IL RISCHIO INFORMATICO: IL CASO INTESA SANPAOLO

UNIVERSITÀ DI PISA

Dipartimento di Economia e Management

Corso di Laurea Magistrale in Banca, Finanza Aziendale e Mercati Finanziari

Tesi di Laurea

IL RISCHIO INFORMATICO: IL CASO INTESA SANPAOLO

Candidata

Relatore

Perricone Monica

Chiar.ma Prof.ssa Elena Bruno

INTRODUZIONE

2

Capitolo Primo: I RISCHI FINANZIARI NELLE BANCHE

4

1.1 Il rischio bancario

4

1.2 Il nuovo Accordo sul capitale (Basilea II)

6

1.3 La crisi 2007-2008 e le corresponsabilità di Basilea II

7

1.4 Basilea III e le sue finalità

10

1.5 L’architettura di Basilea III: il Primo Pilastro

12

1.5.1 Il Regolamento (CRR)

13

1.5.1.1 Leva finanziaria

14

1.5.1.2 Indici di liquidità

15

1.5.2 La Direttiva (CRD IV) e le riserve di capitale

20

1.6 I rischi di Pillar I

22

1.6.1 Il rischio di credito

22

1.6.1.1 Metodologie di calcolo previste per il rischio di credito

25

1.6.2 Rischio di mercato

28

1.6.2.1 Metodologie di calcolo del rischio di mercato

33

Capitolo Secondo: IL RISCHIO OPERATIVO

37

2.1 Definizione e peculiarità del rischio operativo

37

2.2 Metodologie di calcolo del rischio operativo

40

2.2.1 Basic Indicator Approach (BIA)

41

2.2.2 Traditional Standardised Approach (TSA)

42

2.2.3 Advanced Measurement Approach (AMA)

45

Capitolo terzo: IL RISCHIO INFORMATICO

50

3.1 Definizione ed evoluzione del rischio informatico

50

3.2 L’analisi del rischio informatico

54

3.3.1 La Policy in tema di sicurezza informatica

56

3.3.2 La sicurezza delle informazioni e delle risorse informatiche

58

3.4 CERTFin

60

Capitolo Quarto: IL CASO INTESA SANPAOLO

62

4.1 Principi generali

62

4.2 Modello di riferimento

65

4.3 Definizione del contesto di analisi

66

4.3.1 Obiettivi

66

4.3.2 Vincoli

67

4.3.3 Perimetro

68

4.3.4 Ruoli e responsabilità

68

4.3.5 Criteri di valutazione dei rischi

70

4.3.6 Modello operativo

71

4.4 Individuazione degli elementi di rischi

72

4.5 Stima degli elementi di rischio

74

4.6 Valorizzazione e valutazione del rischio

76

4.7 Gli attori del Sistema dei Controlli Interni: gli organi societari

77

4.8 Servizio Information Security e Business Continuity

82

4.9 Il processo di governo del rischio ICT

83

4.9.1 Identificazione

83

4.9.2 Valutazione

85

4.9.3 Monitoraggio e Controllo

85

4.9.4 Mitigazione

86

4.9.5 Comunicazione

86

4.10 Indirizzo e Coordinamento delle società del gruppo 87

1 INTRODUZIONE

Negli ultimi anni lo sviluppo dell’informazione, delle tecnologie e delle comunicazioni ha esposto gli intermediari ad una serie di rischi tra cui, uno dei più rilevanti, è sicuramente il rischio informatico. Di conseguenza l’adozione, da parte delle banche, di efficaci ed efficienti politiche di sicurezza informatica ha acquistato nel tempo una rilevanza cruciale per garantire la stabilità dell’intermediario stesso. Per rafforzare la capacità di gestire i rischi aziendali a cui sono esposte, è necessario che le banche si dotino di un sistema di controlli interno opportuno, funzionale ed efficiente. Purtroppo la crisi del 2007/08 ha mostrato la difficoltà degli intermediari di gestire in modo adeguato le diverse tipologie di rischio e di reagire velocemente a circostanze critiche. A fronte di ciò, la tesi si propone di analizzare l’intero processo di gestione dei rischi, nello specifico del rischio informatico, considerando non solo gli aspetti organizzativi della sicurezza informatica, ma anche la gestione delle risorse tecnologiche, informative ed umane.

In particolare, il primo capitolo esamina i vari rischi a cui è esposta la banca evidenziando gli effetti della crisi del 2007/08. In questo contesto, svolge un ruolo fondamentale il Comitato di Basilea che, attraverso i suoi accordi, mira a: rafforzare la sicurezza e la stabilità del sistema finanziario; stabilire degli standard minimi di vigilanza prudenziale; diffondere e promuovere migliori pratiche bancarie e di vigilanza; promuovere la cooperazione internazionale in materia di vigilanza prudenziale. Vengono analizzati inoltre le “novità di Basilea III”, approfondendo i rischi che fanno parte del primo pilastro, ovvero il rischio di credito e rischio di mercato.

Il secondo capitolo considera nello specifico il rischio operativo, un rischio che ha sempre causato non pochi problemi agli intermediari per la sua principale caratteristica, ovvero quella di essere un rischio che, a differenza degli altri, non viene associato ad uno specifico ambito operativo ma piuttosto si riferisce all’intero sistema bancario. Per questo motivo, il Comitato di Basilea prevede tre metodologie di calcolo affinché gli intermediari possano gestire in modo adeguato il rischio operativo.

2 Il terzo capitolo analizza il rischio informatico che, soprattutto negli ultimi anni, ha progressivamente aumentato i propri effetti causando varie difficoltà per gli intermediari1. Viene specificato il processo di analisi di questa tipologia di rischio attraverso il quale l’intermediario può: individuare le minacce informatiche che possano minare la propria funzionalità; determinare gli impatti di queste nel momento in cui si manifestano ed infine identificare e procedere alla realizzazione di misure di mitigazione idonee.

Infine, l’ultimo capitolo esamina le modalità di gestione del rischio informatico da parte dell’istituto bancario “Intesa Sanpaolo”. Vengono descritti l’insieme dei principi e delle regole utilizzati da questo intermediario per identificare e misurare i rischi in ambito ICT a cui sono esposti gli asset aziendali, valutare i presidi esistenti ed individuare le adeguate modalità di trattamento di tali rischi, prevedendo, ove necessario, opportuni interventi di mitigazione per ridurne i livelli ai limiti prestabiliti.

1

Banca d’Italia “Nuove disposizioni di vigilanza prudenziale per le banche”, Circolare 286/06, Cap. 8, “L’analisi del rischio informatico”.

3 Capitolo Primo

I RISCHI FINANZIARI NELLE BANCHE 1.1 IL RISCHIO BANCARIO

Il d.lgs. n. 385/1993, o «Testo Unico delle leggi in materia bancaria e creditizia», al Titolo II, art.10, in materia di definizione dell’attività bancaria stabilisce che: “La raccolta di risparmio tra il pubblico e l’esercizio del credito costituiscono l’attività bancaria. Essa ha carattere d’impresa2_{”. Quindi, l’attività bancaria nella sua complessità determina due} principali eventi: guadagni e rischi. Entrambi hanno natura e portata differente, variando in base all’intensità operativa bancaria nei comparti di riferimento. Ad esempio, appare chiaramente come all’aumentare o al diminuire dell’attività di intermediazione finanziaria aumentino o diminuiscano i rischi ad essa connessi. Poiché la rischiosità può essere estremamente variegata, la banca deve adoperarsi per far fronte alle possibili perdite in primis con il capitale e, in secondo luogo, con altri mezzi, per espletare la sua principale funzione di gestione del rischio. Il capitale assume un ruolo centrale a causa della pluralità dei suoi aspetti (redditività, regolamentazione, strategia, governance) i quali, se declinati nell’ambito regolamentare, influenzano l’assetto complessivo del funzionamento bancario3

. In tal senso risulta fondamentale la compatibilità tra l’assunzione dei rischi da parte della banca e il requisito della stabilità, dove quest’ultimo viene garantito dai mezzi patrimoniali e dai livelli reddituali dell’istituto bancario4

.

