Gestione del rischio operativo con Basilea IV  

Gestione del rischio operativo con Basilea IV  

26 settembre 2025

di Marco FERFOGLIA

1. Definizione del Rischio Operativo 

Il rischio operativo(1) può manifestarsi per: – Cause interne errori umani, inefficienze dei processi, malfunzionamenti dei sistemi informatici, frodi interne; oppure per – Cause esterne interruzioni di servizi essenziali come la fornitura di elettricità, gestione errata di servizi affidati a fornitori esterni, attacchi informatici, catastrofi naturali.

Il rischio operativo è un “rischio asimmetrico” in quanto non è controbilanciato dalla generazione di relativi ricavi, a   differenza invece di quanto avviene per il rischio di credito e quello di mercato. Il rischio operativo è strettamente connesso al modello di business della singola banca e della sua modalità distributiva commerciale, articolata tra sportelli fisici e canali online.

Si evidenzia come il rischio operativo assuma un’importanza crescente, anche in relazione alla progressiva digitalizzazione, all’adozione di modelli fintech e al ricorso consistente di servizi in outsourcing e cloud. I rischi operativi più insidiosi sono quelli con bassa frequenza ma che si manifestano con un forte impatto economico negativo, come per i danni generati da un terremoto o gravi violazioni normative con conseguenti maximulte.

2. Definizione della Perdita operativa

Il Rischio Operativo è la probabilità che si manifesti un evento negativo con un conseguente effetto avverso. Mentre la Perdita Operativa (Loss event) è il danno economico effettivamente subito e quantificato come costo registrato a conto economico, ad esempio è l’ammontare di una sanzione pagata comminata dalla Banca d’Italia per l’Inadeguatezza del sistema dei controlli interni. 

3. Basilea IV e il Requisito Patrimoniale complessivo

Il requisito patrimoniale complessivo della singola banca verrà calcolato in modo progressivo dal 2025 al 2030, come la sommatoria dei rischi di credito, mercato e operativo. Individuato tra la componente più elevata misurata rispettivamente dai: a. Modelli Interni e quella misurata con i b. nuovi Modelli Standard moltiplicati per il coefficiente “output floor” che a regime assumerà il valore del 72,5%.

Dal gennaio 2025: output floor iniziale 50%
gennaio 2026: 55%
gennaio 2027: 60%
gennaio 2028: 65%
gennaio 2029: 70%
gennaio 2030: output floor a regime 72,5%.

4. Basilea IV e il Rischio Operativo

Con il nuovo quadro normativo introdotto dal 2025 da Basilea IV o Basilea III bis (CRR III), tutte le banche, indipendentemente dalla loro dimensione dovranno adottare per il rischio operativo unicamente il nuovo approccio standardizzato. Di conseguenza, i precedenti metodi, sia quelli standard (BIA e TSA) che il modello interno (AMA), saranno definitivamente aboliti. 

La ragione principale di questa nuova impostazione è quella di superare le eccessive differenze di metodologie adottate e la conseguente scarsa comparabilità che caratterizzavano i modelli precedentemente utilizzati, rendendo difficile valutare il reale profilo di rischio della singola banca. L’adozione di un metodo standardizzato unico rende inoltre i requisiti patrimoniali più coerenti e trasparenti, facilitandone anche la comparabilità.

5. Calcolo del nuovo Operational Risk Capital

Standardised Measurement Approach (SMA) è il nuovo metodo standard che determina l’entità del capitale necessario per affrontare il rischio operativo (CRR III, art.311 bis, 314, 315), determinato dalla moltiplicazione dei seguenti due parametri:

Operational Risk Capital (ORC) = BIC x ILM

  • Business Indicator Component (BIC) = Business Indicator (BI) * Beta marginale.

Il Business Indicator (BI) riflette numericamente la dimensione e le attività svolte dalla banca ed è il risultato della sommatoria della media degli ultimi tre anni dei seguenti componenti(2):  ILDC (ricavi netti da interessi, leasing e dividendi), SC (servizi) e FC (attività finanziarie).

Mentre Beta è un coefficiente marginale che viene applicato ai diversi scaglioni crescenti del Business Indicator. Il Beta è pari al 12% per BI fino ad 1 miliardo di euro, Beta 15% per BI tra 1 miliardo e 30 miliardi di euro, mentre il Beta 18% si applica al BI che supera i 30 miliardi di euro.

  • L’Internal Loss Multiplier (ILM) adegua il requisito di capitale in funzione delle perdite operative effettivamente sostenute. Dove la Loss Component (LC) è pari a 15 volte la media decennale delle perdite operative al netto dei recuperi.

L’ILM è determinato da una formula logaritmica crescente(3), condizionata dal rapporto LC/BIC. Assume un valore: inferiore a 1 quando LC è minore di BIC; pari a 1 se i due valori coincidono; superiore a 1 quando LC lo eccede, determinando una crescita non lineare del capitale richiesto. Per banche con BI inferiore ad 1 miliardo, l’ILM è da considerare pari a 1 ed il calcolo dell’LC può essere quindi omesso, salvo espressa richiesta delle autorità di vigilanza nazionali.

