Article

SSM Supervisory Priorities 2023-2025

Key highlights e aree di focus della vigilanza

A cura di: Gianfranco Tessitore, Gerardo Curci, Luca Martello

Key Findings

  • La BCE ha ricalibrato le priorità di vigilanza tenendo conto dei risultati del processo SREP 2022 e degli stress test 2022 da cui è emersa una sostanziale tenuta del settore bancario che ha dimostrato resilienza alla pandemia e alle criticità innescate dal conflitto Russia-Ucraina grazie a solide posizioni patrimoniali e di liquidità, all’aumento della redditività e al continuo miglioramento della qualità degli attivi.
  • Le priorità di vigilanza per il triennio 2023-2025, anche in considerazione dello scenario di profonda incertezza, sono all’insegna del rigore con un innalzamento del livello di attenzione verso i nuovi rischi finanziari (in primis i rischi creditizi) e non finanziari generati dalle criticità del contesto geopolitico che ha fatto registrare nel 2022 un deterioramento delle condizioni economiche globali.
  • Le carenze nella gestione del rischio di credito rimangono al centro della supervisory agenda.
  • Il livello di importanza attribuito alla resilienza operativa è in continua ascesa, sia in considerazione degli scenari di rischio connessi alla sicurezza informatica che alle vulnerabilità legate al massiccio ricorso alle esternalizzazioni lungo la catena del valore delle banche.
  • La forte concentrazione delle fonti di finanziamento viene identificata tra le nuove vulnerabilità che i player di sistema devono fronteggiare.
  • Le carenze in ambito risk data aggregation and reporting sono tornate tra i temi di rilievo nella supervisory agenda.
  • Sebbene il livello di attenzione si sia spostato verso alcune aree più impattate dallo scenario di mercato, il settore bancario sarà comunque soggetto ad una attività di vigilanza sistematica rispetto a rischi preesistenti come la qualità della Governance e i rischi connessi alla trasformazione digitale. Anche i rischi climatici e ambientali, in considerazione della loro portata globale, si confermano stabili nella supervisory agenda

Relevant to: Membri degli organi di amministrazione e controllo, AD/DG, Responsabili delle Funzioni Pianificazione e controllo, Risk Management, Compliance, Internal Audit, Regulatory Affairs, altre funzioni chiave di banche operanti nell’area Euro.

Overview

La BCE, in stretta collaborazione con le Autorità nazionali di vigilanza, ha ricalibrato le priorità strategiche di vigilanza per le banche dell’area Euro, tenendo conto dei risultati del processo SREP 2022 e degli stress test 2022, con focus sui rischi e le vulnerabilità riscontrate, e delle evoluzioni dello scenario macroeconomico. Le tre Supervisory Priorities definite per il triennio 2023-2025 sono finalizzate a:

  1. Rafforzare la resilienza agli shock macro-finanziari e geopolitici.
  2. Affrontare le sfide della digitalizzazione e rafforzare le capacità di indirizzo degli organi di amministrazione.
  3. Intensificare gli sforzi per fronteggiare il cambiamento climatico.

A fronte di ognuna delle tre Supervisory Priorities, il SSM ha declinato le specifiche “prioritised vulnerabilities” e un quadro maggiormente dettagliato dei rischi che l’Autorità affronterà attraverso la propria azione di vigilanza nei prossimi anni.

Il presente contributo fornisce un’analisi delle priorità strategiche alla base dell’azione di vigilanza con focus sugli elementi di novità rispetto alle priorità 2022-2024, delle aree la cui rilevanza è in crescita nel nuovo contesto di mercato e delle priorità che rimangono stabili nella supervisory agenda.

Elementi di novità

  • Le carenze strutturali nella gestione del rischio di credito (sono 62 le banche incluse nell’esercizio SREP 2022 ad aver ricevuto Qualitative Measures per l’area del «Credit Risk») rimangono un elemento di attenzione in un momento storico profondamente mutato dallo scorso anno, in cui il rischio recessione minaccia le condizioni creditizie in tutta Europa.

