La Vigilanza cambia pelle: cosa devono sapere i vertici bancari per il triennio 2026–2028.

La Vigilanza cambia pelle: cosa devono sapere i vertici bancari per il triennio 2026–2028

La BCE ha ridisegnato le proprie priorità e il proprio modo di fare supervisione. Non è un aggiornamento metodologico — è un cambio di paradigma. Chi lo coglie oggi ha un vantaggio competitivo concreto.

La supervisione bancaria europea sta attraversando una trasformazione profonda. Non si tratta di nuove regole o di una revisione del framework patrimoniale: è una riconfigurazione del modo in cui la Vigilanza pensa, decide e agisce. Per i vertici delle banche significative — CEO, CRO, CFO, membri del board — comprendere questa evoluzione non è un esercizio accademico. È una questione strategica.

Due priorità, una sola direzione: la resilienza

Le priorità della supervisione BCE per il 2026-2028 ruotano attorno a due assi fondamentali.

Il primo riguarda la resilienza ai rischi geopolitici e alle incertezze macro-finanziarie. Le tensioni commerciali globali, esplose con forza nel 2025, hanno dimostrato quanto rapidamente le condizioni di mercato possano deteriorarsi. La Vigilanza risponde con un programma dedicato: verifica degli standard di erogazione del credito, stress test geopolitici — inclusi reverse stress test per identificare i punti di rottura — e attenzione crescente alla qualità degli overlay IFRS 9. Non basteranno più aggiustamenti generici sui modelli di perdita attesa: la BCE chiederà analisi granulari, differenziate per settore e per tipo di esposizione.

Il secondo asse è la resilienza operativa e la solidità dei sistemi ICT. Qui il tema non è solo la continuità operativa in caso di incidente cyber. È più ampio: la capacità delle banche di aggregare dati di rischio in modo affidabile e tempestivo, di gestire la dipendenza da fornitori critici, di dotarsi di framework di governance per l'intelligenza artificiale. Quest'ultimo punto è esplicitamente classificato come priorità di medio-lungo termine: la Vigilanza osserverà le strategie digitali delle banche con crescente attenzione, verificando la coerenza tra ambizione tecnologica e presidio del rischio.

Il nuovo SREP: meno meccanico, più esigente

La riforma dello SREP (Supervisory Review and Evaluation Process), che sarà pienamente operativo nel 2026, introduce una logica pluriennale. I cicli di valutazione non saranno più annuali e omnicomprensivi: i moduli di analisi saranno distribuiti su un orizzonte di quattro anni, allocati in base al profilo di rischio della singola istituzione attraverso un Risk Tolerance Framework.

Per le banche questo ha implicazioni concrete. Da un lato, maggiore prevedibilità: metodologie più stabili, comunicazioni più tempestive, decisioni meno sorprendenti. Dall'altro, una selezione più severa: laddove la Vigilanza identifica vulnerabilità significative, l'attenzione e l'intensità dell'azione della supervisione sarà proporzionalmente più elevata. Il toolkit viene utilizzato in modo più pieno, non solo attraverso capital add-on ma con misure qualitative mirate.

In parallelo, il progetto Next-level supervision, lanciato nel 2025 e in implementazione nel biennio successivo, applica la stessa logica riformata a tutti i processi: autorizzazioni, approvazione di modelli interni, ispezioni in loco. L'obiettivo dichiarato è accelerare le decisioni, rendere le ispezioni più mirate e ridurre i costi di compliance. Ma la contropartita è una maggiore reattività richiesta alle banche: tempi di remediation più brevi, documentazione più solida, interlocuzione più sostanziale.

Il vero cambiamento: dalla conformità al giudizio

Il cambiamento più rilevante — e meno visibile nei documenti ufficiali — è culturale. La Vigilanza sta abbandonando un approccio prevalentemente orientato alla verifica formale della conformità per adottare un modello basato sul “supervisory judgment”, e cioè sulla capacità di valutare la sostanza dei rischi, non la correttezza delle procedure.

Le crisi bancarie del 2023 hanno lasciato una lezione precisa: le banche in difficoltà rispettavano i requisiti quantitativi di capitale e liquidità. Il problema era qualitativo — governance inadeguata, risk management fragile, modelli di business non sostenibili. La risposta regolamentare diviene quindi strutturale: i supervisori vengono ora incoraggiati a intervenire prima, a sfidare attivamente le valutazioni delle banche e a documentare il proprio giudizio anziché attenersi a checklist.

Per i board e i comitati rischi questo cambia il registro del dialogo con la Vigilanza. Le domande non saranno più "siamo conformi?", ma "la nostra governance è effettivamente in grado di presidiare i rischi emergenti?", "il nostro modello di business è sostenibile in scenari avversi?", "la nostra cultura del rischio è coerente con la complessità operativa che abbiamo assunto?".

La Vigilanza si digitalizza: implicazioni per le banche

Un ultimo elemento merita attenzione strategica: la BCE sta sviluppando capacità analitiche avanzate. Strumenti di AI per l'analisi documentale, piattaforme di network analysis per mappare strutture proprietarie e interdipendenze, sistemi di stress testing in grado di generare e ottimizzare modelli su scala. Un unico “data lake” denominato Agora integra volumi crescenti di dati strutturati provenienti dalle banche vigilate.

La conseguenza pratica è che la capacità comparativa della Vigilanza aumenta significativamente. Le anomalie nei dati di reporting, le incoerenze tra dichiarazioni e comportamenti, le deviazioni dai benchmark di settore emergeranno con maggiore rapidità e precisione. La qualità del reporting regolamentare smette di essere un tema tecnico-operativo e diventa un indicatore di affidabilità istituzionale.

Tre domande per il board

In sintesi, il triennio 2026-2028 richiede ai vertici bancari di rispondere con lucidità a tre domande:

Siamo pronti a un dialogo supervisivo sempre più qualitativo? La governance, la cultura del rischio e la solidità dei modelli interni saranno valutati con strumenti più sofisticati di quanto non accadesse in passato.

I nostri sistemi di dati e di risk reporting sono all'altezza? La capacità di aggregare informazioni di rischio in modo affidabile non è un tema IT: è una condizione abilitante per la credibilità con il supervisore.

Stiamo anticipando o subendo l'agenda supervisiva? Le banche che comprendono oggi dove si muove la Vigilanza possono trasformare la compliance in un vantaggio competitivo. Quelle che aspettano le richieste formali si troveranno in posizione reattiva, con costi e rischi reputazionali proporzionalmente più elevati.

La resilienza, ha ricordato la BCE, e la crescita non sono in contraddizione. Sono due facce della stessa moneta. Vale la pena tenerlo presente anche nella sala del consiglio.

Hai bisogno di orientarti nel nuovo scenario supervisivo?

Lo Studio Balestreri offre consulenza regolamentare bancaria a banche significative e meno significative, con focus sulle priorità della Vigilanza BCE e sull'impatto strategico delle riforme in corso.

Articolo basato sulle priorità supervisorie BCE 2026-2028, sul discorso BIS "The quest for supervisory effectiveness" (maggio 2026) e sul paper FSI "Acting under uncertainty – the case for supervisory risk appetite frameworks" (maggio 2026).