Menu
Premium
Strategie e performance di banche e intermediari finanziari - Strategies and performance of bank and financial intermediaries
24, May 2026

Sanzioni del SSM 2025: governance ancora sotto i riflettori

L'11 maggio 2026 la BCE ha pubblicato il consueto report annuale sulle attività sanzionatorie condotte nell'ambito del Single Supervisory Mechanism nel corso del 2025. La relazione non prende in considerazione le attività sanzionatorie che esulano dall'ambito della vigilanza prudenziale del Meccanismo di vigilanza unico (SSM), come ad esempio le attività relative ai sistemi di pagamento, ai mercati degli strumenti finanziari, ai servizi di investimento, alle misure per prevenire l'utilizzo del sistema finanziario per il riciclaggio di denaro o il finanziamento del terrorismo e alla tutela dei consumatori.

È un documento che nella maggior parte delle banche italiane viene letto dagli uffici legali e compliance, archiviato e raramente portato all'attenzione del vertice. Probabilmente è un errore alla luce del fatto che i dati contenuti nel report sono tra i più utili per capire dove il supervisore europeo stia effettivamente concentrando la propria attenzione e dove le banche stiano ancora fallendo le sue aspettative.

I numeri che contano

Nel 2025 le autorità competenti del SSM — BCE e autorità nazionali — hanno gestito complessivamente 370 procedimenti sanzionatori formali, di cui 245 completati nel corso dell'anno. L'89% di questi ultimi si è chiuso con l'irrogazione di una sanzione o con una richiesta della BCE alle autorità nazionali di aprire procedimenti sanzionatori a livello locale, di poco inferiore al 91% registrato nel 2024.

I procedimenti relativi alle persone fisiche hanno continuato a rappresentare la maggior parte dei procedimenti (55% di tutti i procedimenti gestiti).

Il totale delle sanzioni pecuniarie comminate ha raggiunto circa 57,15 milioni di euro, il valore più elevato del quinquennio. Le sanzioni più significative, pari a 15 milioni di euro ciascuna, sono state irrogate a due istituzioni significative (SI). La sanzione più alta inflitta a una less significant institution (LSI) è stata di 7,67 milioni di euro. Per le persone fisiche, il massimo è stato di 0,2 milioni di euro.

Governance: un tema che non passa

Il dato strutturale è la dominanza assoluta della governance come area di infrazione. Oltre la metà di tutti i procedimenti gestiti nel 2025 riguardava violazioni nell'ambito della governance interna (53%), seguite dalle violazioni relative ai requisiti patrimoniali (11%), alle grandi esposizioni (10%) e alla rendicontazione (8%).

Dentro la macro-categoria governance, le due sottocategorie più rilevanti sono la gestione del rischio e i controlli interni — che rimangono la componente più ampia in assoluto, in linea con gli anni precedenti — e le politiche di remunerazione e i relativi comitati, che nel 2025 sono diventati la seconda categoria per numero di procedimenti.

Quest'ultimo dato merita attenzione specifica. Le politiche di remunerazione sono spesso percepite come un adempimento formale — strutture di incentivazione, allineamento con la propensione al rischio, deferral, claw-back. Il report segnala invece che il supervisore le sta leggendo come un indicatore della qualità complessiva della governance: un sistema di remunerazione mal progettato o non allineato con i rischi effettivi è un segnale di debolezza strutturale, non un'irregolarità tecnica.

Altrettanto rilevante è la distribuzione delle sanzioni per tipo di soggetto. Il 55% dei procedimenti ha riguardato persone fisiche — principalmente dirigenti e componenti degli organi di amministrazione e controllo di LSI — e il 63% delle sanzioni irrogate ha colpito persone fisiche. La responsabilità individuale degli esponenti aziendali non è più una variabile astratta: è un rischio concreto, quantificabile, e in crescita.

LSI nel mirino: un segnale per le banche italiane

Il 37% dei procedimenti ha riguardato le Less Significant Institutions che costituiscono il 69% del totale degli enti vigilati nell'SSM. In termini assoluti, 138 procedimenti su 370 hanno coinvolto LSI — una quota che riflette la composizione del sistema, ma che non deve essere letta come un dato neutro.

Per le banche italiane di dimensione media e piccola — la fascia in cui si collocano la grande maggioranza degli istituti non direttamente vigilati dalla BCE — il messaggio è preciso: l'attività sanzionatoria delle autorità nazionali competenti (in Italia, Banca d'Italia) si svolge nell'ambito di un framework SSM sempre più orientato all'armonizzazione e all'intensità. Le Autorità Nazionali agiscono su mandato della BCE in una quota rilevante dei casi — nel 2025, 31 procedimenti su 370 erano stati originariamente aperti su richiesta della BCE ai sensi dell'art. 18(5) del Regolamento SSM. La distinzione tra vigilanza diretta e indiretta è meno rilevante di quanto si pensi quando si tratta di enforcement.