    Sebbene la pandemia e le conseguenze del conflitto Russia-Ucraina non abbiano generato un aumento significativo dello stock di crediti deteriorati (NPE), la BCE e l’EBA hanno recentemente messo in guardia le istituzioni circa il trend di parziale deterioramento della qualità degli attivi (diversi istituti di credito hanno infatti registrato un aumento delle esposizioni in stage 2). La crescita dei crediti deteriorati è già iniziata in alcuni specifici portafogli come il credito al consumo. Nell’analisi condotta dal SSM, la probabilità di default dei mutui concessi ad imprese ad alta intensità energetica e fortemente esposte all’aumento dei costi di produzione è aumentata di 50 punti base da marzo 2022.

    Queste evidenze hanno indotto a confermare il focus della vigilanza sulla gestione del rischio di credito, tema sempre presente nella supervisory agenda, spostando al contempo l’attenzione sulla qualità degli attivi nei settori dell’energia e degli immobili commerciali. Le targeted reviews in ambito loan origination and monitoring pianificate per i portafogli rilevanti nei settori vulnerabili implicano per le banche maggiori capacità di analisi e comprensione dei fattori che determinano il deterioramento della qualità degli asset.

    Il SSM condurrà targeted reviews sull’applicazione dei principi contabili IFRS9 al fine di valutare la conformità di un pool di banche selezionate rispetto alle aspettative di vigilanza sulla gestione del rischio di credito stabilite nella “Dear CEO” letter del 2020.

    Per maggiori dettagli sugli scenari in ambito credit risk che le banche si troveranno ad affrontare nel 2023 è possibile consultare il nostro Regulatory Outlook 2023 (Financial Markets Regulatory Outlook publication).
  • La concentrazione delle fonti di finanziamento è evidenziata tra le nuove vulnerabilità da affrontare.

    Sebbene i coefficienti di liquidità delle banche rimangano generalmente al di sopra dei minimi regolamentari, il SSM evidenzia la concentrazione delle fonti di finanziamento come nuova “prioritised vulnerability”, il che implicherà una maggiore attenzione sulla tematica nel breve termine. Ciò fa seguito alla decisione della BCE di ricalibrare il “Targeted Longer-Term Refinancing Operations” (TLTRO-III), in un contesto caratterizzato dal ricorso consistente di molte banche ai finanziamenti BCE durante la pandemia e la conseguente riduzione della quota di finanziamenti market-based. Mentre le banche con posizioni di liquidità più solide possono essere in grado di ridurre i prestiti TLTRO utilizzando le early-repayment windows e rifinanziare i prestiti a tassi di mercato competitivi, la diversificazione delle fonti di finanziamento può certamente rivelarsi più costosa per le banche più piccole con un marcato ricorso al TLTRO III, mettendo potenzialmente sotto pressione coefficienti prudenziali e redditività.

    Il SSM condurrà targeted reviews sulle strategie di uscita dal TLTRO III, nonché valutazioni più ampie sulla liquidità e i Funding Plan, anche attraverso on-site inspections dedicate. Risulta pertanto fondamentale che le banche sviluppino e realizzino solidi Funding Plan pluriennali che tengano conto dei cambiamenti nelle condizioni di finanziamento, anche in previsione degli stress test in ambito ILAAP.
  • La capacità di aggregazione, analisi e reporting dei dati di rischio è tornata al centro della supervisory agenda (tale ambito rappresenta infatti il 9% delle Qualitative Measures dell’area «Internal Governance and Risk Management» da SREP 2022).

