31 marzo 2025

20 marzo 2025, Enrico Giacoletto

Lo scopo di questo articolo è quello di presentare brevemente le principali modifiche e novità normative svizzere che interessano le banche e gli istituti finanziari in questo inizio del 2025.

A titolo informativo, l’ISFB organizza un seminario di aggiornamento normativo suddiviso in 6 moduli nei mesi di maggio e giugno 2025 (link per l’iscrizione). Durante il primo modulo, presenterò una panoramica delle principali modifiche normative introdotte di recente.

1. Alcuni promemoria sulle scadenze più importanti di gennaio 2025

Come premessa a questo articolo, è utile ricordare alcune modifiche importanti entrate in vigore il 1° gennaio 2025: le sei nuove ordinanze di attuazione di Basilea III Final, l’Ordinanza sul capitale proprio (OFR) aggiornata e la nuova circolare FINMA 25/02 «Regole di comportamento ai sensi della LSFin e dell’OSFin». Per maggiori dettagli su questi temi già trattati, vi invitiamo a consultare i post pubblicati in collaborazione con l’ISFB alla fine del 2024 (link per Basilea III Final e link per la circolare FINMA 25/02).

2. Resilienza operativa

Un tema di grande rilevanza per le banche in questo inizio d’anno riguarda il progetto normativo della circolare FINMA 23/01, volta ad accrescere la resilienza operativa delle banche in Svizzera. I primi requisiti sono entrati in vigore a gennaio 2024 e tali disposizioni saranno pienamente applicabili a partire dal 1° gennaio 2026: la scadenza delle disposizioni transitorie si avvicina.

2.1 Definizione

In cosa consiste la resilienza operativa? Cosa indica? Cosa comporta? La FINMA ne fornisce la seguente definizione (circolare FINMA 23/01, numero marginale, cm, 18):

• «Per resilienza operativa si intende la capacità dell’istituto di ripristinare le proprie funzioni critiche in caso di interruzioni entro i limiti della tolleranza alle interruzioni, ovvero la capacità dell’ente di identificare le minacce e i possibili guasti, di proteggersi da essi e di reagire, di ripristinare il normale svolgimento delle attività in caso di interruzioni e di trarne insegnamenti per ridurre al minimo le conseguenze sull’esecuzione delle funzioni critiche […]»

2.2 Obiettivi chiave

È proprio da questa definizione normativa del concetto di resilienza operativa che derivano le aspettative specificate dalla FINMA. Si segnalano in particolare gli obiettivi e le responsabilità chiave che incombono direttamente alla direzione generale degli istituti finanziari svizzeri in materia di resilienza:

• «L’ente identifica le proprie funzioni critiche e i relativi livelli di tolleranza alle interruzioni. Questi ultimi vengono approvati dall’organo responsabile dell’alta direzione. Inoltre, l’organo responsabile dell’alta direzione approva e monitora regolarmente la procedura volta a garantire la resilienza operativa. » (circolare FINMA 23/01, punto 101, entrata in vigore il 1° gennaio 2024).
• «L’ente adotta misure volte a garantire la resilienza operativa tenendo conto di scenari gravi, ma plausibili.» (Circolare FINMA 23/01, punto 102, entrerà in vigore il 1° gennaio 2026).

Dalla lettura di questi obiettivi si evince che si tratta di prendere in considerazione una nuova tipologia di eventi e situazioni la cui natura e durata potrebbero mettere a rischio le funzioni critiche della banca.

2.3 Disposizioni e calendario di attuazione

Con entrata in vigore il 1° gennaio 2024, il processo normativo in materia di resilienza operativa prosegue con scadenze previste per gennaio 2025 e 2026. Si noti che la circolare FINMA 23/01 «Rischi e resilienza operativa – banche» prevede semplificazioni e agevolazioni per gli istituti di piccole dimensioni (cm 20).

Per quanto riguarda le disposizioni già entrate in vigore dal 1° gennaio 2024, si ricordano le disposizioni dei punti 101, 103 e 105 della circolare. Pertanto, ogni anno, l’alta direzione della banca dovrà riesaminare e convalidare la procedura volta a garantire la resilienza operativa (punto 101), nonché le relazioni relative alla resilienza operativa dell’istituto, in particolare:

• L'elenco aggiornato delle funzioni critiche che sono state individuate (cm 101),
• I limiti di tolleranza relativi alle interruzioni da tenere in considerazione (punto 103, requisito soggetto al principio di proporzionalità),
• Le relazioni annuali sulla resilienza operativa riportano (punto 105):
  o le carenze significative nei controlli, oppure
  o gli incidenti tali da compromettere la resilienza operativa.