Requisiti di capitale e reporting: aree in risalita

Accanto alla governance, due aree mostrano una presenza significativa e stabile nel panorama sanzionatorio: i requisiti di capitale (11% dei procedimenti, 13% delle sanzioni pecuniarie) e il reporting (8% dei procedimenti, 7% delle sanzioni pecuniarie).

Sul fronte del capitale, la correlazione con l'entrata in vigore del CRR III — che ha modificato il calcolo dei RWA per il rischio operativo e ha introdotto l'output floor — non è casuale. Le banche che hanno gestito la transizione regolamentare in modo frammentato, senza un presidio integrato tra funzione risk, CFO e compliance, si trovano più esposte a errori nel calcolo dei requisiti e nelle segnalazioni prudenziali. Il supervisore non distingue tra errore doloso e errore colposo.

La responsabilità individuale: un cambio di paradigma

Il trend più rilevante dal punto di vista strategico non è l'ammontare totale delle sanzioni, ma la direzione verso cui si sta muovendo l'enforcement: sempre più verso le persone fisiche, sempre più verso la responsabilità diretta degli esponenti aziendali.

Nel 2025, tre persone fisiche hanno ricevuto un divieto temporaneo di esercitare funzioni in istituti di credito — una misura non pecuniaria ma di impatto reputazionale e professionale immediato. Due soggetti hanno ricevuto una dichiarazione pubblica. Quindici procedimenti ancora in corso a fine 2025 riguardano persone fisiche per violazioni di governance.

Questo orientamento è coerente con la posizione espressa dalla BCE nelle sue priorità di vigilanza per il triennio 2026-2028: la governance interna rimane una priorità assoluta, con un focus specifico sulla responsabilità individuale dei componenti degli organi di amministrazione, di quelli di controllo e delle funzioni manageriali chiave. Il Fit and Proper Assessment non è solo un esercizio di onboarding: è un presidio continuo che il supervisore può attivare — e sanzionare — in qualsiasi momento del mandato.

Cosa significa per la gestione operativa del rischio sanzionatorio

Le banche che leggono il report come una statistica aggregata perdono il segnale più utile che contiene: una mappa delle aree di vulnerabilità su cui il supervisore ha già dimostrato di essere disposto ad agire. Tradurlo in azioni concrete significa lavorare su almeno tre livelli.

Il primo è la qualità della governance documentale. I verbali degli organi collegiali – C.d.A., Comitato Rischi, Comitato Audit - devono riflettere una discussione sostanziale sui temi di risk management e controlli interni, non una ratifica formale di proposte preconfezionate. Il supervisore legge i verbali, e la differenza tra una discussione reale e una formalità è riconoscibile.

Il secondo è il presidio delle politiche di remunerazione. La crescita di questa categoria tra le aree di infrazione sanzionate segnala che il supervisore sta verificando non solo la struttura formale dei sistemi incentivanti, ma la loro coerenza effettiva con il risk appetite framework e con i comportamenti osservati. Un sistema di remunerazione che premia risultati commerciali senza adeguati contrappesi di rischio è oggi un'area di rischio regolamentare primaria.

Il terzo è la qualità delle segnalazioni prudenziali. Con la CRR III in vigore e il framework di reporting in fase di revisione, il rischio di errori nelle segnalazioni è strutturalmente più elevato durante le fasi di transizione. Un presidio specifico — con responsabilità chiare tra risk, finance e compliance — è la condizione minima per limitare l'esposizione sanzionatoria in quest'area.

Una lettura di sistema

Il report sulle sanzioni SSM 2025 non racconta storie di singoli istituti in difficoltà. Racconta la direzione del supervisore europeo: più sistematico, più orientato alla responsabilità individuale, meno incline alla tolleranza sui temi di governance. Il record di sanzioni pecuniarie nel 2025 non è un'anomalia — è la conferma di un orientamento che si consolidato progressivamente dal 2021 e che non mostra segnali di inversione.

Per le banche italiane, la domanda non è se il proprio istituto sia a rischio di sanzione. Le domande da chiedersi riguardano la sufficiente robustezza dei presidi interni nel confronto con le aspettative dei supervisori, che si elevano ogni anno, e la sufficiente profondità della consapevolezza dei vertici aziendali.

Questo articolo è redatto da Studio Balestreri sulla base del documento ufficiale BCE: "Annual Report on sanctioning activities in the SSM in 2025" (11 maggio 2026). Il contenuto ha finalità informativa e non costituisce parere legale o consulenza regolamentare. Per ogni approfondimento contattare lo Studio inviando una email a: ab@studiobalestreri.it.