1 Introduzione
Le priorità di vigilanza per il periodo 2025-2027 riflettono la strategia a medio termine della Vigilanza bancaria della BCE per i prossimi tre anni. Sono stabilite dal Consiglio di vigilanza della BCE e riesaminate con cadenza annuale, sulla base di una valutazione approfondita dei rischi e delle vulnerabilità principali dei soggetti vigilati. Le priorità tengono altresì conto dei risultati del processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation Process, SREP)[1] , nonché dei progressi compiuti rispetto alle priorità degli anni precedenti. Esse favoriscono una ripartizione efficiente delle risorse di vigilanza disponibili e possono essere adeguate in modo flessibile, in funzione di eventuali cambiamenti del panorama dei rischi.
Nel corso dell’ultimo anno il settore bancario europeo ha dato prova di resilienza a fronte di un contesto esterno incerto e ha dimostrato la sua capacità di continuare a sostenere la ripresa economica. Le banche europee segnalano solide posizioni patrimoniali e di liquidità. La qualità degli attivi ha mostrato in generale una buona capacità di tenuta in un contesto macrofinanziario più complesso; la redditività del settore ha infatti raggiunto i livelli più elevati osservati dagli esordi della Vigilanza bancaria europea, in particolare per effetto dell’aumento dei tassi di interesse.
Malgrado la solidità dei bilanci e dei profili di rischio delle banche, il perdurare di forti tensioni geopolitiche e la connessa incertezza riguardo alle prospettive macroeconomiche richiedono prudenza. Sebbene i soggetti vigilati siano stati finora in grado di far fronte ai recenti shock geopolitici, anche sostenuti dalla generale capacità di tenuta dell’economia reale, è fondamentale che le banche restino vigili e valutino regolarmente le implicazioni che simili eventi potrebbero avere per la loro attività, la loro operatività e il loro profilo di rischio. In tale contesto resta prioritario affrontare le carenze nei sistemi di gestione del rischio di credito delle banche, in particolare per quanto riguarda l’individuazione precoce del deterioramento della qualità degli attivi e la costituzione di accantonamenti di livello prudente. È inoltre essenziale potenziare gli assetti di resilienza operativa delle banche, al fine di rafforzare la loro capacità di far fronte a eventuali interruzioni dell’operatività causate da eventi improvvisi. La natura trasversale degli shock geopolitici richiede una strategia olistica di vigilanza e un’attenzione particolare alla capacità delle banche di fronteggiare tali shock nel perimetro delle priorità di vigilanza.
Al tempo stesso le banche dovrebbero intensificare ulteriormente gli sforzi per affrontare efficacemente le carenze rilevanti individuate dai responsabili della vigilanza nei cicli precedenti, ponendovi prontamente rimedio. Per quanto riguarda gli ambiti che in passato sono stati oggetto di un attento esame prudenziale, gli sforzi dei responsabili della vigilanza si concentreranno sull’efficace e tempestiva correzione, da parte delle banche, delle carenze individuate. Ciò riguarda in particolare l’aggregazione e la segnalazione dei dati sui rischi (risk data aggregation and risk reporting, RDARR); malgrado un dialogo di lunga data con i responsabili della vigilanza e i riconosciuti miglioramenti, alcune banche non hanno infatti ancora affrontato le principali carenze. Resterà inoltre prioritaria la piena conformità alle aspettative di vigilanza per quanto riguarda la gestione dei rischi climatici e ambientali da parte delle banche.
Infine, poiché il progresso tecnologico si configura ormai come una priorità per il futuro del settore bancario, è essenziale che le banche moltiplichino gli sforzi sul piano della digitalizzazione e assicurino una gestione prudente dei rischi derivanti dall’adozione di nuove tecnologie. Sebbene i soggetti vigilati stiano compiendo progressi in questo ambito per migliorare la propria competitività futura, devono anche prepararsi ad affrontare nuovi rischi connessi alla digitalizzazione dell’operatività e dei servizi. Questo li aiuterà ad accrescere la sostenibilità dei propri modelli di business e consentirà loro di cogliere i vantaggi delle tecnologie innovative.
In tale contesto, le priorità di vigilanza per il periodo 2025-2027 si incentrano sulla resilienza delle banche a minacce macrofinanziarie e gravi shock geopolitici nell’immediato (Priorità 1), sull’importanza di porre tempestivo rimedio alle carenze rilevanti già note (Priorità 2) e sulla necessità di affrontare le sfide poste dalla trasformazione digitale e dalle nuove tecnologie (Priorità 3). Ciascuna priorità è intesa a fronteggiare una determinata serie di vulnerabilità del settore bancario, denominate “vulnerabilità individuate come priorità”, per le quali sono stati fissati obiettivi strategici specifici e sono stati elaborati programmi di lavoro. Le interdipendenze tra i rischi trovano riscontro nell’impostazione di tali programmi di lavoro, tesi a rafforzare l’efficacia e l’efficienza dell’interazione dei responsabili di vigilanza con le banche. La figura 1 presenta cinque vulnerabilità principali delle banche e il particolare risalto dato ai rischi geopolitici che le tre priorità generali si prefiggono di affrontare.
Figura 1
Priorità di vigilanza 2025-2027: affrontare le vulnerabilità individuate nelle banche

Fonte: BCE.
Note: la figura mostra le tre priorità di vigilanza per il periodo 2025-2027 e le vulnerabilità corrispondenti che le banche dovrebbero affrontare nei prossimi tre anni. La Vigilanza bancaria della BCE condurrà attività mirate al fine di valutare, monitorare e dare seguito alle vulnerabilità individuate. La sezione a destra della figura mostra la categoria di rischio generale associata a ciascuna vulnerabilità.
La finalità principale della pianificazione strategica della Vigilanza bancaria della BCE è sviluppare una solida strategia per i prossimi tre anni. Le priorità di vigilanza promuovono l’efficacia e la coerenza dell’attività di pianificazione dei gruppi di vigilanza congiunti e favoriscono l’efficiente ripartizione delle risorse, in linea con i livelli di tolleranza al rischio corrispondenti. Aiutano inoltre le autorità nazionali di vigilanza a fissare in maniera proporzionale le rispettive priorità per la vigilanza sugli enti meno significativi. Una comunicazione trasparente delle priorità chiarisce le aspettative di vigilanza nei confronti delle banche, accresce l’impatto della vigilanza nel rafforzare ulteriormente la capacità di tenuta del settore bancario e contribuisce ad assicurare parità di condizioni.
