Banca e compliance, i 5 trend secondo Ettore Carneade (MPS)

Al netto dei temi evergreen del mondo bancario, come quelli legali relativi al credito, alla trasparenza e all’antiriciclaggio, il prossimo futuro presenterà uno scenario interessante per comprendere le evoluzioni normative in materia di vigilanza e passare da un atteggiamento solo reattivo ad uno predittivo. Dalla cybersecurity ai temi ESG, le banche sono chiamate a pianificare una serie di tematiche emergenti.

compliancedesign.it ne ha parlato con Ettore Carneade, Chief Compliance Executive di Banca Monte dei Paschi di Siena nonché docente a contratto presso l’Università di Pisa di Management of banking and insurance institutions (corso in inglese).

Nel 2024 le attività sono già orientate e i principali obiettivi sono definiti. Da qui è possibile spostare l’attenzione su temi specifici su cui le banche sono chiamate ad intervenire per il prossimo futuro.

Ettore Carneade

“Le banche soggette alla vigilanza della BCE sono costantemente sottoposte a stimoli da parte dell’Autorità. Pertanto, la pianificazione delle attività è ormai inevitabilmente guidata dalle indicazioni e degli indirizzi dettati da queste”, spiega Carneade. “Nel 2024 le attività sono già orientate e i principali obiettivi sono definiti. Da qui è possibile spostare l’attenzione su temi specifici su cui le banche sono chiamate ad intervenire per il prossimo futuro”.

Sul fronte della pianificazione e della programmazione di una banca, resta comunque ferma la crescente necessità di avviare un importante processo di digitalizzazione, con maggiore impegno sull’analisi dei big data e sull’uso di intelligenza artificiale, fino ad abbracciare meccanismi di fisica quantistica. Ma non solo tecnologia. Fondamentale è l’apporto di nuove risorse e competenze e l’upskilling di tutto il personale coinvolto.

1.Cybersecurity

Il 2024 è l’anno in cui la sicurezza informatica sarà al centro di una rivoluzione. È l’anno di preparazione al regolamento DORA (Digital Operational Resilience Act), che introduce un cambio di paradigma: si passerà dalla difesa contro gli attacchi alla prevenzione e all’incremento della resilienza contro le minacce cyber.

“Il mondo cyber ha largamente sostituito la criminalità tradizionale bancaria, come le rapine fisiche, diventate quasi obsolete rispetto alle nuove minacce digitali”. Le attività criminali si sviluppano parallelamente al progresso del sistema dei pagamenti, rendendo quest’ultimo un obiettivo sempre più allettante per i cybercriminali.

“Tali fenomeni possono assumere la dimensione di una vera e propria guerra informatica, con attribuzioni politiche o sovranazionali”, come dimostra l’attenzione da parte delle agenzie governative per la sicurezza nazionale e della Banca d’Italia per la protezione del sistema dei pagamenti. In questo contesto, dopo aver maturato esperienza nella difesa dagli attacchi, “ci siamo resi conto che alcune minacce, come il ransomware, sono diventate sempre più diffuse”. Le grandi banche sono generalmente in grado di gestire tali minacce grazie alla robustezza dei loro sistemi, tuttavia, “i ricatti sono cresciuti notevolmente, soprattutto verso le piccole imprese che potrebbero risultare più vulnerabili”.

“L’impostazione non è più quella della difesa ma della resilienza”, immaginando possibili attacchi e possibili difese preventive su cui investire. L’approccio viene quindi invertito grazie al DORA: non ci si baserà più sulle statistiche degli incidenti registrati, ma sulle possibilità che un nuovo scenario, anche mai realizzato, si concretizzi.

Un secondo fenomeno riguardante la resilienza è il progressivo spostamento del settore bancario verso il cloud e l’outsourcing, coinvolgendo le terze parti. L’innovazione introdotta dal DORA è quella di considerare anche queste ultime, e le società che vorranno offrire servizi bancari “dovranno fare investimenti fino ad oggi ritenuti meno urgenti”.

 2.La responsabilità 231

Il secondo trend è tipicamente italiano, connesso allo sviluppo della responsabilità amministrativa regolata dal Decreto 231 del 2001. Il testo legislativo, costantemente aggiornato, ha allargato il suo raggio di azione a tutta una serie di materie che diventano caratterizzanti per l’intera attività economica. È stato coinvolto e regolamentato il reato di autoriciclaggio, ma sono stati inclusi anche i delitti contro il patrimonio culturale e la violazione dei diritti d’autore.

Ed è qui che sarà necessario dimostrare di “avere a disposizione delle difese adeguate”. Allo stesso modo del DORA, sarà necessario rafforzare il proprio modello di difesa per prevenire che l’organizzazione possa essere coinvolta in un procedimento amministrativo 231.

3.ESG

Fino ad ora ogni autorità di vigilanza proponeva interventi ESG nella propria area di intervento, “il che significava che una banca potesse avere disparati modelli ESG”, ognuno relativo a un aspetto specifico, come i crediti, la compliance, i rischi, gli investimenti. Tuttavia, le cosiddette ESAS (European Supervisory Authorities) – tra cui l’ESMA, l’EBA e l’EIOPA – stanno iniziando a regolamentare in modo coordinato le aree di intervento.

“C’è una richiesta crescente di dimostrare l’impegno reale e di valutare attentamente le strategie”. Una necessità messa in luce anche da uno studio condotto da ricercatori italiani, pubblicato dalla BCE, che evidenzia come le banche europee pratichino il “greenwashing”, cioè dichiarino di adottare azioni ESG attraverso percorsi mirati, come la riduzione delle emissioni di carbonio, mentre continuano a finanziare attività che vanno in direzione opposta.

Questo nuovo approccio in tema di ESG “avrà certamente un impatto sul modo in cui vieneconcesso il credito e su altri investimenti”. Dal 3 ottobre 2023, inoltre, sono entrate in vigore le regole ESMA in tema ESG, le quali indicano di chiedere al cliente le preferenze specifiche riguardo alle singole lettere dell’articolo 8 del c.d. regolamento tassonomia. Quindi, per una banca sarà necessario selezionare quali parti dell’ESG sono rilevanti, che si tratti di questioni ambientali, di lavoro o altro.

4.Sovraindebitamento

Altri temi molto delicati a livello di vigilanza prettamente italiana, che potrebbero assumere un ruolo di primo piano nel prossimo futuro, sono legati alle attività che Banca d’Italia sta portando avanti sulla prevenzione del sovraindebitamento di famiglie e piccoli operatori. Un tema non nuovo, ma sicuramente oggi più controllato e con richieste di attenzione diverse, che non si limitano alla cura delle manifestazioni palesi, ma tendono in primis alla prevenzione, con il monitoraggio e la comprensione del fenomeno, per intervenire ai primi sintomi di difficoltà.

5.BankAssurance

L’EIOPA (Autorità europea delle assicurazioni e delle pensioni aziendali o professionali) dopo aver condotto una prima survey, ha lanciato un warning sul sistema di business – e le tematiche ad esse legate – del Bank Assurance. Si svilupperà quindi anche in questo campo qualche riflessione su un settore praticamente già maturo ma sempre strategico […] continua a leggere People in Compliance#32