Da quanto sopra espresso la dotazione del capitale per fronteggiare il rischio operativo è fortemente condizionata dalla dimensione e struttura operativa della banca (BIC), quanto dalla capacità della banca di prevenire e limitare il manifestarsi di eventi di perdita nel tempo.

6. Stima d’impatto con il nuovo Operational Risk Capital

Con l’introduzione delle nuove metriche di Basilea IV, l’European Banking Authority(4), su un campione di 157 banche europee, stima a regime la necessità di incrementare complessivamente il capitale di vigilanza Tier 1 del 7,8%. Alla data di redazione del presente articolo (settembre 2025), il sistema bancario europeo, grazie al rafforzamento della sua redditività e della solidità patrimoniale conseguita negli ultimi anni, appare complessivamente in grado di fronteggiare le conseguenti aggiornamenti di capitale conseguenti dall’adozione di Basilea IV.

Nell’ambito dell’incremento complessivo, l’applicazione del nuovo metodo standardizzato per il solo rischio operativo determina la necessità di aumentare il capitale Tier 1 del 2,8%, corrispondente a circa 300 milioni di euro. L’impatto è particolarmente rilevante per gli istituti di maggiori dimensioni, sia a causa dell’abbandono dei modelli interni, sia per il peso delle componenti legate al margine di interesse e alle commissioni che determinano il  Business Indicator (BI).

7. Governance delle Perdite e del Rischio Operativo

La gestione del rischio operativo deve configurarsi come un sistema integrato, in grado di interagire con le variabili soggette ad altri vincoli regolamentari, quali: il rischio ICT, la resilienza digitale (DORA), il rischio di outsourcing, il rischio ESG, la quantificazione del RAF e la verifica del capitale economico nell’ambito dell’ICAAP.

Dataset delle Perdite Operative (CRR III, artt. 316-322). È richiesta la creazione di un dataset strutturatoche evidenzi le perdite operative, basato su una tassonomia uniforme (es. categorie di rischio come frodi, errori operativi, cyber risk). Il dataset deve comprendere un periodo di dieci anni ed includere, per ogni evento di rischio manifestato: importo lordo, importi di recupero (es. assicurativi, legali), importo netto, date di accadimento e registrazione, con aggregazione per categorie omogenee. Deve garantire coerenza, completezza e tracciabilità, con controlli di qualità per la validazione dei dati, consentendo anche la verifica da parte delle autorità di vigilanza.

Governance del Rischio Operativo (CRR III, art. 323). Le banche devono adottare un solido quadro di governance per il rischio operativo (ORM), che includa:

Sistemi di gestione e monitoraggio: strumenti integrati per la misurazione, la gestione, il monitoraggio e la tempestiva segnalazione delle esposizioni di rischio e delle perdite operative. Disponendo elaborazioni di scenari di stress test e l’adeguamento agli standard di vigilanza.

Ruoli e responsabilità: chiara attribuzione dei compiti, con il coinvolgimento del Consiglio di amministrazione e dell’alta direzione, promuovendo la diffusione della cultura del rischio a tutti i livelli organizzativi.

Procedure di auto-valutazione: aggiornamenti periodici ed indipendenti delle policy di Risk and Control Self Assessment (RCSA) e di Loss Data Collection, da integrare anche nel framework ICAAP, assicurandone tracciabilità e verificabilità a fini di vigilanza.

8. Osservazioni finali

Storicamente, le banche hanno gestito e rappresentato il rischio operativo adottando una contenuta trasparenza, omettendo talvolta la divulgazione di eventi significativi per preservare la propria reputazione. 

Con Basilea IV e le regole applicative dell’EBA, si mira a rafforzare la gestione e la consapevolezza del rischio operativo, promuovendo una disclosure più efficace e trasparente. Questo approccio favorisce la condivisione di informazioni, incrementando la visibilità dei rischi operativi attuali e quelli potenziali, a beneficio della stabilità e della resilienza dell’intero sistema bancario.

Intervento di Marco FERFOGLIA | Presidente di Associazione AnalisiBanka

Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) Il Comitato di Basilea considera che: “Il rischio operativo è definito come il rischio di perdite derivanti da inadeguatezza o malfunzionamenti di processi interni, persone e sistemi, oppure da eventi esterni. Tale definizione include il rischio legale, ma esclude i rischi strategici e reputazionali.”

(2) BI (Business Indicator) = ILDC + SC + FC

(3) ILM (Internal Loss Multiplier) = ln [exp (1) −1+(LC/BIC​) ^0.8]

(4) EBA, “Basel III Monitoring exercise results based on data as 31 December 2023”, del 4 ottobre 2024

Related Items

BASILEA IV ecco il nuovo framework normativo bancario BASILEA IV ecco il nuovo framework normativo bancario 
Continua a leggere
Crisis Management uno strumento da considerare nella gestione del rischioCrisis Management uno strumento da considerare nella gestione del rischio
Continua a leggere
ERM 2017: Integrare ERM con Strategia e PerformanceERM 2017: Integrare ERM con Strategia e Performance
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *