Banche e intermediari finanziari
21/12/2017

Le Linee Guida in materia di autorizzazione per i soggetti FinTech: lo sguardo della BCE su un fenomeno in costante crescita

Introduzione

Lo scorso 2 novembre è terminata la consultazione della Banca Centrale Europea (d’ora in poi anche “BCE”) relativa a due progetti di Linee Guida in materia di valutazione delle domande di autorizzazione all’esercizio dell’attività bancaria in generale e all’esercizio dell’attività bancaria degli enti creditizi FinTech.

In particolare, il secondo dei due citati documenti (d’ora in avanti, “le Linee Guida”), la cui analisi è oggetto del presente contributo, offre un’interessante panoramica circa i futuri sviluppi dell’attività dell’Autorità di vigilanza in tema di FinTech, ovvero quell’ “ecosistema sempre più articolato in una serie di applicazioni tecnologiche utilizzate nel settore finanziario[1], che sempre più sarà oggetto dell’attenzione del supervisor europeo e degli organismi che operano nel settore della regolamentazione bancaria c.d. di soft law[2].

1. L’ambito di applicazione: la Fintech bank

Le Linee Guida si rivolgono alle c.d. “Fintech banks”. Per la loro definizione, la BCE attinge sia dalla normativa regolamentare europea che dalle indicazioni fornite dal Financial Stability Board[3]. In estrema sintesi, una Fintech bank è un ente creditizio[4], rientrante nell’ambito di definizione del Regolamento n. 575/2013 (CRR)[5], che impiega l’innovazione tecnologia nell’erogazione di servizi finanziari attraverso nuovi modelli di business, nuove applicazioni, processi o prodotti con un impatto significativo nella fornitura di servizi finanziari.

In sostanza, la BCE indentifica due scenari che dettagliano adeguatamente l’entità rientrante nel concetto di Fintech bank:

  1. una Fintech bank derivante dallo sviluppo, da parte di una banca già esistente ed operante sul mercato, di un modello di business finalizzato ad entrare nel mercato fintech, mediante acquisizione o partnership con società fintech;
  2. una Fintech bank nata ex novo come soggetto che ha adottato soluzioni tecnologiche finanziarie innovative che, nel loro sviluppo, vanno a comprendere l’attività bancaria (e quindi necessitare della relativa licenza).

Peraltro, occorre evidenziare come per le Fintech banks rientranti nella fattispecie di cui al summenzionato punto 1, i controlli in questione verranno effettuati in casi più marginali di autorizzazione degli azionisti che acquistano partecipazioni qualificate e apertura di subsidiaries. Conseguentemente, le Linee Guida tenderanno ad applicarsi primariamente alle nuove Fintech banks di cui al summenzionato punto 2. Inoltre, risulta di rilievo come in entrambe i casi la BCE non preveda eccezioni nell’ambito di applicazione delle Linee Guida in relazione al fatto che la Fintech bank sia catalogabile come significativa o meno significativa; una scelta contraria avrebbe determinato una non giustificabile disparità di trattamento con le altre tipologie di istituzioni creditizie in relazione ai requisiti per ottenere la licenza autorizzativa.

2. I criteri per la valutazione della licenza autorizzativa

2.1 La governance e la struttura dei controlli interni

Il primo dei due elementi fondamentali da valutare nell’ambito dell’analisi dell’istanza autorizzativa della Fintech bank, la governance, è a sua volta suddiviso in un assessment dell’adeguatezza dei membri del management e degli azionisti.

Sia per quanto concerne il management che gli azionisti qualificati, le Linee guida richiamano espressamente i criteri previsti dalle Linee Guida BCE in consultazione sulle domande di autorizzazione all’attività bancaria in generale[6].

La particolarità innovativa della Fintech bank, rispetto al criterio generale che richiede agli amministratori il possesso di competenze ed esperienze adeguate per adempiere alle loro mansioni[7], richiede al management, sia esso dotato o meno di poteri direttivi, conoscenze tecniche combinate con una rilevante esperienza pratica tali da consentire loro la comprensione dell’ambito di business della Fintech bank e dei rischi connessi alla sua attività, in modo da poter effettivamente adempiere alle mansioni ad essi attribuite.

