Nel mondo della compliance bancaria, il 2025 sembra aver segnato un punto di svolta. Non per la comparsa di nuove regole, ma per qualcosa di inaspettato: l’annuncio di una possibile semplificazione normativa. Un cambio di passo auspicato da anni, che ora sembra finalmente trovare spazio nel dibattito istituzionale. Ma resta da capire se a questa volontà corrisponderà un vero cambio di approccio da parte delle autorità che controllano: semplificare davvero significa anche rinunciare a strumenti ispettivi standardizzati e checklist rigide.
“Sembra intravedersi la luce alla fine del tunnel”, spiega a ComplianceDesign.it Davide Morandi, Chief Compliance Officer e DPO di Credem Banca, commentando l’iniziativa della Commissione europea di sospendere oltre 115 atti normativi secondari in fase di programmazione da parte delle autorità di vigilanza europee – EBA, ESMA ed EIOPA – per rivedere il quadro regolatorio primario. Una promessa di alleggerimento che apre nuovi scenari, ma anche interrogativi per la funzione compliance. “Per anni abbiamo dovuto interpretare e gestire una mole crescente di norme, spesso molto dettagliate. Oggi ci viene chiesto un cambio di paradigma”.
C’è un’immagine che Morandi sceglie per descrivere lo stato della compliance nell’anno che si va a concludere: una lunga salita su rocce e radici, mille metri di dislivello, fiato corto. Poi, all’improvviso, qualcuno annuncia che il rifugio è “proprio dietro l’angolo” e che la discesa sarà dolce e comoda, su una forestale pianeggiante. Una metafora che racconta bene l’effetto prodotto dalle dichiarazioni delle autorità europee sul tanto atteso processo di semplificazione normativa.
Per la compliance semplificare non è ridurre
Negli ultimi dieci anni, la funzione compliance è stata travolta da una proliferazione normativa che ha reso necessaria una continua attività di decodifica e sintesi. “Non si trattava solo di normative primarie – spiega Morandi – ma di un’intera architettura di regolamenti tecnici, linee guida, Q&A, lettere al mercato. Il nostro lavoro era dare senso a tutto questo, filtrare il rumore e semplificare per renderlo attuabile”.
Ora, con lo stop agli atti secondari e la promessa di rivedere le norme primarie in chiave più snella, la prospettiva si capovolge. “Il vuoto lasciato da quella produzione normativa dovremo colmarlo noi: costruire policy coerenti, presidi normativi, modelli robusti, e saperli spiegare. In sostanza: più autonomia, ma anche più responsabilità”.
Questo segna un passaggio strategico: “Dovremo interpretare la norma e costruirne l’attuazione. Ma ciò richiede anche una coerenza da parte delle autorità”.
Il vero punto critico resta infatti quello ispettivo. “Se le autorità continueranno a usare checklist predefinite e di dettaglio, non cambierà molto la situazione. La differenza la farà il loro approccio: saranno in grado di accettare che esistono tante modalità attuative diverse tra loro?”.
Un sistema più semplificato sulla carta potrebbe generare maggiore complessità nella pratica: “Con meno norme di dettaglio, ci sarà più varietà tra le banche. Ogni istituto costruirà soluzioni diverse e personalizzate. Questo chiede alle autorità un salto culturale: dovranno confrontarsi con modelli non standardizzati e accettare approcci alternativi”.
Non sarà banale. “Per anni le autorità sono arrivate con interpretazioni che andavano oltre la norma, ispirandosi a best practice viste altrove. La speranza è che questo approccio possa essere ripensato. Altrimenti, la semplificazione non sarà sostanziale”.
L’intelligenza artificiale: un doppio fronte per la compliance
Tra i fattori che segneranno un aumento significativo di complessità nel 2026 c’è senza dubbio l’intelligenza artificiale. “Sul tema AI si apre uno scenario ad alta complessità”, osserva Morandi. “La normativa di riferimento non è solo l’AI Act, ma un insieme ampio di regole: governance IT, privacy, etica e trasparenza, oltre a tutte le norme specifiche che si applicano al processo su cui l’intelligenza artificiale interviene”.
La funzione compliance, quindi, si trova a gestire una molteplicità di verifiche: non solo la conformità del modello tecnico, ma anche il suo impatto sul processo, la sua interpretabilità, la sua eticità. “Serve un approccio trasversale, con team liquidi e competenze che dialogano. Noi ci siamo strutturati in questo modo. Ma l’effort è importante, perché spesso l’AI viene applicata a micro-processi: tanti progetti piccoli, ognuno con un impatto specifico e valutazioni dedicate”.
Morandi sottolinea anche il ruolo dell’intelligenza artificiale a supporto della funzione compliance. “Stiamo già usando strumenti di AI generativa non solo per compiti operativi (ad esempio sintetizzare normativa, produrre executive summary omogenei, supportare il reporting) ma anche come consulente con cui interagire (brainstorming, decisioni, feedback). Funziona bene e crea efficienza considerando i volumi elevati su cui agisce: nel nostro caso, circa 550 report all’anno”.
Ma restano limiti evidenti. “Per ora non è ancora matura per analisi più complesse, come le valutazioni di market abuse o l’automatizzazione dell’intercettazione e la creazione delle gap normative. Alcuni strumenti ci hanno dato spunti utili nel risk assessment, ma serve sempre supervisione umana”.
Il rischio principale? “L’automazione incontrollata. Siamo molto attenti alle possibili allucinazioni e alla trasparenza e attendibilità delle fonti e degli algoritmi. Serve sempre un presidio umano. La responsabilità non è delegabile”.