Basilea 3 e 4: un cambio di paradigma nel rischio operativo
Negli ultimi anni il framework prudenziale di Basilea ha subito un’evoluzione profonda, culminata con l’entrata in vigore nell’Unione Europea del Regolamento (UE) 2024/1623 – CRR III, che dà attuazione alle final Basel III reforms, spesso indicate come Basilea 4.
Negli ultimi anni il framework prudenziale di Basilea ha subito un’evoluzione profonda: dopo il rafforzamento introdotto da Basilea 3 in materia di capitale, liquidità e leva finanziaria, l’entrata in vigore nell’Unione Europea del Regolamento (UE) 2024/1623 – CRR III dà attuazione alle final Basel III reforms, spesso indicate come Basilea 4.
Per il Non‑Financial Risk – e in particolare per il rischio operativo – il cambiamento non è solo metodologico, ma culturale: si passa da modelli fortemente interni e predittivi a un approccio standardizzato, comparabile e fortemente data‑driven, nel quale la qualità dei dati di perdita e la solidità dei processi di controllo assumono un ruolo centrale.
Questo contributo propone una guida alle principali novità, con un focus sulle implicazioni operative per Operational Risk Manager e Compliance Officer di banche e istituzioni finanziarie italiane.
Basilea 3 e Basilea 4: continuità e differenze
Basilea 4 non rappresenta un framework separato da Basilea 3, ma il nome con cui vengono spesso indicate le riforme finali di Basilea III, recepite nell’Unione Europea attraverso il CRR III. La continuità è quindi sostanziale: l’obiettivo resta rafforzare la solidità patrimoniale delle banche e rendere più robusto il sistema finanziario. Cambia però il modo in cui questo obiettivo viene perseguito.
Se Basilea 3 ha introdotto requisiti più stringenti su capitale, liquidità e leva finanziaria, le riforme finali puntano soprattutto a ridurre la variabilità dei requisiti patrimoniali tra istituti, limitare l’eccessiva discrezionalità dei modelli interni e aumentare la comparabilità dei dati di rischio. Per il Risk Management, e in particolare per il rischio operativo, questo significa passare da un’impostazione più model-based a un approccio maggiormente standardizzato, fondato su dati coerenti, processi tracciabili e presidi di controllo più solidi.
Dal modello AMA allo SMA: come cambia il calcolo del capitale
Con Basilea 2, il rischio operativo era presidiato attraverso tre approcci alternativi (BIA, TSA e AMA). In particolare, l’Advanced Measurement Approach (AMA) consentiva alle banche più strutturate di utilizzare modelli interni basati su loss data, scenario analysis e fattori di controllo.
Il Comitato di Basilea ha tuttavia rilevato nel tempo una eccessiva variabilità dei requisiti patrimoniali e una scarsa comparabilità tra istituti, attribuibile alla discrezionalità dei modelli AMA. Da qui la decisione di eliminare tutti gli approcci di Basilea 2 e introdurre un unico metodo regolamentare: lo Standardised Measurement Approach (SMA).
In Europa, questa scelta è stata recepita con il CRR III, applicabile dal 1° gennaio 2025 per il rischio operativo.
Business Indicator, loss data e Internal Loss Multiplier
Lo SMA definisce il requisito patrimoniale per il rischio operativo combinando due dimensioni fondamentali:
-
Business Indicator (BI): Proxy della dimensione operativa dell’intermediario, calcolato a partire da voci di conto economico (interessi, commissioni, risultato dell’attività di negoziazione, altri proventi operativi), secondo una mappatura armonizzata con FINREP.
-
Loss Component (LC): Derivato dalle perdite operative storiche interne, osservate su un orizzonte pluriennale.
Nel framework europeo, è stata esercitata la discrezionalità prevista da Basilea che consente di neutralizzare l’Internal Loss Multiplier (ILM). Di conseguenza, per molte banche il requisito di capitale è direttamente proporzionale al Business Indicator Component (BIC). Tuttavia, l’obbligo di raccogliere e governare i dati di perdita rimane centrale, soprattutto per gli intermediari con BI ≥ 750 milioni di euro.
