospettica dell'informativa che arriva in Consiglio è essa stessa un punto di attenzione.
4. Prendere sul serio e per tempo i rilievi della Vigilanza
Barr osserva che la riduzione dei rilievi prudenziali (i "matters requiring attention") rischia di lasciare irrisolte le debolezze prima che diventino problemi. Lo stesso vale all'interno della singola istituzione: i rilievi della Vigilanza, degli auditor e delle funzioni di controllo interno perdono valore se non vengono affrontati con tempestività. Il Board dovrebbe quindi assicurarsi che esista un processo strutturato di tracciamento e remediation dei rilievi, con responsabilità, scadenze e verifica dell'effettiva chiusura. Un rilievo che invecchia senza essere risolto è un segnale di debolezza del sistema dei controlli, non un dettaglio operativo.
5. Mappare le interconnessioni, soprattutto con il settore non bancario
Barr segnala la crescita rapida delle esposizioni bancarie verso soggetti finanziari non bancari (oltre 2,6 trilioni di dollari negli USA nella seconda metà del 2025) e il rischio di contagio in caso di svendite di attivi. È un tema su cui anche la vigilanza europea sta convergendo. Nell'implementare le regole, il Board dovrebbe assicurarsi che l'istituzione abbia una mappa aggiornata delle proprie interconnessioni: esposizioni verso nonbank, concentrazioni, dipendenze, canali di contagio possibili. Le regole prudenziali proteggono solo se l'organizzazione conosce davvero dove si annida il rischio.
6. Resilienza operativa e digitale: il fronte DORA
Per un'istituzione europea, l'implementazione delle regole della Vigilanza non riguarda più solo capitale e liquidità, ma in misura crescente la resilienza operativa e digitale. Il quadro DORA pone obblighi puntuali su gestione del rischio ICT, governo dei fornitori terzi critici, gestione e segnalazione degli incidenti e test di resilienza, fino al threat-led penetration testing per i soggetti più significativi. Qui il punto di attenzione per il Board è duplice: la resilienza operativa è materia di responsabilità diretta dell'organo amministrativo e la sua implementazione richiede competenze tecniche che il Consiglio deve essere in grado di presidiare e interrogare. Anche il governo dell'uso dell'intelligenza artificiale entra in questo perimetro.
7. Condotta e tutela della clientela
Barr ricorda che l'allentamento delle tutele a favore dei consumatori fu tra le condizioni che incancrenirono negli anni precedenti la Crisi Finanziaria Globale. Il rischio di condotta non è un tema "minore" rispetto a quello prudenziale: pratiche scorrette, commissioni eccessive o trattamenti iniqui possono generare danni reputazionali, sanzionatori e, in casi estremi, sistemici. L'implementazione delle regole dovrebbe quindi includere un presidio effettivo del rischio di condotta e della correttezza nei confronti della clientela, non come adempimento separato ma come componente della cd. sana e prudente gestione.
8. Coerenza interna ed evitare la logica dell'arbitraggio
Barr mette in guardia dalla "corsa al ribasso" tra giurisdizioni che si discostano dagli standard internazionali. La stessa dinamica può presentarsi all'interno di un gruppo: implementare le regole in modo disomogeneo tra entità, o cercare la lettura più "comoda" dei requisiti, espone l'intero perimetro del Gruppo a rischi rilevanti. Il Board dovrebbe presidiare la coerenza dell'implementazione e diffidare di qualsiasi impostazione che tratti la conformità come un costo da minimizzare anziché come un presidio della resilienza. Il tone at the top su questo punto è determinante.
Il filo conduttore: il "sugar high" e la responsabilità del Board
Barr usa un'immagine efficace: la deregolamentazione, e per estensione ogni allentamento dell'implementazione, offre uno "zuccherino" di breve periodo — maggiore attività, profitti più alti, minore frizione — al prezzo di una vulnerabilità che si accumula nel tempo. La stessa tentazione esiste a livello di singola istituzione, soprattutto in un contesto di mercati pericolosamente favorevoli.
Il compito del Board, nell'implementare le regole della Vigilanza, è esattamente questo: resistere alla logica del breve termine e trattare capitale, liquidità, risk management prospettico, resilienza operativa e condotta come l'assicurazione che protegge la sostenibilità dell'istituzione nel tempo. Le regole offrono protezione, nonostante la loro attenuazione, solo nella misura in cui vengono implementate con intelligenza, margine e visione prospettica. La loro applicazione formale, al minimo e all'indietro, lascia l'istituzione sotto-assicurata proprio quando crede di essere conforme.
Questa nota è pensata come base di discussione in sede consiliare e può essere adattata al profilo specifico dell'istituzione (banca, intermediario finanziario, SIM/SGR) e al relativo quadro di vigilanza applicabile.