La Vigilanza bancaria della BCE continuerà a monitorare e valutare a) l’evoluzione dei rischi e delle vulnerabilità dei soggetti vigilati e b) i progressi compiuti dalle banche nell’attuazione delle priorità di vigilanza. Il riesame periodico di tali priorità strategiche consentirà alla Vigilanza bancaria della BCE di graduare la propria attenzione e le proprie attività in maniera flessibile, se necessario, in funzione dei cambiamenti del panorama dei rischi.
Nelle sezioni seguenti si illustrano in maggiore dettaglio gli esiti dell’esercizio di identificazione e valutazione dei rischi condotto nel 2024 e si stabiliscono le priorità di vigilanza e i relativi programmi di lavoro per il periodo 2025-27. Nell’ambito delle loro costanti interazioni con le banche, i responsabili della vigilanza condurranno anche altre attività ordinarie e di verifica dell’attuazione di priorità precedenti, a integrazione dei lavori sulle tre priorità definite per il periodo 2025-2027.
2 Valutazione dei rischi e priorità di vigilanza per il periodo 2025-27
2.1 Contesto macroeconomico e operativo dei soggetti vigilati
Se da un lato la crescita del PIL in termini reali nell’area dell’euro ha iniziato a registrare un graduale recupero e le pressioni inflazionistiche hanno continuato ad attenuarsi, dall’altro le prospettive di crescita a breve termine restano modeste e soggette a notevole incertezza sul piano geopolitico e delle politiche[2]. Il ritmo moderato della ripresa economica nell’area dell’euro nel corso del 2024 è stato principalmente sostenuto dai servizi, mentre il settore manifatturiero è rimasto molto debole[3]. Sebbene gli indicatori recenti segnalino un rallentamento della crescita nel breve periodo in un contesto di significativa incertezza, ci si attende un aumento del PIL in termini reali nel medio periodo. La ripresa dovrebbe rafforzarsi sulla scorta degli incrementi del reddito disponibile reale dei consumatori (che sosterrà i consumi privati), del miglioramento della domanda esterna e dell’esaurirsi degli effetti frenanti esercitati dal precedente inasprimento della politica monetaria[4]. Contestualmente l’inflazione misurata sullo IAPC ha registrato un’attenuazione e dovrebbe raggiungere l’obiettivo nell’orizzonte temporale di riferimento. Anche l’inflazione di fondo dovrebbe continuare a ridursi, pur rimanendo lievemente superiore all’inflazione complessiva misurata sullo IAPC nel breve periodo.
A fronte di maggiore incertezza, i rischi per le prospettive di crescita restano orientati verso il basso nell’orizzonte di medio periodo. Malgrado le attese di un ritorno a una crescita moderata, le probabilità che si concretizzino eventi estremi appaiono più elevate rispetto a un anno fa, dato l’aumento dei rischi geopolitici[5]. Le crescenti tensioni geopolitiche (derivanti, ad esempio, dalla guerra in Ucraina e dal conflitto in Medio Oriente) e l’intensificarsi delle tendenze alla deglobalizzazione potrebbero spingere al rialzo i prezzi dell’energia e i costi di trasporto nel breve periodo e causare interruzioni dell’interscambio, con conseguenti ripercussioni sulle prospettive di crescita per l’area dell’euro e una recrudescenza delle pressioni inflazionistiche[6]. Contestualmente, eventi meteorologici estremi e la transizione verso un’economia a basse emissioni di carbonio potrebbero sospingere l’inflazione, in particolare nel comparto alimentare[7].
Oltre a un impatto più generale sulle prospettive di crescita e inflazione, ci si attende che i rischi geopolitici e le sfide strutturali derivanti dalla transizione climatica e dalla trasformazione digitale del sistema finanziario abbiano anche un effetto diretto sul settore bancario. Gli shock geopolitici possono esacerbare i rischi sul piano operativo, della governance e dei modelli di business, in particolare a seguito di sanzioni finanziarie o attacchi cibernetici. Inoltre si possono registrare conseguenze rilevanti per i profili di rischio, soprattutto in presenza di grandi esposizioni dirette o indirette nei bilanci delle banche nei confronti di controparti interessate dai rischi corrispondenti. Al tempo stesso, i rischi climatici e ambientali hanno acquistato maggiore rilevanza per il sistema finanziario e l’economia in generale, contribuendo a plasmare il contesto operativo degli intermediari. Date le rilevanti esposizioni a rischi fisici e di transizione legati al clima, le banche devono adeguarsi all’impatto più profondo delle crisi climatiche e ambientali, che potrebbero determinare una transizione disordinata e accrescere ulteriormente i danni materiali[8]. Inoltre, la trasformazione tecnologica in atto nell’economia richiede che le banche adottino misure proattive per accelerare gli sforzi di digitalizzazione, migliorare le prassi di gestione dei rischi e affrontare la crescente concorrenza da parte degli operatori non bancari.
La quantificazione favorevole del prezzo del rischio che ha prevalso nell’ultimo anno nei mercati finanziari potrebbe dare luogo a repentini mutamenti del clima di fiducia dei mercati e a una rivalutazione dei prezzi delle attività per effetto di eventi negativi inattesi. La graduale ripresa dell’attività economica e le aspettative di un allentamento della politica monetaria si sono tradotte in una maggiore propensione al rischio, in una riduzione dei premi per il rischio e in diversi mesi di variabilità relativamente contenuta nei mercati azionari. Tali circostanze, unitamente all’incertezza riguardo all’andamento futuro della crescita e dell’inflazione nelle principali economie mondiali, potrebbero porre le basi per brusche correzioni dei prezzi delle attività e per una maggiore volatilità nei mercati finanziari internazionali in caso di peggioramento delle prospettive macroeconomiche o di shock geopolitici[9]. Si pensi all’ondata di vendite, repentina e di breve durata, osservata nei mercati finanziari mondiali agli inizi di agosto, quando sorprese negative sui dati economici negli Stati uniti e timori circa un aumento dei tassi di interesse in Giappone hanno innescato una brusca reazione di avversione al rischio.