Anche se le perdite non entrano sempre direttamente nella formula di calcolo del capitale, esse sono oggetto di reporting, disclosure di Terzo Pilastro e attenzione ispettiva.
Loss data collection e tassonomia degli eventi di rischio operativo
Uno degli impatti più rilevanti di Basilea 4 riguarda la formalizzazione della loss data collection. L’Autorità Bancaria Europea (EBA) ha pubblicato specifiche Regulatory Technical Standards (RTS) volte a:
- standardizzare raccolta, registrazione e classificazione delle perdite operative;
- introdurre una tassonomia armonizzata degli eventi di rischio operativo;
- disciplinare le rettifiche dei dataset in caso di fusioni e acquisizioni;
- chiarire le condizioni di esenzione temporanea dal calcolo delle perdite annuali.
Nel contesto italiano, queste prescrizioni rafforzano aspettative di vigilanza già presenti nelle Disposizioni di Banca d’Italia in materia di controlli interni e gestione dei rischi, che da tempo richiedono processi strutturati di identificazione, misurazione e monitoraggio del rischio operativo.
Valutazione del rischio operativo tra Pillar 2, ICAAP e controlli interni
Se il capitale regolamentare diventa più standardizzato, la valutazione del rischio operativo assume un ruolo ancora più strategico a livello gestionale (Pillar 2 e ICAAP).
Basilea 4 non elimina strumenti consolidati come:
- Risk Control Self‑Assessment (RCSA)
- Key Risk Indicators (KRI)
- Scenario analysis.
Al contrario, ne rafforza il valore come strumenti di governo ex ante, essenziali per:
- individuare vulnerabilità di processo;
- supportare decisioni organizzative e di investimento;
-
dimostrare alla Vigilanza la robustezza del framework di controllo interno, anche in assenza di modelli AMA.
In questo scenario, diventa cruciale disporre di workflow strutturati, tracciabilità delle valutazioni e coerenza tra processi, eventi di rischio e perdite osservate.
Impatti sul requisito patrimoniale e sulla reportistica
Dal punto di vista della compliance regolamentare, Basilea 4 introduce:
- nuovi template COREP per il rischio operativo;
- maggiori richieste di coerenza tra dati contabili, dati di rischio e segnalazioni di vigilanza;
- un rafforzamento delle disclosure di Pillar 3 sulle perdite operative e sul framework di gestione del rischio.
Per le funzioni Risk, Compliance e Segnalazioni di Vigilanza, ciò implica:
- maggiore integrazione tra sistemi;
- riduzione delle attività manuali;
- controlli di qualità del dato sempre più stringenti.
Impatti su banche italiane: proporzionalità, dati e cultura del rischio
Nel sistema bancario italiano, caratterizzato da una forte eterogeneità dimensionale, il principio di proporzionalità rimane centrale. Tuttavia, Basilea 4 rende evidente che anche gli intermediari di minori dimensioni devono dotarsi di presidi adeguati per:
- la raccolta strutturata delle perdite;
- la classificazione coerente degli eventi;
- la produzione di evidenze a supporto del dialogo con la Vigilanza.
La direzione è chiara: meno modelli, più processi; meno discrezionalità, più qualità del dato.
Conclusioni
Basilea 3 e Basilea 4 non rappresentano solo un aggiornamento normativo, ma una trasformazione profonda del modo in cui il rischio operativo viene gestito, misurato e comunicato.
Per gli operatori italiani, la sfida non è soltanto calcolare correttamente il requisito patrimoniale, ma costruire un ecosistema di governance del Non‑Financial Risk capace di integrare valutazioni qualitative, dati di perdita, indicatori e reporting regolamentare in modo coerente, tracciabile e sostenibile nel tempo.
Topic: Risk Management, Banking, Basilea
Post Correlati
.png)