È in questo contesto che entra in funzione l’Autorità di Vigilanza, con il compito di evitare che eventuali situazioni di crisi possano estendersi progressivamente da una istituzione creditizia ad un’altra, riuscendo in tal modo a scongiurare il verificarsi del rischio sistemico. È pertanto evidente la necessità di uniformare la metodologia di vigilanza tra i vari operatori poiché, in assenza di un framework normativo ben definito, questi non usufruiscano di

2

Decreto Legislativo 1° settembre 1993, n. 385, «Testo Unico delle leggi in materia bancaria e creditizia», versione aggiornata al decreto legislativo 14 novembre 2016, n. 223.

3

P. Leone, P. Porretta, F. Tutino (a c. di), Il Governo dei Rischi in Banca. Nuove tendenze e nuove sfide, Wolters Kluwer Italia, Milanofiori Assago, 2016, p. 1.

4

F. Lenoci, S. Peola, Nuova Centrale dei Rischi. Come leggerla, rielaborarla e interpretarla, Wolters Kluwer Italia, Milanofiori Assago, 2011, p. 25.

4 norme meno rigorose5. Il compito di stabilire delle linee guida adeguate per la regolamentazione dei rischi in ambito creditizio viene svolta dal Comitato di Basilea per la vigilanza bancaria. Il Comitato di Basilea è un’organizzazione internazionale istituita dai governatori delle Banche Centrali dei paesi G10 nel 1974, con l’obiettivo di:

 rafforzare la sicurezza e l’affidabilità del sistema finanziario;

 stabilire degli standard minimi in materia di vigilanza prudenziale;

 diffondere e promuovere migliori pratiche bancarie e di vigilanza;

 promuovere la cooperazione internazionale in materia di vigilanza prudenziale. Benché il comitato non possieda capacità normativa autonoma i paesi aderenti sono implicitamente vincolati agli accordi raggiunti, mentre i non aderenti devono adeguarsi a quello che di fatto assume il rango di standard regolamentare. L’obiettivo principale è quello di favorire la collaborazione internazionale per il raggiungimento della stabilità monetaria e dei mercati finanziari. A tal fine il Comitato ha emesso l’Accordo sul Capitale (The Basel Capital Accord, o Basilea I) nel 1988, per poi procedere alla sua revisione con il Nuovo Accordo sul Capitale (Basel II, o Basilea II) nel 2004. L’accordo Basilea II è stato successivamente sostituito con Basel III (Basilea III), stipulato nel 2013.

L’accordo Basilea I è stato promulgato dal G10 nel 1992. Questo definisce i requisiti di capitalizzazione delle banche e contiene la prima definizione e la prima misura standard del capitale minimo bancario, entrambe accettate a livello internazionale. L’assunto di fondo è che a ciascuna operazione di prestito deve corrispondere una quota di capitale regolamentare da detenere a scopo precauzionale, ovvero il cosiddetto “onere di capitale”. Il capitale obbligatorio si determina confrontando l’entità del capitale, o patrimonio di vigilanza, e l’ammontare delle attività bancarie impiegate nella concessione di prestiti ponderate per il rischio di credito (RWA). Per un gruppo bancario, il patrimonio di vigilanza bancario deve essere pari ad almeno l’8% delle attività creditizie ponderate per il rischio di credito (coefficiente di solvibilità). L’accordo di Basilea obbligava le banche ad accantonare l’8% del capitale erogato non investibile in attività creditizia tipica, né in attività para-assicurative, né in operazioni finanziarie sui mercati mobiliari, al fine di garantire solidità e fiducia nel sistema creditizio. Basilea I risultò non essere sufficiente per il calcolo dei

5 requisiti patrimoniali minimi, in quanto prendeva in considerazione esclusivamente il rischio di credito (in RWA rientravano solo i crediti ponderati per il rischio). Il Comitato di Basilea ha ritenuto pertanto fondamentale operare una revisione dell’accordo nel 2004.

1.2 IL NUOVO ACCORDO SUL CAPITALE (Basilea II)

L’accordo Basilea II nella sua versione definitiva è stato firmato nel 2004 ed è entrato in vigore nel 2007, con una proroga di un anno concessa alle banche che hanno adottato il metodo advanced6. Lo scopo dell’accordo è duplice: assicurare la stabilità del sistema bancario e modificare il rapporto tra banca e impresa. Quest’ultimo deve essere basato su un vincolo di fiducia reciproca, all’interno del quale lo scambio di informazioni reali deve essere continuamente aggiornato in modo da favorire l’effettiva capacità di produrre reddito e raggiungere obiettivi sul lungo termine. Basilea II imponeva un limite al livello di rischiosità dei prestiti e, contemporaneamente, al di sotto di una determinata soglia di rischio non poneva restrizioni alla quantità di denaro che un istituto di credito poteva erogare. In altre parole, se la concessione di un prestito non presentava un alto tasso di rischio, la banca non si poneva limiti sull’erogazione del denaro, mentre con un tasso di rischio molto elevato il prestito non veniva concesso. Gli accordi hanno elevato la riserva frazionaria delle banche al 2% e fissato il coefficiente di solvibilità all’8%. Tale coefficiente fissa l’ammontare minimo di capitale che le banche devono possedere in rapporto al complesso delle attività ponderate in base al loro rischio. In altri termini, è una frazione il cui numeratore è dato dall’ammontare di patrimonio di cui dispone una banca, ed il denominatore dall’ammontare delle attività ponderate per classi di rischio. I requisiti minimi patrimoniali devono coprire le perdite inattese dovute a tre rischi: rischio di credito, rischio di mercato, rischio operativo (che ne rappresenta la maggiore novità).

Basilea II definisce tre elementi sostanziali, o pilastri: 1) requisiti patrimoniali minimi;

2) processo di controllo prudenziale; 3) disciplina di mercato.

6 Il primo pilastro è costituito dal patrimonio di vigilanza e dai suoi criteri di definizione. Ogni banca deve possedere una quota minima di patrimonio economico in grado di sopperire ad eventuali perdite sul portafoglio creditizio, in modo tale da garantire la continuità aziendale. Si traccia così un filo rosso tra la struttura patrimoniale delle banche e quella delle imprese, dove la solidità dell’istituto bancario diventa strettamente legato a quella delle imprese. Quindi, il patrimonio regolamentare deve essere maggiore dell’8% dell’ammontare delle attività ponderate per le tre classi di rischio, ovvero rischio di credito, rischio di mercato e rischio operativo.

Il secondo pilastro, il controllo prudenziale, promuove la collaborazione tra banche e Autorità di Vigilanza Nazionali chiamate a dare un giudizio sull’adeguatezza del controllo dei rischi approvato da ciascuna banca. In particolare, viene introdotto un processo interno di determinazione dell’adeguatezza patrimoniale (ICAAP), che richiede alle banche di dotarsi di processi e strumenti per determinare il livello di capitale interno adeguato a far fronte ad ogni tipologia di rischio.

L’ultimo pilastro, la disciplina di mercato, è relativo alla trasparenza informativa, quindi induce a migliorare le capacità di valutazione del sistema bancario nei confronti delle imprese tramite sistemi ad hoc in grado di acquisire un volume di informazioni maggiore rispetto al passato. Il terzo pilastro introduce l’obbligo di rendere edotto il pubblico, con apposite tabelle informative, sull’adeguatezza patrimoniale degli istituti bancari, sull’esposizione ai rischi e sulle caratteristiche generali dei sistemi di gestione, controllo e monitoraggio dei rischi stessi7.

1.3 LA CRISI 2007-2008 E LE CORRESPONSABILITA’ DI BASILEA II

Nell’estate del 2007 ha avuto inizio una crisi finanziaria che, per profondità e ampiezza, è stata la più intensa della storia recente. L’analisi degli eventi che si sono registrati nel successivo triennio è alla base delle attività condotte dagli organismi internazionali per individuare e promuovere interventi volti a prevenire nuovi episodi8.

