L’introduzione del Meccanismo Unico di Risoluzione comporta un certo impatto sull’information technology degli istituti bancari europei. In questo articolo vengono illustrati i principali focus intrapresi dall’autorità unica europea con l’avviamento delle procedure di raccolta di informazioni nei confronti dei primi istituti bancari italiani: governo e controllo dei sistemi informativi, strategie e organigramma della funzione ICT, governo degli outsourcer e definizione delle exit strategies.
Il 1 gennaio 2016 è divenuto operativo il Meccanismo Unico di Risoluzione (Single Resolution Mechanism, SRM) per gli istituti bancari, con l’obiettivo di preservare la stabilità finanziaria dell’eurozona attraverso la gestione centralizzata delle procedure di risoluzione delle banche in crisi. La gestione delle risoluzioni è posta in carico all’autorità unica europea Single Resolution Board (SRB), con la quale collaborano le autorità nazionali di risoluzione (National Resolution Authority, NRA). Il SRB è l’organismo decisionale centrale del SRM e ha la missione di assicurare la risoluzione efficace degli istituti bancari in crisi con il minimo costo per i contribuenti e l’economia.
La NRA italiana è Banca d’Italia che opera attraverso la Resolution and Crisis Management Unit, organismo responsabile delle operazioni di resolution planning e dell’applicazione degli strumenti di gestione della risoluzione, supervisionando la garanzia dei depositi, finalizzando le regolamentazioni e stabilendo le metodologie di analisi.
L’introduzione del Meccanismo Unico di Risoluzione è prevista dalla Direttiva Europea 2014/59 BRRD (Bank Recovery and Resolution Directive), inserita nella Legge di Delegazione Europea 2014 approvata dal Parlamento il 2 luglio 2015. Il Governo italiano ha emanato le relative norme con i Decreti Legislativi 180 e 181 del 16 novembre 2015, famosi per l’introduzione del famigerato bail-in, cioè il meccanismo di salvataggio economico degli istituti bancari che, in base a diversi livelli di intervento, dovrebbe garantire l’assorbimento delle perdite e la ricapitalizzazione delle banche.
Come funziona il Resolution Planning
Il Resolution Planning prevede che, una volta che l’autorità di supervisione – la BCE – abbia dichiarato lo stato di crisi irreversibile di un istituto bancario, l’autorità di risoluzione – il Single Resolution Board – propone un Piano di Risoluzione (PR) sulla base di un piano già predisposto nel rispetto dei criteri generali stabiliti nella BRRD. Il Piano di risoluzione deve essere approvato dalla Commissione Europea entro 24 ore, quindi l’autorità di risoluzione, sulla base del PR e con gli strumenti a disposizione (compreso il bail-in), procederà con la risoluzione dell’istituto bancario nel giro di un weekend, ovvero a mercati chiusi. Il lunedì successivo l’attività bancaria dovrebbe quindi riprendere con una nuova forma societaria e nuovi processi. Oppure, nel peggiore dei casi, non riprendere del tutto.
Il SRB avrà il potere di richiedere modifiche alla struttura e all’organizzazione del malcapitato istituto, al fine di rimuovere tutti gli ostacoli pratici all’applicazione degli strumenti di risoluzione individuati. Misure applicabili potrebbero includere la cessione di asset specifici, la costituzione di una bridge bank, la limitazione o la cessazione di attività (anche commerciali), la modifica a strutture legali o operative (riducendo la complessità e isolando le funzioni critiche) e la limitazione delle esposizioni individuali o aggregate.
Da febbraio 2016 il Single Resolution Board, in cooperazione con Banca d’Italia in qualità di NRA, ha quindi avviato le procedure di raccolta delle informazioni con i primi istituti bancari italiani, ai fini della redazione dei relativi Piani di Risoluzione e della determinazione del requisito minimo di fondi propri e passività ammissibili, assoggettabili a svalutazione e conversione in caso di risoluzione.