2.2 Priorità di vigilanza per il periodo 2025−2027
Priorità 1: le banche dovrebbero rafforzare la propria capacità di far fronte a minacce macrofinanziarie e gravi shock geopolitici nell’immediato
La perdurante incertezza riguardo alle prospettive macroeconomiche e la crescente intensità delle minacce geopolitiche richiedono di intensificare l’attività di controllo prudenziale sulla capacità delle banche di far fronte a eventuali shock collegati. Dati i persistenti rischi al ribasso per le prospettive di crescita dell’area dell’euro e gli elevati livelli di incertezza, è ancora più importante tenere conto di scenari diversi da quello di base e considerare traiettorie differenti per la crescita economica e i tassi di interesse. Le banche dovrebbero affrontare efficacemente le carenze riscontrate nell’ambito dei propri sistemi di gestione del rischio di credito, individuare tempestivamente eventuali deterioramenti della qualità degli attivi e mantenere adeguati livelli di accantonamento. Gli andamenti macroeconomici possono incidere sui rischi connessi alle esposizioni delle banche verso società non finanziarie, ad esempio piccole e medie imprese (PMI). Possono inoltre influire sui rischi derivanti dalle esposizioni verso istituzioni finanziarie non bancarie, inclusi gli effetti di propagazione di shock a questo settore. Questi aspetti resteranno, pertanto, al centro della futura attività di vigilanza.
Data la loro natura trasversale, i rischi geopolitici possono determinare andamenti macrofinanziari avversi e incidere sul contesto operativo più ampio delle banche. Poiché ne potrebbero derivare minacce dirette per la resilienza operativa delle banche, specie quando si configurano maggiori rischi informatici e di cibersicurezza, nei prossimi anni si renderanno necessari sforzi di vigilanza mirati per affrontare le relative carenze. Riconoscendo i molteplici canali di trasmissione dei rischi geopolitici, i responsabili della vigilanza attueranno varie iniziative specifiche per la sensibilizzazione e il rafforzamento della capacità di tenuta delle banche nei confronti di questi shock. Una di queste iniziative consiste nella prova di stress 2025 a livello di UE coordinata dall’Autorità bancaria europea (ABE).
Vulnerabilità individuata come priorità: carenze nei sistemi di gestione del rischio di credito
Obiettivo strategico: le banche dovrebbero individuare prontamente deterioramenti della qualità degli attivi e tradurli in livelli di accantonamento e di capitale prudenti. Dovrebbero intensificare gli sforzi per affrontare in modo tempestivo ed efficace le rispettive carenze riscontrate dai responsabili della vigilanza nel contesto delle priorità degli anni precedenti.
Finora le famiglie e le imprese europee hanno dato prova di notevole resilienza rispetto alle mutevoli condizioni macroeconomiche e al passaggio a tassi di interesse più elevati. La solidità dei bilanci e la graduale ripresa economica nell’area dell’euro contribuiscono a sostenere le prospettive per le imprese, mentre i mercati degli immobili residenziali dovrebbero continuare a mostrare una buona tenuta, supportati dai bassi livelli di disoccupazione, dagli incrementi dei salari reali e dalle aspettative di ulteriori riduzioni dei tassi di interesse. I crediti deteriorati delle banche hanno tuttavia iniziato ad aumentare, seppure a un ritmo piuttosto lento, con andamenti più pronunciati per i portafogli maggiormente vulnerabili all’attuale contesto macrofinanziario, in particolare quelli relativi al settore immobiliare non residenziale e alle PMI. Malgrado questa tendenza, gli indici di copertura delle banche hanno continuato a diminuire, anche per i segmenti più rischiosi, in parte per effetto del protrarsi della cessione di crediti deteriorati pregressi. Il lento incremento dei tassi di copertura per i nuovi crediti deteriorati e per i prestiti caratterizzati da un aumento significativo del rischio di credito (cosiddetti prestiti nello “Stage 2”)[10] fa temere che gli accantonamenti delle banche possano non riflettere adeguatamente i potenziali rischi emergenti o quelli al ribasso derivanti dalle deboli prospettive economiche e dal difficile contesto geopolitico.
Di fatto, l’attività di vigilanza ha evidenziato persistenti carenze per quanto riguarda i quadri di riferimento basati sull’IFRS 9, rilevando che alcune banche non soddisfano ancora le aspettative di vigilanza in questo ambito. Negli ultimi due anni i responsabili della vigilanza hanno condotto due valutazioni orizzontali incentrate sulla capacità delle banche di cogliere i rischi emergenti attraverso i propri modelli basati sulle perdite attese su crediti. L’esito è che le banche hanno compiuto progressi nella rilevazione di nuove tipologie di rischio, in particolare sul piano climatico e ambientale. Tuttavia, i progressi relativi ad alcuni rischi emergenti, ad esempio quelli geopolitici, appaiono inadeguati[11]. I responsabili della vigilanza hanno inoltre continuato a svolgere ispezioni in loco sul rischio di credito, formulando rilievi per alcuni enti in relazione ad aspetti quali i parametri dei modelli basati sulle perdite attese su crediti, la classificazione per stadi di rischio (staging) e le carenze negli accantonamenti. Lo SREP 2024 ha inoltre evidenziato persistenti problematiche per quanto riguarda ad esempio gli accantonamenti, l’erogazione dei prestiti, la classificazione e la (ri)valutazione delle garanzie[12].
In futuro la Vigilanza bancaria della BCE continuerà a monitorare la capacità delle banche di individuare prontamente deterioramenti della qualità degli attivi e di fare ricorso a prassi di accantonamento adeguate. In questo contesto, i responsabili della vigilanza si concentreranno sull’utilizzo di integrazioni (overlay) e sulla copertura di rischi nuovi, anche di tipo geopolitico. Nella fase di follow-up continueranno quindi a interagire con le banche per assicurare un’efficace e tempestiva correzione delle problematiche rilevate nei precedenti cicli di vigilanza, avvalendosi di tutte le misure disponibili per il conseguimento di tale obiettivo[13]. In parallelo proseguiranno le ispezioni mirate concernenti, tra l’altro, i modelli e le politiche in materia di accantonamenti a fronte del rischio di credito per le PMI, portafogli al dettaglio e immobili non residenziali. I responsabili della vigilanza valuteranno inoltre la tempestiva identificazione e gestione da parte delle banche dei debitori potenzialmente in difficoltà nei portafogli vulnerabili, in particolare tramite un’analisi mirata sui rispettivi portafogli PMI.