L’origine della crisi però è da ricondursi al 2006, quando negli Stati Uniti cominciò ad aumentare in modo significativo, da parte delle banche, l’erogazione dei mutui subprime

7

F. Lenoci, S. Peola, cit., pp. 29-30.

7 ovvero mutui erogati a clienti definiti “ad alto rischio”. Stando infatti alla definizione fornita dal sito di Borsa Italiana «sono chiamati subprime perché a causa delle loro caratteristiche e del maggiore rischio a cui sottopongono il creditore sono definiti di qualità non primaria, ossia inferiore ai debiti primari (prime) che rappresentano dei prestiti erogati in favore di soggetti con una storia creditizia e delle garanzie sufficientemente affidabili»9. L’erogazione di questi mutui ha pertanto determinato una riduzione del valore reale degli immobili e un corrispettivo rialzo dei tassi d’interesse, che ha condotto a situazioni nelle quali il valore dell’immobile risultava addirittura inferiore al valore del debito stesso. La conseguenza immediata di questo processo è stata la diffusione all’interno del mercato della notizia secondo la quale i debitori non sarebbero stati in grado di assolvere il proprio debito, provocando il crollo delle obbligazioni garantite dai prestiti. Il reale problema introdotto dalla crisi si concretizzava in una illiquidità del mercato, ovvero il passaggio da un mercato caratterizzato da un’abbondanza di liquidità ad una situazione completamente opposta. L’illiquidità ha generato, inoltre, ulteriori situazioni critiche in altri settori delle gestioni bancarie, evidenziando come le mancanze della regolamentazione andassero ad influire anche sul nesso tra il rischio di liquidità e tutti gli altri rischi (rischio di mercato e rischio di default maggiormente).

Nelle fasi iniziali della crisi il mercato bancario italiano non aveva avuto un vero e proprio coinvolgimento poiché, l’essere basato su un’attività di intermediazione creditizia piuttosto che finanziaria, lo aveva inizialmente reso estraneo alle perdite. Inizialmente i paesi pensavano di poter risolvere individualmente la crisi, ma il dissesto della Lheman Brothers ha determinato la volontà di agire in modo unitario. Tra il 2007 e il 2008 la crisi, inizialmente circoscritta all’area statunitense, si è infatti propagata in tutto il mondo a causa della presenza degli intermediari rilevanti a livello sistemico. La conseguenza principale è stata il blocco del mercato interbancario, ovvero quel mercato dove l’intermediario fronteggia esigenze di tesoreria e di liquidità, che si è ritrovato sostanzialmente prosciugato per una mancanza di fiducia da parte di coloro che vi partecipano. Le uniche operazioni che continuavano ad esistere erano quelle estremamente onerose, ossia con scadenze contenutissime e tassi molto elevati. In questo framework andava quindi ad inserirsi

9

8 l’accordo Basilea II che, ideato nel 2004 ma entrato in vigore tre anni più tardi, dimostrava la sua inadeguatezza.

Basilea II presenta delle corresponsabilità naturali dovute al fatto che, al momento in cui l’accordo è stato realmente attuato, l’ambiente esterno era già profondamente mutato. Queste cosiddette “corresponsabilità” sono:

 eccessivo grado di indebitamento degli intermediari, a seguito di un rapporto sbilanciato tra capitali propri e capitali di terzi (eccessivo uso della leva finanziaria);

 inadeguatezza del capitale, inteso come patrimonio di vigilanza sia in termini quantitativi (volumi) sia qualitativi10;

 rischio di liquidità;

 problema delle istituzioni rilevanti a livello sistemico;

 effetto prociclico.

Per quanto riguarda il rischio di liquidità, notiamo come la sua insufficienza è stato un problema fondamentale che ha fatto emergere altre distorsioni. Infatti, la necessità di creare dei buffer di liquidità è di primaria importanza nell’Accordo Basilea III. Le istituzioni, invece, sono le maggiori responsabili della diffusione della crisi nel 2008, perché la propagazione di quest’ultima su scala globale è dovuta in buona parte alla presenza di intermediari che svolgono operazioni in tutto il mondo. L’effetto prociclico è, invece, il fenomeno che amplifica gli effetti di una congiuntura economica. In un sistema regolamentare basato sulla sensibilità al rischio, in momenti di congiunture positive le banche che adottano tecniche evolute di calcolo del rischio, avendo disponibilità superiori dovute ad una percezione bassa del rischio, tendono a concedere molti prestiti (problema dell’eccesso di liquidità). In momenti di congiunture negative, invece, il rischio avvertito è maggiore; quindi, le banche tenderanno a concedere meno prestiti e, se tutte le banche adottassero questo comportamento si verificherebbe il fenomeno del credit crunch (stretta

10 _{Il patrimonio di vigilanza si formava come una somma algebrica di elementi positivi (poste che rappresentano una}

fonte, ovvero le risorse utilizzate per dare copertura ad un’eventuale perdita) ed elementi negativi (deduzioni ai fini prudenziali). In pratica, potevano essere inseriti nel patrimonio di vigilanza strumenti che si configuravano come strumenti di debito, ma che, formalmente, venivano considerati come fonti permanenti. Questi venivano quindi inseriti dalla banca nel patrimonio di vigilanza qualora avessero rispettato dei requisiti formali richiesti dalle autorità di vigilanza (strumenti innovativi e ibridi di patrimonializzazione). Di fatto, il patrimonio risultava debole sia in termini qualitativi, perché costituito da voci che non possedevano le adeguate caratteristiche per dare copertura alle perdite, sia in termini di volumi specialmente per gli istituti di grandi dimensioni, in quanto gli intermediari tendevano ad avere una dotazione patrimoniale molto vicina al limite minimo consentito per legge.

9 creditizia)11. Il Comitato di Basilea sapeva che Basilea II avrebbe potuto favorire il fenomeno della prociclicità, richiedendo un capitale maggiore in caso di congiuntura negativa e viceversa. Tuttavia, guardando all’intero sistema delle banche, in momenti negativi la liquidità del mercato viene ridotta drasticamente, perciò la “colpa” di Basilea II è stata quella di non considerare il fenomeno in un’ottica macroprudenziale. Inoltre, l’adeguatezza del capitale deve essere un obbligo per qualsiasi azienda. Le aziende hanno la necessità di misurare la propria rischiosità e sapere dove poter reperire le risorse per coprire eventuali perdite. Se questo è vero per qualsiasi impresa, per la banca lo è ancora di più a causa della sua particolare attività svolta soprattutto per quanto concerne la fiducia all’interno del mercato. Questa è la logica alla base della normativa di Basilea II, ma la crisi del 2008 ha evidenziato che una buona misura microprudenziale non è necessariamente una buona misura di vigilanza macroprudenziale.

1.4 BASILEA III E LE SUE FINALITA’

Basilea III è intervenuta sulle corresponsabilità precedentemente trattate secondo un iter ben preciso che si è articolato con una serie di interventi dal 2009 al 2014, con ulteriori aggiornamenti in tempi più recenti. Le finalità di Basilea III sono:

 il rafforzamento della capacità di assorbimento delle banche di shock derivanti da tensioni finanziarie ed economiche indipendentemente dalla loro origine;

 il miglioramento della gestione del rischio e della governance;

 il consolidamento della trasparenza e dell’informativa delle banche a fronte degli insegnamenti della crisi;

 la gradualità nell’entrata in vigore delle misure prudenziali;

 riforme micro e macro prudenziali.

L’obiettivo di Basilea III è quello di porre rimedio alle lacune mostrate dal precedente accordo. Il rimedio pensato per risolvere la situazione mira ad eliminare l’incapacità degli intermediari di assorbire le perdite in momenti di crisi. La ratio di Basilea III è proprio

11

Credit crunch: termine inglese («stretta creditizia») che indica una restrizione dell’offerta di credito da parte degli intermediari finanziari (in particolare le banche) nei confronti della clientela (soprattutto imprese) in presenza di una potenziale domanda di finanziamenti insoddisfatta. www.treccani.it/enciclopedia/credit-crunch_(Dizionario-di-Economia-e-Finanza)/, data di ultima consultazione 27 maggio 2017.

