Dalla BCBS 239 alla Guida RDARR: cinque step per affrontare i nuovi requisiti del risk reporting bancario

Negli ultimi anni, le banche hanno beneficiato di una certa “tolleranza” da parte dei regolatori sulla qualità dei risk data e del risk reporting. Ma quel periodo è finito. La BCE parla chiaro: le norme in materia esistono da tempo, ora è il momento di applicarle davvero. Immaginate un istituto finanziario sotto stress: i mercati oscillano, l’esposizione al rischio cresce e diventa necessario fornire rapidamente dati precisi al management ed eventualmente agli organismi di supervisione. Ma se le informazioni interne sono incomplete o inaffidabili, il pericolo diventa concreto: le autorità potrebbero richiedere capitale aggiuntivo o addirittura imporre restrizioni operative.  

Guida RDARR: Irion al Forum ABI Lab 2025 

La recente Guida BCE al RDARR (Risk Data Aggregation and Risk Reporting) – di cui parlerà il nostro Principal Business Consultant Roberto Fasano, martedì 25 marzo in occasione del Forum ABI Lab 2025 a Milano – ha fissato aspettative precise per le banche europee. Chi non si adegua rischia ispezioni più stringenti, requisiti patrimoniali più severi e una maggiore pressione da parte dei regolatori. Non è solo una questione di compliance: governare meglio i dati significa avere un reale controllo dei rischi e migliorare la solidità degli istituti finanziari.  

Già due anni fa, il report BCE sulle priorità di vigilanza sottolineava la necessità di “rafforzare la tenuta a fronte degli shock macrofinanziari e geopolitici nell’immediato”, “accelerare gli interventi” per rimediare alle “carenze nella governance e gestione dei rischi climatici e ambientali” e “compiere ulteriori progressi” nella trasformazione digitale e negli assetti per la resilienza operativa.  

Dalle ispezioni alla necessità di agire 

La genesi della Guida RDARR risale alle evidenze provenienti dal processo SREP (Supervisory Review and Evaluation Process) e dall’esito deludente di una specifica thematic review condotta su 25 Significant Institutions in Europa. In Italia, invece, secondo l’ultimo report Bankitalia (fine 2024), le tre aree con minore aderenza ai princìpi BCBS 239 sono la governance, l’architettura dati e l’infrastruttura IT. 

I princìpi di riferimento (tra cui la pietra miliare BCBS 239) così come la normativa di settore (direttiva CRD sui requisiti patrimoniali, la Circolare 285 della Banca d’Italia, alcune guide EBA) sono noti da tempo. Tuttavia, durante le ispezioni è emerso che diversi istituti non hanno ancora implementato processi adeguati a garantire una gestione efficace dei dati di rischio e che lacune simili si riscontrano anche nel processo di produzione delle segnalazioni di vigilanza, del bilancio d’esercizio, e in generale di reportistica destinata agli organi decisionali della banca, ai supervisori e al mercato.  

Negli anni passati, le autorità hanno tollerato ritardi dovuti a difficoltà implementative, aggravate da situazioni contingenti come la pandemia. Durante il COVID-19, ad esempio, le banche si sono trovate spesso in difficoltà nella gestione rapida dei dati. Il risultato? Una mancanza di controllo che si è tradotta in decisioni più lente e in un’esposizione maggiore ai fattori di rischio. La BCE ha preso atto di questa debolezza e ha definito il rafforzamento della data governance e della qualità dei dati come una delle priorità per i prossimi tre anni.  

Cosa cambia con la Guida RDARR? 

La Guida non introduce nuove norme, ma chiarisce cosa ci si aspetta dalle banche e quali sono le aree su cui si concentreranno le ispezioni BCE nel prossimo futuro. In situazioni di stress (crisi finanziarie, instabilità geopolitica), l’accuratezza e la tempestività del risk reporting sono fondamentali per evitare decisioni tardive o errate.  