Principali attività nell’ambito del programma di lavoro definito per queste priorità di vigilanza
- Fase di follow-up all’analisi mirata sull’IFRS 9 incentrata, tra l’altro, sull’utilizzo di overlay e sulla copertura di rischi nuovi (anche di tipo geopolitico). I responsabili della vigilanza monitoreranno i progressi compiuti dalle banche rispetto ai rilievi precedentemente formulati, daranno seguito alle rispettive azioni correttive e ricorreranno, ove necessario, a misure di escalation.
- Proseguimento delle ispezioni sul rischio di credito, con particolare attenzione alla valutazione collettiva della ripartizione per stadi di rischio e della determinazione degli accantonamenti ai sensi dell’IFRS 9 per grandi imprese/PMI, portafogli al dettaglio e immobili non residenziali, incluse le valutazioni delle garanzie reali.
- Analisi mirata sui portafogli delle PMI, con particolare attenzione alla tempestiva identificazione e gestione dei debitori potenzialmente in difficoltà, ai modelli per le PMI e alla governance delle esposizioni nei confronti delle PMI.
Vulnerabilità individuata come priorità: carenze negli assetti di resilienza operativa, in relazione ai rischi di esternalizzazione dei servizi informatici e di sicurezza informatica/cibernetica
Obiettivo strategico: le banche dovrebbero rispettare i requisiti giuridici derivanti dal regolamento sulla resilienza operativa digitale (Digital Operational Resilience Act, DORA) per quanto riguarda la gestione del rischio relativo alle tecnologie dell’informazione e della comunicazione, la segnalazione degli incidenti, i test sulla resilienza operativa digitale e i fornitori terzi di servizi. Andrebbero intensificati gli sforzi per affrontare in modo tempestivo ed efficace le carenze rilevate in precedenza, in particolare per quanto concerne la gestione dei rischi di cibersicurezza e di esternalizzazione.
L’aumento delle minacce cibernetiche e la dipendenza da fornitori terzi di servizi comuni continuano a porre notevoli problemi alle banche. Il numero di incidenti cibernetici significativi segnalati dai soggetti vigilati è fortemente aumentato nel 2023 e si è mantenuto su livelli analoghi nei primi tre trimestri del 2024. La digitalizzazione in atto dei servizi e dell’operatività delle banche e l’acuirsi delle tensioni geopolitiche (che ha accresciuto il rischio di attacchi da parte di gruppi riconducibili a Stati esteri)[14] hanno contribuito in misura determinante all’impennata degli incidenti cibernetici nell’ultimo ventennio[15]. Le banche indicano inoltre una maggiore dipendenza da fornitori terzi per le funzioni essenziali e quasi tutte utilizzano servizi cloud per le attività essenziali esternalizzate[16]. Elevati livelli di concentrazione nell’utilizzo di fornitori terzi di servizi informatici possono esacerbare ulteriormente gli effetti di contagio e accrescere il potenziale impatto sistemico degli incidenti cibernetici[17].
I punteggi SREP insoddisfacenti registrati per il rischio operativo e i risultati dell’attività di vigilanza negli ambiti della resilienza cibernetica e della gestione dell’esternalizzazione confermano le carenze negli assetti operativi delle banche e la necessità di compiere progressi nell’azione correttiva. Nel quadro dello SREP 2024 il rischio operativo ha continuato a essere l’area con il peggiore punteggio medio, riconducibile principalmente a elementi relativi alle tecnologie dell’informazione e della comunicazione[18]. Per quanto riguarda l’esternalizzazione, i responsabili della vigilanza hanno riscontrato che oltre il 10% dei contratti relativi alle funzioni essenziali non è conforme alla normativa di riferimento[19]. Le banche dovrebbero pertanto valutare i rischi di concentrazione in relazione a specifici fornitori, aree geografiche (in considerazione dei maggiori rischi geopolitici) e funzionalità e gestire di conseguenza tali rischi, nonché valutare e gestire il rischio di potenziali effetti a cascata in più settori data la natura interconnessa delle reti bancarie.
La prova di stress sulla resilienza cibernetica condotta nel 2024 ha messo in luce che le banche dispongono nella maggior parte dei casi di sistemi generali di risposta e ripristino. Tuttavia, da tale esercizio sono anche emersi settori chiave in cui era necessario apportare miglioramenti, fra questi i quadri di riferimento per la continuità operativa, la pianificazione della risposta agli incidenti, la sicurezza dei back-up e la gestione dei fornitori terzi[20]. I responsabili della vigilanza verificheranno quindi lo stato di attuazione dei rimedi alle carenze relative alla capacità di ripresa delle banche in caso di attacco cibernetico riuscito[21]. In tale contesto proseguiranno gli sforzi compiuti negli ultimi anni, attraverso analisi e iniziative mirate per la valutazione della resilienza operativa delle banche e della loro conformità alle aspettative di vigilanza e ai requisiti regolamentari applicabili (in particolare nel quadro del DORA, con effetto da gennaio 2025).
Principali attività nell’ambito del programma di lavoro definito per queste priorità di vigilanza
- Raccolta di dati su fornitori terzi di tecnologie dell’informazione e della comunicazione per individuare i collegamenti tra soggetti vigilati e fornitori terzi, potenziali rischi di concentrazione e debolezze negli accordi di esternalizzazione delle banche.
- Analisi mirate sui sistemi di gestione del rischio di esternalizzazione, sulla resilienza cibernetica e sul controllo dei rischi.
- Lavori sulla scorta dei risultati della prova di stress sulla resilienza cibernetica.
- Ispezioni mirate sul rischio operativo e sui sistemi di resilienza informatica.
- Applicazione del DORA nel quadro di vigilanza.
Area di particolare attenzione: integrazione della gestione dei rischi geopolitici nelle priorità di vigilanza
A seguito del recente inasprimento delle tensioni geopolitiche, le banche devono adottare solidi sistemi di gestione e controllo dei rischi e si rende necessario intensificare l’esame prudenziale nel breve e medio periodo.