10 quella di cercare di intervenire sulla resilienza12 degli intermediari a fronte di situazioni di crisi generalizzata. Viene così ridimensionata la manovrabilità del management bancario in merito all’accantonamento di capitale; questo si riversa sulla capacità reddituale dell’intermediario e sulla sua operatività. Nel migliorare la gestione del rischio è stata migliorata anche la governance bancaria, ovvero sono stati potenziati alcuni settori del sistema dei controlli interni (SCI)13. Infatti nel sistema di controlli interni troviamo una “piramide di controlli” articolata su tre livelli: il primo livello, o front office, riguarda i controlli inseriti nelle procedure e nel sistema informativo dell’intermediario bancario; il secondo livello trova attuazione nella funzione di risk management e nella compliance, funzione che deve presidiare al cosiddetto rischio di non conformità; infine, il terzo e ultimo livello riguarda la funzione di Internal Audit (IA),cioè funzione di supervisione interna. In sostanza occorre valutare l’adeguatezza della governance e della struttura interna perché condizionano l’output del processo di risk management. Per consolidare l’informativa e la trasparenza delle banche, il Comitato di Basilea attraverso Basilea III mantiene l’approccio basato su tre pilastri, come in Basilea II, integrandoli e rafforzandoli al fine di:

 accrescere la quantità e qualità della dotazione di capitale degli intermediari;

 introdurre strumenti di vigilanza anticiclici, norme sulla gestione del rischio di liquidità e sul contenimento della leva finanziaria.

Si prevede una gradualità nell’entrata in vigore delle diverse misure prudenziali che caratterizzano Basilea III per evitare di incorrere in uno degli errori principali che ha contraddistinto Basilea II, e cioè pensare che una misura ideata in un determinato periodo temporale possa essere valida anche in seguito; infatti è previsto un arco temporale che va dal 2013 al 2019.

12

«(…) gli urti della crisi finanziaria del 2007-2008 hanno portato la ‘resilienza' anche nel gergo della finanza. E i reggitori della politica economica si chinano sul problema di come migliorare la ‘resilienza', cioè la capacità di resistere agli urti, del sistema finanziario nel suo complesso. Per esempio, il «Financial stability forum» - un gruppo che mette insieme autorità monetarie e di regolazione dei mercati di 26 Paesi – ha scritto nel più recente rapporto che la crisi dei mutui ha rivelato come fosse stata sopravvalutata la ‘resilienza' del sistema finanziario, e ha presentato, nell'aprile 2008, una serie di provvedimenti volti a migliorala.». http://www.ilsole24ore.com/art/SoleOnLine4/100-parole/Economia/R/Resilienza.shtml?uuid=f13993b8-5806-11dd-93cb-a54c5cfcd900&DocRulesView=Libero, data ultima consultazione 10 ottobre 2017.

13

Basilea II era infatti molto focalizzato sull’evoluzione del risk management, cioè tutti gli aspetti che riguardano misurazione, quantificazione, gestione, controllo e mitigazione del rischio. Il risk management è un processo trasversale all’interno della banca e, dall’introduzione di Basilea II, è diventato un aspetto importante nelle risorse umane che è stato valorizzato dall’introduzione di modelli evoluti che enfatizzano la correlazione tra capitale e rischio. Basilea II è stato molto ligio nei confronti delle prassi operative ed è andato allineandosi a quelle che erano le esigenze gestionali degli intermediari, adottandone a volte gli strumenti.

11 1.5 L’ARCHITETTURA DI BASILEA III: IL PRIMO PILASTRO

Basilea III ricalca la struttura di Basilea II poiché si mantiene l’impostazione dei tre pilastri anche se, in qualche modo, tale suddivisione non è così netta: in Basilea II è molto più visibile, difatti si parla di inadempimenti del primo, del secondo e del terzo pilastro. In Basilea III si conserva questa articolazione ma non è più così centrale e tutte e tre le leve vengono rafforzate principalmente per intensificare la capacità del patrimonio di assorbire le perdite, e quindi: accrescere la quantità e la qualità della dotazione del capitale, introdurre misure anticicliche, misure sulla gestione del rischio di liquidità e norme sul contenimento della leva finanziaria.

Il primo pilastro è stato rafforzato da una maggiore armonizzazione del capitale e più elevati requisiti patrimoniali. Per analizzare la reale rischiosità di alcune attività sono stati introdotti:

 più stringenti requisiti patrimoniali ed è stata diffusa una nuova definizione di patrimonio di qualità più elevata incentrata essenzialmente sul Common Equity, composto perlopiù da azioni ordinarie con relativo sovraprezzo e da riserve di utili14;

 sono state imposte riserve addizionali per garantire la solidità delle banche rispetto a dinamiche procicliche: nello specifico la riserva di conservazione del capitale e la riserva di capitale anticiclica;

 è stato previsto un limite alla leva finanziaria;

 sono stati introdotti requisiti e sistemi di supervisione del rischio di liquidità incentrati su un requisito di liquidità a breve termine (Liquidity Coverage Ratio- LCR) e su una regola di equilibrio strutturale a lungo termine (Net Stable Funding Ratio- NSFR), oltre che su principi per la gestione e supervisione del rischio di liquidità a livello di singola banca e di sistema.

Tutte le misure prudenziali elencate hanno una caratteristica in comune, e cioè sono tutte misure che hanno una natura quantitativa ovvero hanno come leva di intervento degli standard quantitativi.

12 I requisiti patrimoniali per le banche e le imprese d'investimento fanno parte del codice unico dell'Unione Bancaria e attuano l'Accordo Basilea III, vale a dire le norme sull'adeguatezza patrimoniale delle banche concordate a livello internazionale, previste dalla normativa europea. Le norme sono contenute all’interno del Regolamento (regolamento sui requisiti patrimoniali - CRR) e della Direttiva (direttiva sui requisiti patrimoniali - CRD IV), ed esse si applicano in tutti gli Stati membri dell'UE a partire dal 1º gennaio 201415.

1.5.1 IL REGOLAMENTO (CRR)

Il Regolamento (UE) n. 575/2013 (Capital Requirement Regulation ) disciplina gli istituti di vigilanza prudenziale del Primo Pilastro, quindi stabilisce:

 requisiti prudenziali in materia di fondi propri;

 requisiti prudenziali in materia di liquidità;

 rischio di credito per le imprese di investimento e le banche;

 regole sull’informativa al pubblico che riguardano il Terzo Pilastro.

Il Regolamento ha diretta efficacia negli Stati membri dell’Unione Europea e obbliga le banche ad accantonare capitale sufficiente per coprire perdite inattese e rimanere solvibili in situazioni di crisi. L’ammontare del capitale, espresso in percentuale, avrà origine dalle attività ponderate per il rischio di una determinata banca, ciò vuole dire che, ad attività più sicure è conferita un’allocazione di capitale minore, viceversa, ad attività più rischiose sarà attribuita un’allocazione di capitale maggiore. Questo capitale è determinato dalla somma tra il capitale di classe 1 (Tier1) e il capitale di classe 2 (Tier2). Il Tier1 deve assicurare la copertura delle perdite nelle normali condizioni di gestione e garantire la normale operatività dell’intermediario; viene definito anche “on going concern capital” ovvero capitale in grado di assorbire le perdite senza che la banca vada in liquidazione. Il capitale di classe 1 è individuato dalla somma del Core Tier1 (Common Equity) o capitale primario di classe 1 e l’Additional Tier1. Il primo elemento (CET1), serve a garantire l’adeguatezza del capitale, ed è rappresentato da azioni, sovrapprezzi azioni, utili non distribuiti, fondi per

15

http://www.consilium.europa.eu/it/policies/banking-union/single-rulebook/capital-requirements/ , data ultima consultazione 16 ottobre 2017.

13 rischi generali, aggiustamenti regolamentari (deduzioni, rettifiche e filtri prudenziali). Vengono riconosciuti come elementi che caratterizzano il CET1 solo quelli utilizzabili senza restrizioni dall’ente per la copertura dei rischi o delle perdite nell’ istante in cui questi si verificano. L’Additional Tier1, o capitale aggiuntivo di classe 1, invece è composto da strumenti di capitale, sovrapprezzi su emissioni relativi ai suddetti strumenti e detrazioni. Attraverso il Common Equity e l’Additional Tier1, quindi attraverso il Tier1, l’intermediario deve riuscire ad assicurare l’assorbimento delle perdite in condizioni normali e fisiologiche. Il Tier 2 è il cosiddetto “on gone concern capital”, in altre parole, capitale in grado di assorbire le perdite solo se la banca viene messa in liquidazione, ed è composto da strumenti di capitale e da prestiti subordinati. Con quest’ultimo termine si intendono i prestiti assistiti, fin dall’atto della stipulazione, dalla c.d. clausola di subordinazione. Questo implica che, in caso di liquidazione o di procedura concorsuale, il rimborso del capitale è condizionato all’integrale soddisfacimento di tutti gli altri creditori non egualmente subordinati. Dall’altra parte però, la stipulazione di tali prestiti è conveniente in quanto essi godono di remunerazione a tassi superiori rispetto a quelli correnti. Non vi sono delle nette distinzioni tra gli elementi appena analizzati cioè Common Equity, Additional Tier1, Tier1 e Tier2, ma troviamo soltanto delle sfumature che comportano una leggera diminuzione del grado di permanenza e stabilità della risorsa ammessa a far parte del capitale. L'importo totale del capitale che le banche e le imprese di investimento hanno l'obbligo di detenere dovrebbe essere pari almeno all'8% delle attività ponderate per il rischio. Il 4,5% di queste attività dovrebbe essere rappresentato dal capitale primario di classe 1 che delinea la percentuale di qualità di capitale elevatissima. I valori dei requisiti patrimoniali che devono essere rispettati dagli Stati membri dell’UE sono:

 Common Equity Tier1= 4,5%;

 Tier1=6%;

 Total Capital=8%.

