Negli ultimi anni il framework prudenziale di Basilea ha subito un’evoluzione profonda, culminata con l’entrata in vigore nell’Unione Europea del Regolamento (UE) 2024/1623 – CRR III, che dà attuazione alle final Basel III reforms, spesso indicate come Basilea 4.
Negli ultimi anni il framework prudenziale di Basilea ha subito un’evoluzione profonda: dopo il rafforzamento introdotto da Basilea 3 in materia di capitale, liquidità e leva finanziaria, l’entrata in vigore nell’Unione Europea del Regolamento (UE) 2024/1623 – CRR III dà attuazione alle final Basel III reforms, spesso indicate come Basilea 4.
Per il Non‑Financial Risk – e in particolare per il rischio operativo – il cambiamento non è solo metodologico, ma culturale: si passa da modelli fortemente interni e predittivi a un approccio standardizzato, comparabile e fortemente data‑driven, nel quale la qualità dei dati di perdita e la solidità dei processi di controllo assumono un ruolo centrale.
Questo contributo propone una guida alle principali novità, con un focus sulle implicazioni operative per Operational Risk Manager e Compliance Officer di banche e istituzioni finanziarie italiane.
Basilea 4 non rappresenta un framework separato da Basilea 3, ma il nome con cui vengono spesso indicate le riforme finali di Basilea III, recepite nell’Unione Europea attraverso il CRR III. La continuità è quindi sostanziale: l’obiettivo resta rafforzare la solidità patrimoniale delle banche e rendere più robusto il sistema finanziario. Cambia però il modo in cui questo obiettivo viene perseguito.
Se Basilea 3 ha introdotto requisiti più stringenti su capitale, liquidità e leva finanziaria, le riforme finali puntano soprattutto a ridurre la variabilità dei requisiti patrimoniali tra istituti, limitare l’eccessiva discrezionalità dei modelli interni e aumentare la comparabilità dei dati di rischio. Per il Risk Management, e in particolare per il rischio operativo, questo significa passare da un’impostazione più model-based a un approccio maggiormente standardizzato, fondato su dati coerenti, processi tracciabili e presidi di controllo più solidi.
Con Basilea 2, il rischio operativo era presidiato attraverso tre approcci alternativi (BIA, TSA e AMA). In particolare, l’Advanced Measurement Approach (AMA) consentiva alle banche più strutturate di utilizzare modelli interni basati su loss data, scenario analysis e fattori di controllo.
Il Comitato di Basilea ha tuttavia rilevato nel tempo una eccessiva variabilità dei requisiti patrimoniali e una scarsa comparabilità tra istituti, attribuibile alla discrezionalità dei modelli AMA. Da qui la decisione di eliminare tutti gli approcci di Basilea 2 e introdurre un unico metodo regolamentare: lo Standardised Measurement Approach (SMA).
In Europa, questa scelta è stata recepita con il CRR III, applicabile dal 1° gennaio 2025 per il rischio operativo.
Lo SMA definisce il requisito patrimoniale per il rischio operativo combinando due dimensioni fondamentali:
Business Indicator (BI): Proxy della dimensione operativa dell’intermediario, calcolato a partire da voci di conto economico (interessi, commissioni, risultato dell’attività di negoziazione, altri proventi operativi), secondo una mappatura armonizzata con FINREP.
Loss Component (LC): Derivato dalle perdite operative storiche interne, osservate su un orizzonte pluriennale.
Nel framework europeo, è stata esercitata la discrezionalità prevista da Basilea che consente di neutralizzare l’Internal Loss Multiplier (ILM). Di conseguenza, per molte banche il requisito di capitale è direttamente proporzionale al Business Indicator Component (BIC). Tuttavia, l’obbligo di raccogliere e governare i dati di perdita rimane centrale, soprattutto per gli intermediari con BI ≥ 750 milioni di euro.
Anche se le perdite non entrano sempre direttamente nella formula di calcolo del capitale, esse sono oggetto di reporting, disclosure di Terzo Pilastro e attenzione ispettiva.
Uno degli impatti più rilevanti di Basilea 4 riguarda la formalizzazione della loss data collection. L’Autorità Bancaria Europea (EBA) ha pubblicato specifiche Regulatory Technical Standards (RTS) volte a:
Nel contesto italiano, queste prescrizioni rafforzano aspettative di vigilanza già presenti nelle Disposizioni di Banca d’Italia in materia di controlli interni e gestione dei rischi, che da tempo richiedono processi strutturati di identificazione, misurazione e monitoraggio del rischio operativo.
Se il capitale regolamentare diventa più standardizzato, la valutazione del rischio operativo assume un ruolo ancora più strategico a livello gestionale (Pillar 2 e ICAAP).
Basilea 4 non elimina strumenti consolidati come:
Al contrario, ne rafforza il valore come strumenti di governo ex ante, essenziali per:
dimostrare alla Vigilanza la robustezza del framework di controllo interno, anche in assenza di modelli AMA.
In questo scenario, diventa cruciale disporre di workflow strutturati, tracciabilità delle valutazioni e coerenza tra processi, eventi di rischio e perdite osservate.
Dal punto di vista della compliance regolamentare, Basilea 4 introduce:
Per le funzioni Risk, Compliance e Segnalazioni di Vigilanza, ciò implica:
Nel sistema bancario italiano, caratterizzato da una forte eterogeneità dimensionale, il principio di proporzionalità rimane centrale. Tuttavia, Basilea 4 rende evidente che anche gli intermediari di minori dimensioni devono dotarsi di presidi adeguati per:
La direzione è chiara: meno modelli, più processi; meno discrezionalità, più qualità del dato.
Basilea 3 e Basilea 4 non rappresentano solo un aggiornamento normativo, ma una trasformazione profonda del modo in cui il rischio operativo viene gestito, misurato e comunicato.
Per gli operatori italiani, la sfida non è soltanto calcolare correttamente il requisito patrimoniale, ma costruire un ecosistema di governance del Non‑Financial Risk capace di integrare valutazioni qualitative, dati di perdita, indicatori e reporting regolamentare in modo coerente, tracciabile e sostenibile nel tempo.