Data la natura trasversale dei rischi geopolitici, la capacità di tenuta, le strategie e la gestione dei rischi delle banche saranno valutate attraverso una serie di attività. In primo luogo, il rischio geopolitico è rilevato attraverso le summenzionate attività prioritarie relative alla gestione del rischio di credito e del rischio operativo da parte delle banche. I responsabili della vigilanza valuteranno anche i processi di gestione del rischio e i quadri di riferimento per la determinazione della propensione al rischio utilizzati dalle banche per monitorare e attenuare i rischi geopolitici. Ciò avverrà attraverso esercizi mirati di analisi comparata della propensione al rischio e della cultura del rischio, tenendo conto in particolare delle implicazioni dei rischi geopolitici per quanto riguarda l’individuazione dei rischi e i quadri di riferimento per la determinazione della propensione al rischio delle banche. Inoltre, i rischi geopolitici costituiranno una componente fondamentale della prova di stress a livello di UE 2025, che comprenderà un’analisi di scenario esplorativa per valutare la capacità delle banche di modellizzare il rischio di controparte in condizioni di stress.
Per meglio comprendere come le banche affrontino i rischi geopolitici e chiarire ulteriormente le aspettative di vigilanza in questo ambito, i responsabili della vigilanza riesamineranno le prassi correnti, concentrandosi tra l’altro sui sistemi di gestione dei rischi, sulla pianificazione del capitale e della liquidità e sulle prove di stress interne.
Priorità 2: le banche dovrebbero rimediare in modo efficace e tempestivo alle persistenti carenze rilevanti
Il progressivo passaggio dall’individuazione dei rischi al porvi rimedio è una caratteristica essenziale della strategia di vigilanza a livello di Meccanismo di vigilanza unico (MVU). Di conseguenza, alle banche che non hanno ancora risolto problematiche rilevanti sarà chiesto di moltiplicare gli sforzi per conseguire la piena conformità alle aspettative di vigilanza e attuare prontamente piani di correzione efficaci. L’ampia azione di vigilanza degli anni precedenti ha portato alla luce gravi carenze in termini di 1) strategie aziendali e gestione dei rischi climatici e ambientali da parte delle banche e 2) capacità di aggregazione e segnalazione dei dati sui rischi. A fronte di rischi emergenti (anche di natura geopolitica) è della massima importanza che le banche dispongano di quadri di riferimento adeguati ed efficaci per l’aggregazione e la segnalazione dei dati sui rischi, al fine di assicurare un tempestivo processo decisionale e un valido indirizzo strategico. Sebbene la Vigilanza bancaria della BCE riconosca importanti progressi compiuti al riguardo, il processo di correzione non può dirsi ancora completato e richiederà interventi successivi nei prossimi cicli di vigilanza.
Vulnerabilità individuata come priorità: carenze nelle strategie aziendali e nella gestione dei rischi in relazione ai rischi climatici e ambientali
Obiettivo strategico: le banche dovrebbero soddisfare appieno le aspettative di vigilanza riguardo alla gestione dei rischi climatici e ambientali, nonché i requisiti derivanti dal nuovo pacchetto CRR III/CRD VI per il settore bancario (anche con riferimento ai piani di transizione prudenziali), e dovrebbero affrontare prontamente le carenze individuate.
La capacità delle banche di gestire adeguatamente i rischi climatici e ambientali resta in primo piano nel programma di vigilanza a causa dei crescenti rischi fisici e di transizione, del fatto che le banche non soddisfano ancora appieno le aspettative di vigilanza al riguardo e dei nuovi requisiti derivanti dall’entrata in vigore del nuovo pacchetto per il settore bancario nel 2025. L’aumento dei rischi fisici si ricollega al problema del surriscaldamento del pianeta (il 2024 dovrebbe essere l’anno più caldo mai registrato) e al numero crescente di catastrofi climatiche (come incendi e inondazioni) negli ultimi anni. Allo stesso tempo i lenti progressi verso il conseguimento degli obiettivi di azzeramento delle emissioni nette destano apprensione riguardo ai rischi di transizione. Un’ampia percentuale di società quotate a livello mondiale non è in linea con il percorso di riduzione del riscaldamento globale a 2ºC o meno[22]. Per quanto riguarda il settore bancario, da una recente valutazione emerge che il 90% delle banche interpellate non è ancora in linea con gli obiettivi climatici dell’UE; ne deriva un’esposizione non soltanto a livelli di rischio di credito più elevati ma anche, tra l’altro, a rischi legali, ove non siano adottate ulteriori buone prassi per farvi fronte[23]. Al tempo stesso, il 70% delle banche europee è esposto a rischi reputazionali in relazione al rischio di contenzioso in materia ambientale[24].
Dalle valutazioni di vigilanza emerge che le banche sono ancora in procinto di conformarsi alle aspettative riguardo alla gestione dei rischi climatici e ambientali[25]. La maggior parte ma non la totalità delle banche sottoposte alla vigilanza della BCE si è significativamente impegnata per compiere passi avanti in relazione alle valutazioni di rilevanza entro la scadenza di marzo 2023. Per quante non vi hanno ancora provveduto, la BCE ha intensificato il ricorso agli strumenti di escalation emettendo decisioni di vigilanza vincolanti, che potrebbero sfociare nell’imposizione di penalità di mora in caso di mancato rispetto delle relative scadenze da parte delle banche[26]. Da una valutazione effettuata a dicembre 2023 (termine fissato per l’integrazione dei rischi climatici e ambientali nella governance, nelle strategie e nella gestione dei rischi delle banche) è emerso che i quadri di riferimento fondamentali in materia di rischi climatici e ambientali erano sostanzialmente in essere, ma non erano presenti presso una serie di banche (nei confronti delle quali i responsabili della vigilanza stanno ora adottando misure di follow-up). Al tempo stesso sussistono problematiche di ostacolo a un’adeguata gestione dei rischi climatici e ambientali. Queste sono state comunicate alle banche in ulteriori lettere di riscontro e la BCE continua a seguire da vicino i progressi compiuti. I responsabili della vigilanza presteranno inoltre attenzione al rispetto da parte delle banche del termine ultimo (ossia fine 2024) fissato per la piena conformità alle aspettative di vigilanza, anche per quanto riguarda l’integrazione di tali rischi nel processo interno di valutazione dell’adeguatezza patrimoniale e nelle prove di stress.