In sintesi, sulla base di quanto finora rilevato, l’attività di resolution planning prevede:
- una Strategic Business Analysis, che riguarda la struttura e le responsabilità di governo, modello e linee di business, funzioni critiche, interdipendenze critiche interne ed esterne, e infrastrutture e sistemi critici, con valutazione della capacità di assorbimento delle perdite e della separabilità in resolution units.
- l’individuazione della strategia di risoluzione preferita, con accertamento della fattibilità e della credibilità dei procedimenti di insolvenza, precondizioni di attuazione ed elementi chiave, secondo scenari rilevanti, al fine di giungere alle strategie di ristrutturazione finanziaria (bail-in) e di business (misure strutturali).
- la definizione dei criteri di continuità finanziaria in caso di risoluzione, con relativi requisiti di continuità operativa e misure di garanzia dell’accesso alle FMI (Financial Market Infrastructures), cioè sistemi di pagamento, depositari centrali e controparti centrali.
- la definizione di un piano di informazione e comunicazione efficienti verso l’autorità di risoluzione, con individuazione delle fonti di informazione e definizione dei criteri di tempestività, affidabilità e coordinamento.
Gli impatti sull’IT delle banche
L’attenzione del Single Resolution Board e della Resolution and Crisis Management Unit si focalizza su diversi aspetti dell’IT degli istituti bancari, con un focus particolare sugli aspetti di governo e controllo dei servizi informativi. Fra questi aspetti, una prima ricognizione interessa il modello di governance dell’istituto o gruppo bancario, gli organigrammi del Material Legal Entity (MLE), cioè delle società appartenenti al gruppo bancario e ricomprese nel perimetro del Resolution Planning, le interdipendenze infragruppo fra le MLE e le interconnessioni operative fra le funzioni Audit, Compliance, Risk Management, IT e Operations.
Relativamente a questo ambito, SRB e NRA possono richiedere l’acquisizione del Documento di Indirizzo Strategico dell’IT e dell’Organigramma della Funzione ICT (comprensivo del disegno dei processi di gestione dell’ICT), la cui stesura è prevista dalla circolare Bankit 285 (Titolo IV – Capitolo 4 – Allegato A “Documenti aziendali per la gestione e il controllo del sistema informativo”) e la cui approvazione è a carico dell’Organo con Funzione di Supervisione Strategica (OFSS), tipicamente il Consiglio di Amministrazione.
Inoltre, l’attenzione si focalizza sull’individuazione dei servizi critici condivisi, sulla mappatura delle funzioni critiche e dei servizi condivisi rispetto alle MLE, sulla mappatura delle funzioni critiche e delle linee di business “core”, nonché sul modello e sulla strategia di provisioning dei servizi IT critici.
Un focus specifico è indirizzato sul governo degli outsourcer e sulle rispettive strategie di svincolo, le cosiddette “exit strategy” già previste dalla circolare Bankit 285 (Titolo IV – Capitolo 4 – Sezione VI “L’esternalizzazione del sistema informativo”). In questo ambito ci si concentra inizialmente sul modello di governo di ciascun outsourcer, ad esempio l’assegnazione di cariche dirigenziali incrociate, la partecipazione di esponenti dell’istituto o gruppo bancario ai consigli di amministrazione e l’esistenza di comitati guida o gruppi di lavoro interforze su specifici ambiti. Vengono presi in esame gli statuti dei singoli outsourcer, le norme che regolano i rapporti di tipo consortile fra eventuali istituti o gruppi bancari aderenti a consorzi, i modelli di erogazione dei servizi e le politiche di prezzo applicate.
Si passa quindi alla valutazione delle exit strategy, nell’ambito delle quali vengono considerati i possibili scenari che possono verificarsi, ad esempio l’abbandono dell’outsourcer, l’uscita di un terzo aderente con quota rilevante da un consorzio o l’impossibilità dell’outsourcer di erogare i servizi alle medesime condizioni. Vengono prese in considerazione le clausole di interruzione unilaterale dei contratti con eventuali penali, la proprietà dei sistemi e delle licenze d’uso del software. Questo specifico tema richiede il coinvolgimento della funzione di IT Risk Management, poiché l’esternalizzazione del sistema informativo e delle risorse ICT critiche deve prevedere anche un’apposita analisi dei rischi e la valutazione ed approvazione delle exit strategy previste.