Ecco le nuove attese dei regolatori, in quattro punti:

• Il ruolo dei C-level. Le banche devono dimostrare che il top management è attivamente coinvolto nella governance dei dati e del rischio, attraverso:  
  • la definizione di obiettivi chiari 
  • l’allocazione di risorse adeguate 
  • il monitoraggio costante della Data Quality 

• Un framework di Data Governance efficace. Il sistema di Data Management finanziario deve includere:  
  • Data Owner responsabili di KRI (Key Risk Indicators) e CDE (Critical Data Elements) 
  • Una funzione centrale per il governo dei dati 
  • Un team indipendente per la validazione 
  • Internal audit con revisioni periodiche 

• Un’architettura dati integrata. Per garantire la coerenza informativa, la BCE richiede:  
  • una documentazione dettagliata della data architecture adottata dalla banca 
  • glossari condivisi per una definizione uniforme dei dati 
  • regole di validazione per dominio informativo 
  • data lineage aggiornato per attributo  

• Qualità e tempestività del reporting. Un sistema di controlli di qualità deve coprire l’intero ciclo dei dati, dal front-office al reporting layer, con: 
  • Controlli di qualità sui dati lungo tutta la filiera 
  • Riconciliazioni dei dati in perimetro rispetto alle fonti alimentanti e rispetto a reporting finanziario e contabile con caratteristiche di confrontabilità 
  • Indicatori di qualità per il monitoraggio 
  • Procedure documentate per la gestione degli errori 

I potenziali rischi per chi non si adegua

Per fare un esempio, il risk management monitora tra l’altro la concentrazione delle esposizioni a livello di gruppo nel contesto del rischio di credito: se i dati di una consociata sono errati o arrivano in ritardo, il rischio concreto è non avere il controllo dell’esposizione complessiva verso un determinato cliente. In caso di fallimento di una grande azienda, l’impatto a livello di gruppo può essere critico qualora questo si sia esposto eccessivamente.  

Ecco perché la BCE insiste su un rafforzamento strutturale della qualità dei dati: senza un sistema solido, le banche rischiano di trovarsi senza strumenti adeguati a valutare e mitigare i rischi imprevisti. E per chi non rispetterà la Guida? I principali rischi riguardano quattro ambiti: 

• Maggiori requisiti di capitale. Ove la BCE riscontrasse un’affidabilità insufficiente nei processi di produzione di dati rilevanti per la guida delle banche e il presidio dei rischi principali che ne connotano l’operatività potrebbe richiedere requisiti patrimoniali addizionali al fine di creare un buffer in risposta a una maggiore volatilità dei risultati, causata da dati di qualità non adeguata 

• Sanzioni commisurate alla gravità delle violazioni riscontrate 

• Conseguenze personali per il management, e in particolare per i membri disegnati come responsabili ai fini del rispetto delle disposizioni. Eventuali carenze possono implicare una rivalutazione della loro idoneità, e portare – in casi molto gravi – addirittura alla loro rimozione 

• Implicazioni reputazionali. Le banche che non rispettano le aspettative dei regolatori rischiano di perdere credibilità agli occhi del mercato e degli investitori 

Cinque passaggi per gestire la compliance 

Per allinearsi alle nuove aspettative della BCE, le banche devono adottare un approccio strutturato alla compliance. I passaggi chiave includono: 

1. Self-assessment sulle sette aree chiave della guida
2. Definizione di un set sostenibile di KRI e CDE 
3. Creazione di un Data Quality Framework con regole di validazione solide e “coprenti” rispetto ai KRI e CDE individuati 
4. Identificazione di indicatori chiave per stakeholder interni ed esterni 
5. Implementazione di un programma di compliance con risorse dedicate 

Un’opportunità per creare banche più solide 

La Guida RDARR rappresenta quindi un’opportunità per migliorare la governance e qualità dei risk data: adeguarsi ai suoi princìpi è fondamentale per evitare impatti negativi sui requisiti di capitale e sul livello di supervisione BCE. In sintesi, il nuovo approccio dei regolatori all’ambito RDARR chiarisce che la gestione del rischio è sempre al centro, ma include oggi molti tipi di dati in più. Irion supporta le banche nel percorso verso la compliance, offrendo soluzioni avanzate e personalizzabili per gestire i dati di rischio, la qualità del patrimonio informativo e il reporting regolamentare.