Le valutazioni di vigilanza e le ispezioni in loco continueranno a far luce sull’adeguatezza delle strategie e della gestione delle banche in materia di rischi climatici e ambientali, nonché sulla loro conformità alle imminenti modifiche normative. La valutazione delle informative di terzo pilastro dei soggetti vigilati ha evidenziato notevoli margini di miglioramento[27]. Con il maturare delle prassi di informativa delle banche, i responsabili della vigilanza continueranno a sottoporle a regolare riesame e valutarne l’adeguatezza. L’imminente pacchetto CRR III/CRD VI per il settore bancario imporrà obblighi di informativa più rigorosi e richiederà alle banche di elaborare piani di transizione prudenziali che dovranno essere riesaminati dai responsabili della vigilanza in linea con gli orientamenti dell’ABE di prossima pubblicazione. I rischi climatici e ambientali continueranno inoltre a essere valutati tramite ispezioni in loco, che saranno condotte sia su base individuale sia nell’ambito di alcune ispezioni su rischi specifici, e i responsabili della vigilanza effettueranno analisi approfondite sulla capacità delle banche di affrontare i rischi reputazionali e di contenzioso.
Principali attività nell’ambito del programma di lavoro definito per queste priorità di vigilanza
- Monitoraggio del pieno allineamento alle aspettative di vigilanza e attuazione del processo di escalation.
- Valutazione orizzontale della conformità delle banche agli obblighi di informativa di terzo pilastro relativi ai rischi ambientali, sociali e di governance.
- Approfondimenti sulla capacità delle banche di far fronte ai rischi di reputazione e di contenzioso legati agli impegni assunti in materia climatica e ambientale.
- Esame della pianificazione della transizione da parte delle banche conformemente ai mandati attesi dalla CRD VI.
- Ispezioni mirate su aspetti climatici e ambientali, su base individuale o nell’ambito di analisi programmate sui singoli rischi (ad esempio rischio di credito, rischio operativo, rischio di modello imprenditoriale).
Vulnerabilità individuata come priorità: carenze nell’aggregazione e nella segnalazione dei dati di rischio
Obiettivo strategico: le banche dovrebbero intensificare gli sforzi per rimediare alle carenze di lunga data nei quadri di riferimento per l’aggregazione e la segnalazione dei dati sui rischi e allineare le proprie prassi alle aspettative di vigilanza. Qualora esse non soddisfino tali aspettative, potrebbero intervenire misure di escalation.
I progressi compiuti nell’affrontare carenze di lunga data nei quadri di riferimento per l’aggregazione e la segnalazione dei dati sui rischi rimangono insufficienti. Un numero significativo di soggetti vigilati non aderisce ancora appieno alle aspettative di vigilanza e ai principi per un’efficace aggregazione e segnalazione dei dati di rischio del Comitato di Basilea per la vigilanza bancaria. Lo SREP 2024, l’analisi mirata delle capacità di aggregazione e segnalazione dei dati sui rischi e la campagna ispettiva hanno evidenziato debolezze per quanto riguarda: a) il coinvolgimento e le competenze degli organi di amministrazione, b) la completezza di tali quadri di riferimento, c) l’adeguatezza dell’architettura dei dati e dell’infrastruttura informatica, d) sistemi informatici complessi e frammentati ed e) la gestione della qualità dei dati.
In linea con le priorità dello scorso anno, la Vigilanza bancaria della BCE intensificherà gli sforzi per assicurare che i soggetti vigilati si attengano alle aspettative di vigilanza definite nella sua guida sull’efficace aggregazione e segnalazione dei dati di rischio (Guide on effective risk data aggregation and risk reporting). I responsabili della vigilanza intensificheranno ulteriormente le pressioni esercitate sulle banche che non provvederanno a rimediare alle proprie carenze entro i termini stabiliti, facendo pieno ricorso, se necessario, allo strumentario di escalation (incluse le sanzioni)[28]. La strategia correttiva terrà conto delle circostanze delle singole banche e sarà adattata in base alla rilevanza delle problematiche irrisolte, a come si collocano nel processo di correzione e a come hanno saputo affrontare in passato le criticità sul piano prudenziale. I responsabili della vigilanza proseguiranno inoltre l’analisi mirata delle capacità di aggregazione e segnalazione dei dati sui rischi e svolgeranno ispezioni mirate, portando avanti una stretta interazione con le banche qualora emergano carenze.
Principali attività nell’ambito del programma di lavoro definito per queste priorità di vigilanza
- Lavori sulla scorta dell’analisi mirata concernente le prassi di aggregazione e segnalazione dei dati sui rischi e l’adesione alle aspettative di vigilanza definite nella Guide on effective risk data aggregation and risk reporting e soluzione di problematiche precedentemente rilevate, facendo pieno ricorso, se necessario, allo strumentario di escalation a disposizione.
- Ispezioni mirate concernenti le problematiche relative alla governance complessiva e all’infrastruttura informatica, le capacità di aggregazione dei dati sui rischi e le prassi di segnalazione dei rischi.
- Rapporto gestionale sulla governance e sulla qualità dei dati: questionario annuale inteso ad assicurare che gli organi di amministrazione delle banche si assumano in misura adeguata la responsabilità di rendere conto delle segnalazioni interne, finanziarie e prudenziali.
Priorità 3: le banche dovrebbero rafforzare le proprie strategie di digitalizzazione e affrontare le sfide emergenti a seguito dell’utilizzo di nuove tecnologie
Le banche devono affrontare numerose tendenze strutturali e di più lungo termine, fra cui la digitalizzazione. I progressi tecnologici stanno rapidamente trasformando numerosi settori, fra cui quello bancario, creando molte opportunità commerciali, ma anche nuove sfide e rischi per gli operatori già presenti sul mercato. La trasformazione digitale è diventata una priorità per molte banche che intendono restare competitive; è essenziale che esse dispongano di salvaguardie adeguate per limitare i potenziali rischi derivanti dall’adozione di nuove tecnologie e pratiche commerciali. Anche il difficile panorama delle minacce cibernetiche svolge un ruolo fondamentale in questo ambito; i passi avanti compiuti nell’ambito della digitalizzazione potrebbero infatti minare la resilienza operativa delle banche. Nel lungo periodo ci si attende che la digitalizzazione rafforzi le banche dal punto di vista della competitività, dei modelli di business e della capacità di tenuta alla concorrenza esterna al settore bancario.