Colgo l’occasione per ricordare che le valutazioni sulle strategie di esternalizzazione e di svincolo devono tenere conto del principio di proporzionalità e dell’opportunità, per le banche di maggiore dimensione, di mantenere al proprio interno le competenze professionali adeguate a garantire una transizione tra modelli di sourcing in caso di grave necessità. Al tempo stesso, il mantenimento nel tempo, da parte del fornitore, delle condizioni necessarie a fornire un servizio rispondente alle esigenze e conforme alle norme, deve essere assicurato attraverso idonei strumenti contrattuali e procedure di controllo. Esattamente ciò che SRB e NRA valuteranno nel corso della Strategic Business Analysis.
Conclusioni
Come qualsiasi attività di pianificazione, il Resolution Planning ha lo scopo di facilitare il processo decisionale in caso di emergenza ma, per quanto il PR venga aggiornato annualmente, non potrà essere esaustivo nel momento in cui viene dichiarato lo stato di crisi e le interconnessioni fra i vari elementi in gioco potranno rivelarsi più complicate del previsto. L’autorità di risoluzione sarà probabilmente costretta ad improvvisare soluzioni impreviste e, di fatto, imprevedibili finché non si troverà ad affrontare una risoluzione effettiva sul campo.
Lo stato di crisi, infatti, potrebbe rivelare un’imprevista insostenibilità del core business dell’istituto bancario o comportare comunque un gravissimo danno reputazionale e d’immagine. Sebbene l’allestimento di un PR sia un esercizio indubbiamente utile per la razionalizzazione e la revisione strategica dei meccanismi di governo, molto probabilmente una risoluzione effettiva costringerà ad intraprendere tattiche non previste nel PR. Anche il ricorso al bail-in appare come un intervento tardivo e non risolutivo di un precedente errato governo, anche alla luce del citato danno d’immagine che inevitabilmente si porterebbe dietro.
In ambito IT, data la pervasività delle tecnologie informatiche in ormai tutti gli ambiti del business, in particolare del core business, è prevedibile la complicazione e la difficoltà di intervenire in maniera verticale su specifici servizi informativi nell’ambito di contratti di servizio complessi ed articolati che, fra l’altro, non contemplano ancora l’eventualità di una risoluzione. La verticalità è peraltro ostacolata dalle molteplici interconnessioni e interazioni fra i diversi sottosistemi, tipiche degli istituti bancari medi e grandi.
I problemi legati alla definizione delle exit strategy sono analoghi a quelli del Resolution Planning: per quanto si possa pianificare e prepararsi all’eventualità, l’abbandono repentino (o in un arco temporale limitato) di servizi informatici core comporta un alto tasso di imprevedibilità e di rischio. Si pensi, ad esempio, alla necessità di stilare preaccordi contrattuali con outsourcer e fornitori alternativi, alla complessità di conciliare le esigenze di trasferimento dei dati, di mantenimento dei criteri di continuità (es. RTO e RPO) o di salvaguardia dei livelli di servizio.
Il compito della SRB non si preannuncia certo facile: bloccare l’operatività commerciale con il rischio di arrestare la raccolta, oppure interrompere i servizi informatici con il rischio di arrestare l’operatività di intere divisioni aziendali? Tentare di vendere il ramo d’azienda dedicato al backoffice o quello dedicato alla logistica e ai sistemi di supporto? E quanto sarà possibile conciliare le operazioni di risoluzione con i numerosissimi requisiti di conformità imposti al settore più regolamentato d’Italia?
Speriamo di non dover mai sperimentare questi dilemmi in una risoluzione reale.
Ettore Guarnaccia