    Coerentemente con i risultati dell’esercizio SREP 2022, le carenze nell’aggregazione e segnalazione dei risk data (spesso acutizzate da sistemi IT frammentati e non integrati) sono evidenziate come “prioritised vulnerability”. L’interesse della vigilanza su tale ambito è di lunga data ed è certamente correlato allo standard BCBS 239 rispetto al quale molte banche hanno evidenziato difficoltà nel percorso di implementazione. Si prevede pertanto un’attività di supervisione e controllo più intensa nel corso del prossimo anno.

    Le banche dovranno sviluppare remediation plan più ambiziosi e di più ampia portata, dimostrando che tali piani siano approvati e adeguatamente strutturati in termini di budget e risorse dedicate.

Aree a rilevanza crescente per la vigilanza

  • L’azione finalizzata al superamento delle vulnerabilità in ambito outsourcing IT e gestione dei rischi informatici/di sicurezza IT è sempre più prioritaria in uno scenario di mercato nel quale la resilienza operativa gioca un ruolo sempre più strategico.

    Il SSM evidenzia i rischi derivanti dalla digitalizzazione dei servizi bancari e dalla crescente dipendenza da fornitori di servizi terzi, nonché un aumento del rischio di attacchi informatici connessi al conflitto Russia-Ucraina. Il SSM sottolinea altresì la necessità per le banche di rafforzare le strategie di prevenzione e gestione del rischio informatico e di esternalizzazione, anticipando che condurrà targeted reviews finalizzate a valutare la tenuta dei presidi di controllo implementati dagli enti creditizi.

    Con la nuova Digital Operational Resilience regulation (DORA), il SSM avrà a disposizione anche una serie di nuovi strumenti di vigilanza che consentiranno di valutare più da vicino la resilienza operativa delle banche attraverso l’analisi di elementi chiave quali strategie in ambito ICT, Governance ICT, framework di ICT risk management, framework di incident management & reporting, programmi di operational resilience testing, framework di ICT third party risk management con focus sul rischio di concentrazione derivante dalle esternalizzazioni, e molto altro.

    Il framework DORA, che rientra nel Digital Finance Package, è il primo atto legislativo a livello europeo che affronta con un approccio olistico il tema della resilienza operativa digitale per i servizi finanziari.

    Il mandato conferito al SSM dal DORA porterà ad un rafforzamento significativo dell’azione di vigilanza nel valutare l’effettivo livello di resilienza operativa delle banche. Tutti i player finanziari UE rientranti nell’ambito di applicazione del DORA dovranno adeguarsi entro il 17 gennaio 2025 attivando programmi di trasformazione da calibrare in relazione al proprio livello di maturità anche in relazione agli standard tecnici che saranno emanati già nel prossimo anno.

    Per maggiori dettagli si rimanda alle nostre analisi sul DORA e sulle sue implicazioni strategiche.

Elementi in linea con le priorities dello scorso anno

  • Permangono carenze nel funzionamento e nelle capacità di indirizzo degli organi di amministrazione (tale ambito rappresenta il 32% delle Qualitative Measures dell’area «Internal Governance and Risk Management» da SREP 2022).

    Il SSM ha confermato tra le aree da attenzionare la Governance aziendale con focus sulla diversity, le conoscenze, competenze ed esperienze, i meccanismi di funzionamento (con focus sul dialogo tra il board e le funzioni di controllo) e i processi di succession planning.

    Il SSM condurrà reviews finalizzate a valutare il grado di efficacia dei management bodies nonché le loro skills, dando priorità alle competenze informatiche in materia di rischio IT.

    La vigilanza continuerà a spingere per conseguire progressi in questi ambiti mediante indagini mirate, ispezioni in loco nonché verifiche dei requisiti di idoneità.

    Per maggiori dettagli sulle aspettative di vigilanza sulla composizione e il funzionamento degli organi di amministrazione si rimanda alle nostre analisi (Le raccomandazioni del Comitato per la Corporate Governance, Orientamenti della Banca d’Italia sulla composizione del Consiglio di Amministrazione delle banche less significant).
  • Le carenze nelle strategie di trasformazione digitale continuano a destare preoccupazioni.