I rapidi progressi osservati in ambito tecnologico, come l’avvento dell’intelligenza artificiale generativa, e la loro applicazione sempre più massiccia all’interno delle banche (si pensi all’utilizzo dell’intelligenza artificiale in contesti prudenziali e non) richiedono un approccio strutturato. I responsabili della vigilanza bancaria devono sviluppare strategie mirate per meglio comprendere la risposta delle banche alle tendenze strutturali che plasmano il futuro del loro settore, quali le piattaforme digitali, le partnership strategiche e l’uso dell’intelligenza artificiale. La BCE promuove pertanto un’adeguata gestione dei rischi connessi alla digitalizzazione e l’adozione delle migliori prassi del settore.
Vulnerabilità individuata come priorità: carenze nelle strategie di trasformazione digitale
Obiettivo strategico: le banche dovrebbero rafforzare le proprie strategie di digitalizzazione e i relativi piani esecutivi in modo da attenuare adeguatamente i rischi sottostanti, anche derivanti dall’adozione di tecnologie nuove/avanzate come i servizi cloud e l’intelligenza artificiale.
I soggetti vigilati hanno beneficiato di livelli di redditività storicamente elevati, riconducibili principalmente al passaggio da un contesto di bassi tassi di interesse a tassi di interesse positivi, con un conseguente aumento dei margini netti. Le banche hanno sfruttato l’aumento del margine di interesse e, al tempo stesso, sono riuscite a limitare l’aumento dei costi, migliorando così l’efficienza in termini di costi (come dimostra il recente calo del rapporto costi/ricavi). Questi miglioramenti sono tuttavia ampiamente connessi a fattori esogeni relativi al contesto macrofinanziario in cui operano le banche, mentre persistono difficoltà strutturali legate ai modelli di business delle banche. I soggetti vigilati potrebbero quindi essere incoraggiati a sfruttare gli extraprofitti per avanzare ulteriormente nella digitalizzazione e rafforzare i propri assetti di resilienza operativa.
Negli ultimi anni la Vigilanza bancaria della BCE ha dato priorità alla valutazione dei rischi connessi alla digitalizzazione del settore bancario. Attività di vigilanza quali la raccolta di informazioni di mercato, le analisi mirate e le ispezioni in loco hanno consentito di fare il punto delle buone prassi delle banche e di individuare aspetti importanti per un indirizzo della digitalizzazione sostenibile, ben governato e consapevole del rischio nel settore. A luglio 2024 la Vigilanza bancaria della BCE ha pubblicato un rapporto sui principali criteri di valutazione e sulle buone prassi nel campo della digitalizzazione[29], fornendo ai responsabili della vigilanza le basi necessarie per istituire un quadro di valutazione olistico a tal fine. In prospettiva, la Vigilanza bancaria della BCE proseguirà a compiere sforzi in questo ambito, conducendo ispezioni e verifiche mirate incentrate su tecnologie, modalità di utilizzo e linee di business fondamentali, con l’obiettivo di approfondire ulteriormente la propria comprensione e continuare ad affinare il proprio approccio di vigilanza. I responsabili della vigilanza interagiranno con le banche al fine di dare seguito ai rilievi, adottando un approccio di escalation chiaramente definito.
Principali attività nell’ambito del programma di lavoro definito per queste priorità di vigilanza
- Attività mirate all’impatto delle attività digitali delle banche su modelli/strategie di business e sui rischi derivanti dall’utilizzo di tecnologie innovative.
- Ispezioni mirate sulla trasformazione digitale, con riferimento agli aspetti strategici relativi sia alle tecnologie dell’informazione sia ai modelli imprenditoriali.
2.3 Ulteriori attività di vigilanza e di verifica dell’attuazione di priorità precedenti
Oltre alle priorità di vigilanza definite per il periodo 2025-27, la Vigilanza bancaria della BCE continuerà a svolgere altre attività ordinarie e straordinarie.
Verifiche correttive svolte nell’ambito della regolare attività di vigilanza
Alla luce della vasta attività di revisione prudenziale condotta negli anni passati, alcune priorità precedenti hanno raggiunto una fase di maturità in cui l’attenzione della vigilanza passa dall’individuazione delle principali vulnerabilità alla loro effettiva correzione. Questa sezione esamina i progressi compiuti negli ultimi anni e si sofferma sulle aree che richiedono ancora attenzione e saranno oggetto di verifica nell’ambito dell’ordinaria attività di vigilanza.
Negli ultimi tre anni i responsabili della vigilanza si sono concentrati sui sistemi di gestione del rischio di credito delle banche. Particolare enfasi è stata posta sulla tenuta dei portafogli più sensibili alla situazione macro-finanziaria e/o esposti al rischio di rifinanziamento, come quelli degli immobili residenziali e non residenziali. Di conseguenza, le banche hanno migliorato la loro capacità di far fronte a un potenziale aumento del numero di debitori in difficoltà in tali portafogli. Tuttavia, talune banche devono compiere ulteriori sforzi per assicurare, ad esempio, la piena conformità agli orientamenti dell’ABE in materia di concessione e monitoraggio dei prestiti, tenere adeguatamente conto dei rischi di rifinanziamento dei debitori e aggiornare tempestivamente le valutazioni delle garanzie reali. Sono proseguite inoltre le analisi dei modelli interni, dalle quali è emerso un elevato numero di rilievi e misure riguardanti i modelli basati sui rating interni.
L’analisi mirata della gestione del rischio di controparte svolta nel 2022 e le varie ispezioni in loco condotte negli ultimi anni hanno evidenziato vulnerabilità rilevanti nelle prassi di gestione dei rischi delle banche (prove di stress, processo di gestione dei default e relativa documentazione ecc.). A seguito di tale analisi mirata, le banche in questione hanno presentato appositi piani di azione per il superamento definitivo delle criticità entro il termine ultimo di fine 2025. Inoltre, a ottobre 2023, la BCE ha pubblicato la guida sulle buone prassi relative alla governance e alla gestione del rischio di controparte[30].