Questi requisiti sono destinati a fronteggiare un determinato rischio o componente del patrimonio.

14 1.5.1.1 LEVA FINANZIARIA

Parlando di capitale non si può non parlare di leva finanziaria che rappresenta, sotto certi aspetti, insieme ai requisiti di liquidità, una tra le principali novità di Basilea III. Attraverso l'utilizzo della leva finanziaria (o "leverage") un soggetto ha la possibilità di acquistare o vendere attività finanziarie per un ammontare superiore al capitale posseduto e, conseguentemente, di beneficiare di un rendimento potenziale maggiore rispetto a quello derivante da un investimento diretto nel sottostante e, di converso, di esporsi al rischio di perdite molto significative16. Ciò vuol dire che, le banche dovranno calcolare il proprio coefficiente di leva finanziaria, dato dal rapporto tra il Tier1 (capitale di classe 1) e l’esposizione complessiva dell’intermediario pari al totale delle attività delle banche, cioè le attività in e fuori il bilancio (Total Asset - TA). TA è una grandezza che viene utilizzata per misurare la dimensione di un intermediario ma non la sua rischiosità. Essa era infatti valutata dalle attività ponderate per il rischio (RWA), che rapportate al capitale, suggerivano anche la capacità di patrimonializzazione del singolo intermediario. Il passare del tempo ha, però, messo in evidenza la fallacia di questo sistema, soprattutto in quei casi in cui gli intermediari utilizzavano modelli evoluti per il calcolo del singolo rischio (quindi modelli interni), diminuendo al minimo gli RWA, per accantonare meno capitale. La discrezionalità di autonomia che i modelli interni lasciano agli intermediari, ha fatto sì che venissero adottati dalle grandi banche, dotate di ingenti risorse finanziarie, a discapito dei piccoli intermediari, scatenando una notevole instabilità. La crisi ha palesato il ruolo del rapporto di leverage di taluni intermediari quale principale causa di questo dissesto, motivo per cui Basilea III introduce il leverage ratio, prevedendo l'obbligo di segnalazione a favore delle Autorità di Vigilanza del paese in cui gli intermediari operano, a partire dal 1° Gennaio 2015. Questa disposizione consente alle autorità europee di stabilire una misura che sia approvata e accettata da tutti gli Stati membri dell'UE, tentando di appianare le dispute riguardo al Total Asset con l’obiettivo di trasformare l’indice in requisito minimo nell’ambito del primo pilastro il 01/01/2018, dopo un’appropriata verifica e calibrazione.

16

15 1.5.1.2 INDICI DI LIQUIDITA’

Il rischio di liquidità è anche definito come “rischio dimenticato”, poiché prima della crisi non veniva preso in considerazione, e, di conseguenza non gestito. La causa è stata identificata con l’eccessiva liquidità presente sul mercato. Prima della crisi del 2007 il rischio di liquidità è cresciuto per diverse ragioni:

 internazionalizzazione e globalizzazione dei grandi gruppi finanziari;

 operazioni di cartolarizzazione, che aumentavano in maniera non controllata e si basavano essenzialmente sull’indebitamento;

 concentrazione tra grandi gruppi finanziari.

Il rischio di liquidità è stato il principale fattore di danno durante la crisi, creando situazioni estremamente pericolose, soprattutto in virtù del suo intreccio con il rischio di default e il rischio di mercato. La definizione odierna di rischio di liquidità è “rischio che una banca non sia in grado di fare fronte ai propri impegni di pagamento per l’incapacità sia di reperire fondi sul mercato (funding liquidity risk) sia di smobilizzare i propri attivi (market liquidity risk). La crisi ha messo in evidenza la ricerca di liquidità da parte dell’intermediario, non solo tramite i titoli (che da sempre hanno assunto la funzione “cuscinetto”) poiché facilmente riversabili su un mercato secondario, ma anche mediante i prestiti, tramite operazioni di cartolarizzazione, con la convinzione di poter far assorbire in ogni momento al mercato qualsiasi strumento. Non è stata esaminata l’eventualità che il mercato avrebbe potuto rigettare tutti i titoli, cartolarizzati e non. Le banche si sono focalizzate esclusivamente sulla raccolta di risorse tramite smobilizzazione dell’attivo, andando contro i principi della dottrina che, da sempre, suggerisce di valutare lo Stato Patrimoniale nella sua totalità. La diffusa inadeguatezza delle logiche sottostanti alla gestione del rischio li liquidità da parte di Basilea II ha fatto si che Basilea III introducesse due requisiti in materia di liquidità: Il Liquidity Coverage Ratio (LCR – Requisito di copertura della liquidità) indicatore di breve termine, il Net Stable Funding Ratio (NSFR – Requisito di finanziamento stabile) un indicatore strutturale. Il primo requisito obbliga le banche a detenere attività liquide che riescano a coprire i deflussi di liquidità meno gli afflussi di liquidità in condizioni di stress, ciò allo scopo di garantire riserve di liquidità adeguate per

16 fronteggiare possibili squilibri tra gli afflussi e i deflussi in condizioni di forte stress per un periodo di 30 giorni. In altri termini, si richiede agli intermediari di detenere una riserva diversificata e di alta qualità di attività liquide da usare a fronte del fabbisogno di liquidità, in caso di stress di liquidità a breve termine. Serve per andare a gestire quella asincronia, quel gap naturale, tra uscite ed entrate monetarie, ma anche a fronteggiare il gap in condizioni di stress; uno stress ipotizzato della durata di un mese. Viene anche detto indicatore di sopravvivenza, di autonomia perché è un indicatore che spinge le banche ad avere una certa autonomia finanziaria. Tutto ciò è possibile solo se le riserve di capitale sono di qualità estremamente elevata, differenziate ed estremamente liquide. Il Regolamento, come per la leva finanziaria, stabilisce, per lo sviluppo di questo requisito, un periodo di osservazione per procedere all’analisi di un’ampia gamma di attività di qualità per giungere poi ad una definizione che sia accettata da tutti gli Stati membri dell’UE per evitare grandi disparità tra i vari paesi. Dal 1°gennaio 2014 è previsto un periodo di monitoraggio della durata di un anno, durante il quale gli intermediari devono rispettare obblighi segnaletici riguardo la propria esposizione al rischio di liquidità. Anche in questo caso, la segnalazione all’Autorità di Vigilanza è indispensabile perché serve a quantificare il grado di rischiosità dell’intermediario. Il CRR impone su base individuale e consolidata di segnalare tutti gli elementi necessari a valutare il rischio di liquidità, tutto questo per consentire all’EBA e alla Commissione Europea17 _{di portare avanti l’iter per l’introduzione} delle disposizioni. Il requisito entrerà in vigore gradualmente: 60% il 1° ottobre 2015; 70% il 1° gennaio 2016; l’80% il 1° gennaio 2017; e infine il 100% il 1° gennaio 2018. L’indicatore è dato dal rapporto tra le attività liquide di elevata qualità, definite anche High quality Liquidity Assets e il totale dei deflussi di cassa netti, quindi deflussi meno afflussi, nei 30 giorni di calendario successivi; questo rapporto deve essere maggiore o uguale al 100%. Il rispetto di questo indicatore fa in modo che una banca abbia a disposizione un adeguato livello di High quality liquidity assets per poter fronteggiare uno scenario di stress particolarmente acuto specificato dalle Autorità di Vigilanza. In una situazione di tensione la banca potrà utilizzare le proprie risorse liquide, portando il proprio indicatore al di sotto