    Il SSM continua a considerare le carenze nelle strategie di trasformazione digitale del settore bancario tra le principali vulnerabilità, non solo per i rischi connessi al passaggio e all’utilizzo di nuove tecnologie, ma anche per l’intensificarsi della concorrenza con operatori nativi digitali (BigTech e FinTech) che stanno entrando prepotentemente nel mercato.
    A riguardo il SSM pubblicherà le proprie aspettative di vigilanza con riferimento alle strategie di trasformazione digitale anche sulla base delle evidenze emerse dall’analisi di benchmark condotta nel 2022. Il SSM inoltre effettuerà targeted reviews sulle strategie di trasformazione digitale e intensificherà l’azione dei JST sulle banche che presentano carenze sostanziali in tale ambito. Un elemento chiave del focus della vigilanza sarà la valutazione della coerenza della strategia ICT con il Business model dei soggetti vigilati.
  • L’esigenza di intensificare gli sforzi per affrontare il cambiamento climatico, cogliendo al contempo le opportunità connesse alla transizione e gestendone efficacemente i rischi, sta assumendo per le banche carattere di urgenza.

    I rischi associati al cambiamento climatico sono ormai reali e tangibili come dimostra l’intensificarsi degli eventi metereologici estremi che hanno colpito l’Europa mettendo in luce la crescente probabilità e la maggiore gravità delle perdite generate dal rischio fisico, oltre agli shock sui mercati dell’energia causati dal conflitto russo-ucraino, etc.

    Gli stress test condotti nel 2022 e la thematic review in ambito, hanno evidenziato progressi ma anche diverse lacune riguardanti principalmente l’assenza di valutazioni robuste sulla rilevanza delle esposizioni ai rischi climatici e ambientali, il mancato sviluppo di adeguate capabilities di data governance e quantificazione dei rischi, l’assenza di indicatori, limiti e soglie di performance e propensione al rischio, nonché di framework solidi per le prove di stress sui rischi climatici.

    A riguardo la vigilanza monitorerà, con approfondimenti e verifiche mirate, i tempi di attuazione specifici per ciascun ente per conseguire la piena conformità alle aspettative del SSM entro la fine del 2024 tenendo conto in primis delle carenze emerse dagli stress test 2022 e della thematic review.

    Il SSM valuterà inoltre la conformità ai nuovi obblighi di segnalazione e requisiti di terzo pilastro stabiliti dall’EBA in materia di rischi ESG, proseguirà con le on-site inspections avviate nel 2022 e condurrà approfondimenti sul rischio reputazionale e di litigation.

    In tale contesto, le banche devono accelerare il processo di integrazione dei rischi climatici e ambientali nella strategia aziendale e nei sistemi di governance e gestione dei rischi.

Conclusioni

Le Supervisory Priorities per il triennio 2023-2025 sono la dimostrazione della dinamicità che caratterizza in modo sempre più netto l’azione di vigilanza che si muove secondo priorità che si adattano all’evolversi dello scenario di mercato, del risk landscape e del livello di maturità (e delle vulnerabilità) dei soggetti vigilati (approccio risk based).

Il sistema bancario europeo ha dimostrato una buona tenuta e resilienza alla pandemia, alle criticità innescate dal conflitto Russia-Ucraina e agli shock fatti registrare dal contesto macro-economico, con ottimi risultati conseguiti in termini di redditività, capitalizzazione, liquidità e qualità degli assets.

Il perdurare di uno scenario di forte incertezza suggerisce tuttavia alle banche rigore nella gestione dei rischi finanziari e non finanziari, oltre ad un cambio di passo nel rafforzamento degli assetti di Governance e nei programmi di trasformazione digitale e climatica. Sono queste le aree sulle quali la vigilanza bancaria metterà il faro nel 2023 e negli anni successivi.

L'hai trovato interessante?