Per quanto riguarda le disposizioni entrate in vigore quest'anno, il 1° gennaio 2025, ci si sofferma qui sui punti da 106 a 109 della circolare. Tali disposizioni riguardano le modalità di identificazione e valutazione delle funzioni critiche; prevedevano un periodo transitorio di un anno e sono pienamente in vigore dal 1° gennaio 2025.

Ai sensi della circolare n. 106, gli enti interessati devono procedere alla valutazione dei rischi specifici delle funzioni critiche individuate, determinando in particolare, per ciascuna di tali funzioni:

• le minacce interne ed esterne e le relative vulnerabilità sfruttabili,
• i rischi operativi che ne derivano, la loro valutazione, i limiti e il quadro di vigilanza stabilito.

A tal proposito, il cm 107 prevede che l’istituto rediga, aggiorni e riveda annualmente un inventario delle proprie funzioni critiche, che comprenda in particolare:

• l'elenco rivisto e aggiornato delle funzioni critiche,
• la tolleranza alle interruzioni per ciascuna di queste funzioni critiche,
• le connessioni e le dipendenze tra i processi critici e le risorse (componenti interne ed esterne) necessarie per l'esecuzione di ciascuna delle funzioni critiche.

Il punto 108 sottolinea inoltre che l'ente deve documentare i principali rischi operativi e i relativi controlli.

Il cm 109 chiarisce le aspettative in materia di continuità delle funzioni e dei processi critici: questi ultimi, così come le risorse critiche (componenti IT, risorse umane interne e/o esterne) che li supportano, devono essere oggetto di Piani di continuità operativa (BCP). A seconda delle dimensioni dell’istituto, devono essere organizzati regolarmente dei test volti a verificare la capacità di svolgere le funzioni critiche entro i limiti di tolleranza alle interruzioni definiti in caso di scenari gravi, ma plausibili.

Disposizioni che entreranno in vigore il prossimo anno, nel gennaio 2026

Il cm 102 precisa che l'ente deve tenere conto di scenari gravi, ma plausibili, nella definizione delle misure volte a garantire la resilienza operativa. Tale requisito si applica a tutti gli enti, a differenza dei seguenti, che sono soggetti al principio di proporzionalità.

La circolare n. 104 richiede alle strutture interessate di «coordinare» in modo adeguato e globale tutte le componenti rilevanti ai fini di una gestione globale della resilienza. Ciò include: la gestione dei rischi informatici, dei rischi cibernetici, la gestione della continuità operativa, l’esternalizzazione e il piano di emergenza.

I paragrafi 111 e 112 riguardano le banche di importanza sistemica e trattano l’organizzazione coordinata del piano di emergenza in caso di crisi (paragrafo 111) e il mantenimento dei servizi essenziali in caso di liquidazione e risanamento (paragrafo 112).

3. Altri annunci importanti di questo inizio del 2025

Di seguito sono riportati altri annunci importanti di questo inizio del 2025. Tra questi annunci, alcuni sviluppi saranno oggetto di un’analisi dettagliata in un prossimo articolo. Sarà in particolare il caso delle evoluzioni normative in materia di Intelligenza Artificiale e dell’entrata in vigore della circolare FINMA 25/04 sulla «Vigilanza consolidata dei gruppi finanziari ai sensi della Lb e della LFin».

• La FINMA renderà pienamente operativa la sua nuova circolare 25/04 a partire dal 1° luglio 2025. L’Autorità illustra così la propria prassi in materia di vigilanza consolidata, il cui contenuto era finora rivolto esclusivamente agli istituti oggetto di decisioni individuali. La circolare sulla «Vigilanza consolidata dei gruppi finanziari ai sensi della Lb e della LFin» fornisce precisazioni e chiarimenti utili per i soggetti assoggettati che desiderano conoscere le condizioni alle quali le società di un gruppo devono essere incluse nella vigilanza consolidata. Con questa circolare, la FINMA intende formalizzare la propria prassi già consolidata in materia di vigilanza consolidata dei gruppi finanziari ai sensi della Lb e della LFin.
• La messa in consultazione da parte del Consiglio federale dei progetti di legge e di ordinanza FATCA modello 1, volti a recepire gli accordi conclusi con gli Stati Uniti nel giugno 2024 affinché la Svizzera passi dal modello di rendicontazione FATCA 2 al modello 1.
• Contemporaneamente alle modifiche relative al FATCA, il Consiglio sta procedendo a una revisione della legge sullo scambio automatico di informazioni (pLEAR).
• Il comunicato del Consiglio federale in materia di Intelligenza Artificiale (IA).

Questo articolo è il risultato di una scelta editoriale e si basa sul lavoro di ricerca e monitoraggio normativo svolto dalla soluzione e-Reg.

Enrico Giacoletto, CFA, FRM

easyReg Sàrl