Nel 2024 è stata inoltre intrapresa un’intensa azione di vigilanza per affrontare le carenze che connotavano i sistemi di gestione dell’attivo e del passivo (asset and liability management, ALM). Sono state condotte analisi mirate su: piani di emergenza di liquidità e capacità di ottimizzazione delle garanzie, fattibilità dei piani di finanziamento, governance e strategie ALM nonché rischi di tasso di interesse e di differenziale creditizio. Da tali analisi sono emerse carenze riguardanti, fra l’altro: a) la valutazione delle garanzie e la monetizzazione (mancanza di informazioni sulla stanziabilità della garanzia presso la banca centrale, tempi eccessivamente ottimistici per la liquidità ecc.); b) ipotesi impiegate nella modellizzazione delle proiezioni per i depositi (crescita futura dei depositi eccessivamente ottimistica, ricorso a ipotesi di modellizzazione semplicistiche ecc.); c) test retrospettivi e processi di convalida e ricalibrazione per i modelli ALM e d) sistemi di governance ALM generali (governance dei dati, adattabilità dei sistemi informativi, calibrazione dei limiti nelle dichiarazioni sulla propensione al rischio ecc.).
Affrontare le carenze nel funzionamento degli organi di amministrazione delle banche costituisce una priorità di vigilanza dal 2020. Le attività di vigilanza (tra cui analisi mirate dell’efficacia e della diversità degli organi di amministrazione, ispezioni in loco ed esercizi annuali di raccolta dei dati) hanno individuato le debolezze fondamentali e riportato i progressi compiuti nel farvi fronte. Nonostante taluni progressi compiuti in materia di diversità, alcune banche presentano ancora debolezze per quanto riguarda l’idoneità complessiva (anche in relazione alle competenze informatiche e all’indipendenza del consiglio di amministrazione), la pianificazione della successione e il funzionamento e la composizione dei comitati. Sulla scorta di tale analisi è stata aggiornata la Guida della BCE sulla governance e sulla cultura del rischio, che dovrebbe essere pubblicata agli inizi del 2025 e delinea le aspettative di vigilanza per le banche.
In futuro i responsabili della vigilanza si concentreranno sul consolidamento e sulla correzione dei rilievi nelle aree summenzionate, al fine di assicurare la piena conformità alle aspettative di vigilanza e regolamentari. Sarà dato seguito agli esiti delle attività di vigilanza, e le problematiche irrisolte (in particolare quelle di lunga data) saranno affrontate nell’ambito delle singole interazioni con le banche interessate. Qualora gli interventi correttivi non siano tempestivi o sufficienti, i responsabili della vigilanza potranno ricorrere a strategie di escalation, sfruttando appieno lo strumentario di vigilanza a loro disposizione laddove necessario.
Banca centrale europea, 2024
Recapito postale 60640 Frankfurt am Main, Germany
Telefono +49 69 1344 0
Internet www.bankingsupervision.europa.eu
Tutti i diritti riservati. È consentita la riproduzione a fini didattici e non commerciali, a condizione che venga citata la fonte.
Per la terminologia tecnica, è disponibile un glossario dell’MVU in lingua inglese.
HTML ISBN 978-92-899-6915-4, ISSN 2599-848X, doi:10.2866/0004300 QB-01-24-029-IT-Q
Cfr. Aggregated results of SREP 2024, BCE, dicembre 2024.
Cfr. Proiezioni macroeconomiche per l’area dell’euro formulate dagli esperti dell’Eurosistema, BCE, dicembre 2024.
Cfr. la Dichiarazione di politica monetaria della BCE del 12 dicembre 2024.
Cfr. Proiezioni macroeconomiche per l’area dell’euro formulate dagli esperti dell’Eurosistema, BCE, dicembre 2024.
Cfr. Financial Stability Review, BCE, novembre 2024.
Cfr. la Dichiarazione di politica monetaria della BCE del 12 dicembre 2024.
Cfr. Bollettino economico, numero 7, BCE, 2024.
Cfr. Sustainable finance: from ‘eureka!’ to action, intervento di Frank Elderson in occasione del Sustainable Finance Lab Symposium on Finance in Transition, 4 ottobre 2024.
Cfr. Financial Stability Review, BCE, novembre 2024.
Cfr. Same same but different: credit risk provisioning under IFRS 9, Working Paper Series, n. 2841, BCE, 2023.
Cfr. IFRS 9 overlays and model improvements for novel risks, BCE, luglio 2024.
Cfr. Aggregated results of SREP 2024, BCE, dicembre 2024.
Cfr. anche la sezione 2.3 per informazioni su altre attività di vigilanza pianificate e in corso in relazione al rischio di credito.
Cfr. l’intervista rilasciata da Anneli Tuominen a Börsen-Zeitung il 21 novembre 2023.
Cfr. Global Financial Stability Report, FMI, aprile 2024.
Cfr. Rise in outsourcing calls for attention, Supervision Newsletter, BCE, febbraio 2024.
Cfr. Global Financial Stability Report, FMI, aprile 2024.
Cfr. Aggregated results of SREP 2024, BCE, dicembre 2024.
Cfr. Rise in outsourcing calls for attention, Supervision Newsletter, BCE, febbraio 2024.
Cfr. Global rifts and financial shifts: supervising banks in an era of geopolitical instability, intervento di Claudia Buch in occasione dell’ottava conferenza annuale del CERS “New Frontiers in Macroprudential Policy”, 26 settembre 2024.
Cfr. La BCE conclude la prova di stress sulla resilienza cibernetica, comunicato stampa, BCE, 26 luglio 2024.
Cfr. Net-Zero Tracker dell’MSCI Sustainability Institute.
Cfr. Risks from misalignment of banks’ financing with the EU climate objectives, BCE, gennaio 2024.
Cfr. “Failing to plan is planning to fail” – why transition planning is essential for banks, Blog della Vigilanza, BCE, 23 gennaio 2024.
Come stabilito nella Guida sui rischi climatici e ambientali pubblicata nel 2020 della BCE.
Cfr. anche You have to know your risks to manage them – banks’ materiality assessments as a crucial precondition for managing climate and environmental risks, Blog della Vigilanza, BCE, 8 maggio 2024, e Nature-related risk: legal implications for central banks, supervisors and financial institutions, intervento di Frank Elderson in occasione dell’ESCB Legal Conference 2024, 6 settembre 2024.
Cfr. ESG data quality: Pillar 3 disclosures in focus, Supervision Newsletter, BCE, febbraio 2024.
Cfr. Risk data aggregation and risk reporting: ramping up supervisory effectiveness”, Blog della Vigilanza, BCE, 15 marzo 2024.
Cfr. Digitalisation: key assessment criteria and collection of sound practices, BCE, 2024.
Cfr. Sound practices in counterparty credit risk governance and management, BCE, ottobre 2023.