17 _{La Commissione europea è l'organo esecutivo dell'UE. Prende decisioni sull'orientamento strategico e politico della}

Commissione. La leadership politica della Commissione è affidata ad un gruppo di 28 commissari (“il collegio”). Ogni singolo commissario è competente per determinate politiche. La responsabilità di attuare queste politiche ricade sulle direzioni generali (DG). Il presidente è a capo della Commissione e ne determina l’agenda politica. I commissari, in collaborazione con il presidente, rivestono il ruolo di principali decisori politici all’interno della Commissione,

17 del 100%. Ciò dovrà essere comunicato all’Autorità di Vigilanza, e si dovrà predisporre di un piano di ripristino dell’indicatore al 100%. Il regolatore fornisce questa possibilità agli intermediari che si troveranno esposti ad un rischio di immagine, di mercato e di reputazione, dovendo comunicare anche al mercato che l ‘indicatore è diminuito. L'autorità di Vigilanza ipotizza uno scenario di stress ispirandosi alla crisi, combinando uno shock idiosincratico e di mercato che implichi: il prelievo di una quota di depositi al dettaglio; una parziale perdita della capacità di raccolta all’ingrosso non garantita; una parziale perdita della provvista garantita a breve termine relativamente a determinate garanzie e controparti; deflussi contrattuali aggiuntivi che discenderebbero da un declassamento fino a tre gradi del rating creditizio pubblico della banca; un aumento delle volatilità del mercato che influisca sulla qualità delle garanzie o sulla potenziale esposizione futura collegata alle posizioni in derivati e richieda quindi scarti di garanzia (haircut) più ampi o garanzie aggiuntive oppure induca un fabbisogno di liquidità di altra natura; utilizzi imprevisti di linee di liquidità e di credito irrevocabili non ancora utilizzate che la banca ha messo a disposizione dei clienti; la potenziale necessità per la banca di riacquistare titoli di debito o di onorare obblighi extracontrattuali allo scopo di attenuare il rischio di reputazione. Quindi, fondamentalmente, ipotesi di stress che si legano alla stabilità e qualità della raccolta e quindi alla capacità dell’intermediario di disporre delle risorse necessarie a far fronte ai propri impegni. Le attività liquide di elevata qualità e il numeratore, devono rispettare determinati criteri: devono essere facilmente liquidabili sui mercati (anche in periodi di tensione) e stanziabili presso la Banca Centrale; devono essere convertibili in contanti in modo facile e immediato con una perdita di valore modesta o nulla; devono avere un basso profilo di rischio cioè devono avere una rischiosità in termini di default e una duration molto contenute che non innalzino il profilo di rischio; devono essere attività la cui valutazione sia facile e caratterizzata da un certo grado di certezza, quindi non devono essere utilizzati modelli di valutazione che richiedano ipotesi comprensibili solo a pochi; infine non devono essere caratterizzati dalla tendenza di perdere valore nelle fasi di stress dei mercati. Il numeratore è identificato da attività classificate in tre livelli sulla base delle caratteristiche di liquidità:

 attività di primo livello;

18

 attività di secondo livello B.

Le prime sono le attività più liquide, che meglio realizzano la richiesta di “altamente liquida” che troviamo nella definizione di LCR, sono quasi sempre incluse in misura illimitata nelle attività a fronte della loro capacità e la loro rischiosità è altamente contenuta. Di questa categoria fanno parte le riserve presso le Banche Centrali e i titoli emessi da soggetti sovrani o garantiti da tali soggetti.

Le attività di secondo livello A possono essere usate fino ad un massimo del 40% e sono soggette ad un haircut minimo del 15%, comprendono, per esempio, titoli emessi da soggetti pubblici con ponderazione del 20% o titoli societari con ponderazione dello 0%.

Le attività di secondo livello B invece, possono essere usate fino ad un massimo del 15% e sono soggette ad un haircut tra il 25-50% includono, per esempio, titoli di debito societari con più basso rating.

Il denominatore è rappresentato: dal totale dei deflussi di cassa attesi (quindi i flussi di cassa in uscita), che non saranno considerati al loro valore nominale ma dovranno essere ottenuti moltiplicando le varie passività e impegni fuori bilancio per i tassi ai quali ci si attende il loro prelievo o utilizzo. Quindi l ‘applicazione di questi fattori di correzione deve far si che l’inclusione dei flussi tenga conto di quelle che sono le concrete aspettative dell’intermediario circa l’utilizzo delle passività. Stessa cosa, al contrario, vale per il totale degli afflussi di cassa attesi. In questo caso si moltiplicano i vari crediti contrattuali per i tassi ai quali ci si attende che affluiscano nello scenario in esame. Gli afflussi di cassa saranno computabili fino ad un massimo del 75% del totale dei deflussi di cassa attesi, per evitare che le banche dipendano unicamente dagli afflussi attesi per soddisfare il requisito di liquidità e per assicurare un livello minimo di disponibilità liquide.

LCR e NSFR sono stati definiti in una logica di complementarietà. L’obiettivo del secondo requisito è quello di promuovere un sistema bancario più solido e robusto attraverso la previsione del mantenimento di un profilo di provvista stabile in relazione alla composizione del loro attivo e delle loro operazioni fuori bilancio. Attraverso il NSFR, dunque, si vuole: evitare l’eccessivo ricorso al finanziamento all’ingrosso a breve termine; promuovere una migliore valutazione dei rischi di provvista di liquidità con riferimento a

19 tutte le poste (in e fuori bilancio); favorire la stabilità della raccolta. Questo indice intende quindi promuovere un rapporto equilibrato tra le fonti di finanziamento stabili (medio e lungo termine) e il fabbisogno di fondi a medio -lungo termine, determinato dalla scadenza (contrattuale o effettiva) degli attivi di una banca, inducendola a non fare eccessivo affidamento su risorse a breve termine per finanziare attivi e linee di business con scadenza più elevata. Per realizzare questa condizione, si richiede alle banche di rispettare il seguente requisito cioè, il rapporto tra le risorse finanziarie stabili (available stable funding – ASF) e il fabbisogno di risorse stabili (requie stable funding – RSF) deve essere sempre maggiore o uguale al 100%. L'obiettivo è quello di migliorare la sincronia tra le scadenze delle attività e delle passività, fortemente distorta dalla crisi. LCR e NSFR devono essere valutati in un’ottica di trasferimento di un equilibrio finanziario, uno di breve e uno di medio/lungo periodo e devono essere visti quali due standard complementari per realizzare quest’ultimo obiettivo. Il numeratore, l’ammontare disponibile di provvista stabile (fonti), rappresenta la porzione di patrimonio e passività che si ritiene risultino affidabili nell’arco temporale di un anno. Come abbiamo visto per il LCR, anche qui troviamo dei fattori di correzione, infatti ogni fonte sarà corretta in funzione di un fattore ASF. Il numeratore viene calcolato classificando il valore contabile delle fonti, ossia patrimonio e passività, in una determinata categoria; ogni ammontare inserito in ciascuna categoria viene ponderato per un preciso fattore di correzione; quindi il totale del numeratore corrisponderà alla somma degli importi ponderati. Per esempio, il patrimonio di vigilanza viene ponderato al 100%, scendendo e modificandosi le caratteristiche delle fonti, diminuirà anche la percentuale di ponderazione (passando al 95% per i depositi liberi e depositi a termini stabili). Si scende poi al 90%, al 50%, fino ad arrivare allo 0%. Per quanto riguarda il denominatore, l’ammontare obbligatorio di provvista stabile, si ricollega alle caratteristiche di liquidità e alla duration delle attività che sono detenute dalla banca, quindi non soltanto poste di bilancio ma anche fuori bilancio. Non si fa riferimento alle fonti, come nel caso del numeratore, ma al grado di liquidità delle attività. Si dovrà correggere il valore delle attività inserite in una determinata categoria moltiplicate per uno specifico fattore; quest’ultimo viene ancora applicato in funzione della vita residua o del grado di liquidità dell’attività stessa per ottenere il totale del denominatore. In linea con Basilea III, il NSFR è previsto come requisito a partire dall’ 01.01.2018, in seguito ad un periodo di osservazione.

