È di pochi giorni fa la notizia di una pesante sanzione per complessivi 135,6 milioni di dollari a una grande banca, irrogata dalla statunitense Federal Reserve (60,6 milioni) assieme all’Office of the Comptroller of the Currency (75 milioni): un evento che sottolinea i rischi finanziari e reputazionali associati a un approccio inadeguato al Data Management, rispetto alle disposizioni del regolatore.
La sanzione è dovuta ai progressi insufficienti nel miglioramento dei framework di risk data management, risk governance e regulatory reporting, in riferimento alle precedenti azioni di enforcement svolte nel 2020 dalle autorità americane (400 milioni la mega multa all’epoca) che avevano individuato gravi carenze nella gestione e nella qualità dei dati; queste carenze sono state considerate tali da compromettere la capacità della banca di conformarsi ai requisiti regolamentari e gestire efficacemente i rischi correlati.
Pur tenendo conto delle differenze giurisdizionali e del diverso quadro regolamentare emergono analogie importanti rispetto all’Europa, dove le priorità di vigilanza della BCE per il prossimo triennio in ambito RDARR (risk data aggregation and risk reporting) insistono su punti che hanno molto in comune rispetto alle contestazioni che Federal Reserve e Office of the Comptroller of the Currency hanno mosso all’intermediario sanzionato.
Questo non stupisce considerando che il riferimento normativo statunitense [i] – per la porzione sovrapponibile – evidenzia un elevato grado di allineamento rispetto allo standard BCBS 239 e alle più recenti disposizioni della Guida BCE in ambito RDARR (leggi il white paper aggiornato al 2024 con le nostre osservazioni sulle nuove richieste BCE).
In questo scenario è lecito chiedersi se sul fronte europeo la BCE – a seguito dei deludenti risultati delle verifiche effettuate nell’ultimo lustro [1] e dei ripetuti avvisi che ne sono derivati – deciderà di avvalersi in modo più incisivo dei poteri di ispezione e sanzionatori che le sue prerogative le riconoscono[2]. La domanda ci riporta alle considerazioni esposte in premessa relativamente ai forti rischi finanziari e reputazionali cui si troverebbero esposti i soggetti che risultassero ancora inadempienti.
Ma allora come occorre agire per limitare i profili di rischio ed evitare le gravi conseguenze di un possibile provvedimento sanzionatorio ? Le banche europee dovranno anzitutto dare priorità a un approccio moderno e robusto alla gestione dei dati, non solo per rispettare le normative ma anche per migliorare l’integrità operativa, proteggere i loro clienti e assicurare la continuità dei servizi erogati.
Per rispondere a requisiti sempre più sfidanti, che vi abbiamo raccontato in questi mesi soprattutto lato Regulatory Reporting, è indispensabile investire in framework, processi e tecnologie, anche sotto i profili della Data Quality e della Data Governance e disporre di strategie proattive per la gestione dei rischi.
Fonti
[i] 12 C.F.R. Part 30, Appendix D, “OCC Guidelines Establishing Heightened Standards for Certain Large Insured National Banks, Insured Federal Savings Associations, and Insured Federal Branches
[1] Ci riferiamo ai risultati della review tematica pubblicati nel 2018 Report on the Thematic Review on effective risk data aggregation and risk reporting (europa.eu), nonché a quelli del campione monitorato nel corso del ciclo 2022 di Supervisory Review and Evaluation Process (SREP)
[2] Recenti dichiarazioni di autorevoli membri del Supervisory Board di ECB vanno in questa direzione: si vedano in proposito i seguenti interventi: Interview with Financial Times (europa.eu), Risk data aggregation and risk reporting: ramping up supervisory effectiveness (europa.eu)