20 1.5.2 LA DIRETTIVA (CRD IV) E LE RISERVE DI CAPITALE

La Direttiva 2013/36/UE (Capital Requirement Directive), recepita nell’ordinamento interno degli Stati membri dell’Unione Europea, riguarda:

 le condizioni per l’accesso all’attività bancaria;

 la libertà di stabilimento e la libera prestazioni di servizi;

 il processo di controllo prudenziale;

 le riserve patrimoniali addizionali.

L’esigenza di rafforzare la solidità delle banche rispetto a dinamiche procicliche ha indotto il Comitato di Basilea a prevedere l’imposizione di due riserve: la riserva di conservazione del capitale e la riserva di capitale anticiclica. Queste si aggiungono ai requisiti in materia di fondi propri per assicurare che, nei periodi di crescita economica, venga accumulato capitale sufficiente a coprire le perdite nei periodi di stress. Con l’introduzione delle riserve di capitale si cerca di risolvere il problema della prociclicità, quindi il problema del razionamento del credito da parte dell’intero sistema bancario. Questo si realizza nella misura in cui il framework prevede un impianto risk sensitive, un impianto che va a stabilire la dotazione di capitale in un modo sostanzialmente in linea con l’effettiva rischiosità. Più si accentua questo aspetto e più si osserva la sensibilità e reattività dell’intermediario nella concessione dei finanziamenti e nella loro onerosità. Quando tutto il sistema si muove nella stessa direzione si origina il fenomeno noto come Credit Crunch, quindi, si “asciuga” il mercato del credito soprattutto per le piccole imprese. Ciò che è mancata è stata la considerazione macroprudenziale della misura perché, quando Basilea II ha costruito un modello basato sui modelli di rating per la determinazione della rischiosità creditizia, lo ha fatto considerando solo un singolo intermediario. Per questo motivo Basilea III ha deciso di introdurre due misure prudenziali di livello macroeconomico. La riserva di conservazione del capitale è volta a garantire il livello minimo di capitale regolamentare in momenti di mercato avversi attraverso l’accantonamento di risorse patrimoniali di elevata qualità in periodi non caratterizzati da tensioni di mercato, è obbligatoria ed è pari al 2,5% dell’esposizione complessiva al rischio della banca. Viene aggiunta all’ammontare obbligatorio del 4,5% del capitale primario di classe 1 (Tier1) previsto dal regolamento sui

21 requisiti patrimoniali (CRR) innalzando il Tier1 al 7%. La riserva di capitale anticiclico invece serve a sostenere il settore bancario nelle fasi di eccessiva crescita del credito: la sua imposizione consente di accumulare, durante fasi di surriscaldamento del ciclo del credito, capitale primario di classe 1 che sarà poi utilizzato per assorbire le perdite nelle fasi discendenti del ciclo; questa è eventuale ed è pari agli RWA di ogni intermediario moltiplicati per il coefficiente anticiclico che oscilla tra 0 – 2,5%. Le banche che non detengono le riserve di capitale nella misura richiesta, saranno soggette ai limiti sulle distribuzioni di utili e dovranno dotarsi di un piano di conservazione del capitale nel quale saranno indicate le misure che la banca intende adottare per ripristinare, entro un congruo termine, il livello di capitale necessario a mantenere le riserve di capitale secondo la misura richiesta. In questo caso si crea un vincolo operativo strategico che blinda il Common Equity Tier1 al limite minimo poiché, rendere la riserva di conservazione effettiva, implica che le banche staranno attente a non scendere al di sotto del 7%, le uniche banche che lo faranno saranno quelle disposte a dare al mercato un segnale negativo e a compromettere la propria reputazione. La riserva di conservazione del capitale entrerà in vigore in modo graduale, tra il 1° gennaio 2016 e la fine del 2018, per entrare in vigore definitivamente il 1° gennaio 2019; quindi si avrà un livello iniziale dello 0,625 % nel 2016 per arrivare al 2,5% nel 2019. Stessa cosa vale per la riserva di capitale anticiclica, infatti è previsto un livello dello 0,625% nel 2016 per arrivare al 2,5% il 1° gennaio 2019.

1.6 I RISCHI DI PILLAR 1

La normativa di vigilanza, nel primo pilastro, stabilisce che le banche debbano detenere un Patrimonio di Vigilanza almeno pari ai requisiti patrimoniali regolamentari che fronteggiano i rischi di credito, di mercato e operativo, e allo stesso tempo permette l’uso di metodologie alternative per il calcolo dei rischi stessi. Quindi, per un gruppo bancario, il Patrimonio di Vigilanza da possedere dovrà essere uguale ad almeno l’8% delle attività ponderate per le tre classi di rischio:

 rischio di credito è il rischio che, nell’ambito di un’operazione creditizia, il debitore non adempia, anche solo in parte, ai suoi obblighi di rimborso del capitale e di pagamento degli interessi;

22

 rischio operativo è il rischio di perdita che risulta da processi interni, persone, sistemi inadeguati o da eventi esterni;

 rischio di mercato invece si riferisce al rischio che il valore di mercato degli strumenti detenuti dalla banca in portafoglio, si riduca a causa di variazioni delle condizioni di mercato.

1.6.1 IL RISCHIO DI CREDITO

Il rischio di credito è definito come “la possibilità che una variazione inattesa del merito creditizio di una controparte generi una corrispondente variazione inattesa del valore corrente della relativa esposizione creditizia”18. È questo il rischio che condiziona direttamente la qualità del credito concesso alle imprese ed è collegato di conseguenza alle capacità di rimborso dei debitori. Inoltre, il rischio di credito, può riguardare sia operazioni iscritte in bilancio sia operazioni fuori bilancio (operazioni off-balance sheet, che non implicano variazioni nelle poste in bilancio ma contribuiscono alla composizione del reddito d’esercizio). È possibile suddividere il rischio di credito in sette sottocategorie:

 rischio di insolvenza, (Credit Default Risk) si verifica quando la perdita deriva dalla completa inadempienza della controparte che può avvenire al ricorrere di almeno due condizioni, la prima di tipo soggettivo, ovvero quando la banca ritiene improbabile che il debitore adempia in pieno alle sue obbligazioni, e la seconda di tipo oggettivo, cioè quando sussiste un ritardo nei pagamenti di almeno 90 giorni;

 rischio di migrazione, (Mitigation Risk) si manifesta quando vi è una variazione negativa del merito creditizio del debitore che genera una perdita di valore della posizione e quindi un aumento della probabilità di insolvenza futura della controparte;

 rischio di recupero, si verifica quando il tasso di recupero (RR – Recovery Rate)19 di una determinata operazione di credito sia inferiore a quello stimato originariamente dalla banca;

18 _{Resti A. & Sironi A., Rischio e valore nelle banche, Egea, Milano, 2008, p. 351.} 19

Il tasso di recupero rappresenta la parte di esposizione che il creditore si aspetta di recuperare su una determinata posizione creditizia, successivamente al manifestarsi dell’evento di default

23

 rischio di esposizione, si presenta nel caso in cui le esposizioni creditizie aumentino appena prima dell’insolvenza del debitore. Tale fattispecie può realizzarsi nel caso di concessione di finanziamenti in conto corrente;

 rischio di spread, ovvero il rischio di una perdita conseguente al semplice deterioramento del merito creditizio di un soggetto emittente, cui seguirebbe un innalzamento dello spread del titolo richiesto dal mercato20;

 rischio di concentrazione, è un rischio che si rifà all’attività di intermediazione creditizia, ed è il rischio di detenere portafogli creditizi rappresentati da una inadeguata diversificazione geografico - settoriale;

 rischio paese, è il rischio di perdita causata da eventi che si verificano in un paese diverso verso il quale la banca ha un’esposizione.

Ai fini di una corretta misurazione del rischio di credito, dobbiamo definirne le sue componenti fondamentali:

 probabilità di insolvenza, (Probability of default, PD) rappresenta la probabilità di insolvenza del debitore nel corso dei dodici mesi successivi, questo valore, espresso in termini percentuali, oscilla tra 0 e 1;

 perdita in caso di insolvenza, (Loss Given default, LGD), espressa in termini percentuali, quantifica la perdita in caso di inadempienza dell’emittente rispetto al credito complessivamente erogato al netto degli eventuali recuperi;

 esposizione al momento dell’insolvenza, (Exposure at default, EAD) che rappresenta la possibile quota di esposizione al momento dell’insolvenza;

 Scadenza, (Maturity, M)21 che raffigura la durata residua del finanziamento.

Il rischio di credito può generare sia la perdita attesa (Expected Loss, EL) cioè la perdita che la banca si attende di sopportare con riferimento ad un portafoglio di crediti in un periodo di tempo; sia la perdita inattesa (Unexpected Loss, UL) che rappresenta il grado di variabilità del tasso di perdita intorno al proprio valore atteso. La prima non provoca problemi alla banca poiché, le perdite attese sono già incluse e analizzate dalla banca nella definizione degli accantonamenti prudenziali e nell’attività di pricing fatta a priori, e può essere stimata

20

Sironi A., Marsella M.,” La misurazione e la gestione del rischio di credito: modelli, strumenti e politiche”, Bancaria Editrice, Roma, 1998, p.32.

24 ex ante; ciò che desta problemi alla banca è la perdita inattesa perché rappresenta quella parte di perdita non prevista al momento dell’erogazione del credito. La distinzione tra perdita attesa e perdita inattesa è importante per le scelte gestionali con riguardo ai seguenti aspetti22:

 totale delle rettifiche dirette di valore e degli accantonamenti necessari per la copertura delle perdite attese;

 livello dei capitali propri per la copertura delle perdite inattese;

 saggi d’interesse in linea con le rettifiche di valore e gli accantonamenti per le perdite inattese.

Abitualmente perdita attesa (EL) e perdita inattesa (UL) sono rappresentate dalle seguenti relazioni:

EL = E[L] = EAD * LGD * PD

UL = √VaR(L) = √VaR(EAD*LGD*PD).

Queste sono collegate tra di loro poiché la perdita inattesa (UL) può essere identificata nella volatilità delle perdite attorno al loro valore medio e, quindi, alla perdita attesa. La perdita inattesa di un portafoglio è determinata dalla deviazione standard della distribuzione di frequenze delle possibili perdite su un portafoglio. Se si osserva l’intera distribuzione di probabilità delle perdite e un intervallo di confidenza del 99,9 % su un orizzonte temporale di un anno, il livello massimo delle perdite è misurato dal Value at Risk (VaR)23 che, sottraendo la perdita attesa (EL), definisce la perdita inattesa (UL) e, quindi, il livello di

22

Colombini F. cit., p. 174.

23

Il Value at Risk (VaR) è una misura del rischio di mercato associato ad un’attività finanziaria. Esso rappresenta, su un dato orizzonte temporale (solitamente pari ad 1 giorno o a 10 giorni) e con un dato livello di probabilità o confidenza statistica (solitamente pari al 95% o al 99%), la perdita massima ipotizzabile derivante dalla detenzione dell’attività finanziaria oggetto di valutazione. Tale perdita riflette l’interagire di una serie di fattori che il modello ipotizza essere correlati tra loro nel determinare il rendimento aleatorio dell’attività. L’orizzonte temporale scelto per il calcolo del VaR riflette il tempo minimo necessario a smobilizzare l’investimento in caso di perdita (che può essere appunto pari ad 1 giorno su mercati molto liquidi, o a 10 giorni se si ipotizza un maggior tempo necessario allo smobilizzo).

Il Value at Risk viene utilizzato anche, e soprattutto, per determinare i requisiti minimi di capitale per la copertura di perdite su attività finanziarie generate dai rischi di mercato. Tale misura si applica pertanto nel calcolo dei rischi di mercato di portafogli azionari, obbligazionari, investimento in valute estere e derivati finanziari. Il VaR permette dunque di formulare un’ipotesi sul valore incerto dell’attività finanziaria alla fine dell’orizzonte temporale scelto per la valutazione, con un dato livello di confidenza statistica. http://bankpedia.org/index.php/it/133-italian/v/23638-value-at-risk-var-enciclopedia , data ultima consultazione 25 ottobre 2017.

25 capitale necessario alla sua copertura. Tutto ciò viene rappresentato dalla seguente formula24:

UL=VaR – EL.

1.6.1.1 METODOLOGIE DI CALCOLO PREVISTE PER IL RISCHIO DI CREDITO

Sono previste due diverse modalità di calcolo, (secondo il principio della proporzionalità, ovvero tendendo in considerazione la diversità degli intermediari in termini di dimensione complessità e caratteristiche, e secondo il principio di gradualità, ovvero flessibilità di applicazione e contenimento degli oneri della regolamentazione attraverso l’accesso graduale, per ogni tipologia di rischio, a metodologie e processi più avanzati).

Lo Standardised Approach, (Metodo Standardizzato) prevede l’accantonamento medio dell’8% delle attività ponderate per il rischio (inteso come valore degli impieghi ponderati sulla base delle caratteristiche della controparte affidata ovvero del finanziamento concesso). Questo metodo stabilisce che, le componenti che formano il rischio di credito, quindi, PD, LGD, EAD e M, siano fissati dalla Autorità di Vigilanza sulla base di varabili qualitative e quantitative di tipo statico,(per esempio,la categoria economica – giuridica dell’azienda da finanziare, la dimensione aziendale, le caratteristiche tecniche delle operazioni di finanziamento) e che alle attività venga assegnato un fattore di ponderazione stimato dalle agenzie esterne di rating dette ECAI (“External Credit Assessement Institution”). Questo permette agli istituti di credito una certa sensibilità degli accantonamenti: ad un rating molto alto (AAA) corrisponderà un accantonamento più basso dell’8%, perché si ritiene che l’azienda che chiede un credito dia eccellenti garanzie di restituirlo nei tempi e modi previsti; di contro, ad un rating molto basso (CCC) corrisponderà un accantonamento maggiore.

24

Cfr. Colombini F., “Intermediari, mercati e strumenti finanziari. Economia e integrazione”, Utet, Torino, 2008, pag. 175.

26 VALUTATORE

CATEGORIE DI RATING: VOTO ASSEGNATO ALLE IMPRESE DA SOCIETA’ESTERNE

SICUREZZA VULNERABILITA’ RISCHIOSITA’

STANDARD & POOR’S da AAA a AA- da A+ a A- da BBB+ a BB- _< aBB- SENZA RATING MOODY’S da Aaa a Aa3 da A1 a A3 Da Baa1 a B3 < a B3A SENZA RATING COEFF.DI PONDERAZIONE PREFISSATI 20% 50% 100% 150% 100% PONDERAZIONE UNICA PER LE PMI

75%

Fig. 1 Coefficienti di ponderazione prefissati connessi al rating assegnato da società esterne alle imprese Verrà attribuita una determinata categoria di rischio a seconda della tipologia del soggetto che ha richiesto il prestito. I coefficienti di ponderazione, come si può vedere dalla tabella, per le imprese sono quattro: 20%, 50%, 100% e 150%, considerando il rating che l’impresa richiedente il finanziamento riceve dalla ECAI. Questa metodologia di calcolo viene utilizzata prevalentemente dalle piccole banche in quanto è poco onerosa ed ha il difetto di creare instabilità nel sistema economico. È anche causa di scarsa cura nei rapporti tra banca e impresa in più, visto che le ponderazioni sono molto prudenziali, in media il rischio verrà sovrastimato, per cui si parlerà di minore sensibilità del capitale al rischio effettivo nel senso che, l’accantonamento del capitale non coincide con il rischio effettivo ma è più elevato.

Per ovviare a questa situazione, il Comitato di Basilea ha introdotto una nuova concezione di valutazione del rischio che crea un rapporto diretto tra banca e impresa, basato su parametri più realistici e flessibili rispetto a quelli dell’approccio standardizzato. La metodologia IRB (Internal Rating Based Approach) ha due versioni, una base e una avanzata. Il metodo IRB base prevede che le banche possano individuare, sulla base di strumenti analitici propri, previamente approvati dagli organi di Vigilanza, il giudizio di merito creditizio del cliente ed identificare la classe di rating da assegnare a cui è attribuita