Pertanto, rispetto al summenzionato requisito generale, le Linee Guida in materia di autorizzazione della Fintech bank aggiungono un ulteriore requisito speciale che ad esso va a sommarsi. Detto requisito potrebbe pertanto costituire una barriera all’ingresso in sede autorizzativa, in quanto non appare ancora diffusa la figura di soggetti che possano adeguatamente, rectius: ai fini di un buon esito dell’istanza autorizzativa, combinare l’expertise generale richiesta e quella specificamente tecnologica.

Un’interessante previsione contenuta nelle Linee Guida concerne poi la nomina nel comitato esecutivo del Consiglio di Amministrazione di uno Chief Information Technology Officer. Peraltro, occorre evidenziare come le Linee Guida non impongano detta nomina, ma suggeriscano di valutarne l’opportunità.

Dal punto di vista degli azionisti, essi saranno valutati utilizzando i medesimi criteri previsti per l’assessment degli azionisti che detengano una partecipazione qualificata in un ente creditizio esistente ai sensi delle Linee Guida BCE in consultazione sulle domande di autorizzazione all’attività bancaria in generale[8] (in sintesi: la reputazione dell’azionista, la sua solidità finanziaria e la sua affidabilità dal punto di vista del rispetto dei presidi antiriciclaggio e finanziamento del terrorismo).

Tuttavia, la Linee Guida aggiungono per detti soggetti un ulteriore requisito nell’ambito dei requisiti di assesment, ossia competenze tecniche e manageriali nell’area delle attività finanziarie, inclusi i servizi finanziari[9]. Non appare peraltro chiaro se tale ulteriore criterio si applichi anche agli azionisti non di controllo, diversamente da come specificato nelle Linee Guida BCE sulle domande di autorizzazione all’attività bancaria in generale (par. 5.4).

Un ulteriore aspetto che va segnalato attiene alla considerazione della compagine azionaria della Fintech bank: data la difficoltà di reperire capitali mediante initial public offerings, detta compagine sarà costituta dal capitale apportato dai soci fondatori e da venture capitalists. In relazione a ciò, sarà inoltre importante che gli azionisti redigano un business plan che preveda le modalità di reperimento di fondi addizionali in previsione di una crescita della Fintech bank tale da non poter essere supportata dal loro solo apporto di capitale.

La struttura dei controlli interni dovrà tenere in primaria considerazione le modalità valutative dell’erogazione del credito, mediante chiare e definite policies.

Un fattore che distingue la Fintech bank dalla banca tradizionale, in tale ambito attiene non solo alla loro maggiore internazionalizzazione ed alla possibilità che le operazioni vengano effettuate in paesi diversi da quelli in cui hanno proposto l’istanza autorizzativa, ma anche al fatto che le Fintech banks possano incontrare difficoltà, in quanto new entrants, nella predisposizione di un modello di credit scoring interno. Ed in particolare, ciò è dovuto al fatto che alcune delle informazioni rilevanti per l’elaborazione di detto modello di credit scoring, come l’affidabilità creditizia del cliente, non sono di norma disponibili durante la fase di start-up della Fintech bank.

Pertanto, essa dovrà ricorrere all’outsourcing e/o fare riferimento a dati afferenti fonti alternative e metodologie innovative di credit scoring. Tale ultimo aspetto è del resto connesso anche al fattore relativo all’internazionalizzazione.

In effetti, le profonde differenze tra diversi Paesi circa le tipologie di dati utilizzati ai fini dell’elaborazione del credit scoring possono incidere negativamente nella valutazione del medesimo, creando disparità valutative e disomogeneità nel processo di valutazione creditizia della banca. Perciò, le Fintech banks orientate a operare in contesti internazionali e quindi potenzialmente soggette all’utilizzo di più modelli di credit scoring pari al numero di paesi in cui vorranno essere attive, saranno chiamate ad una revisione periodica dei loro modelli di credit scoring.

Inoltre, esse dovranno adottare politiche di risk management adeguate all’adozione di tali modelli anche in considerazione del fatto che potrebbero affidarsi a fornitori di servizi esterni (esternalizzazione del credit scoring). Ne deriva che il ruolo del risk manager assumerà dunque una considerevole importanza nella struttura dei controlli interni della Fintech bank.

Paritetica rilevanza sarà da attribuire all’IT compliance. Infatti, nella predisposizione del suo business model, la Fintech bank dovrà dotarsi di una struttura tale da poter efficacemente prevenire, monitorare e contrastare i connaturati rischi afferenti all’ambito tech dell’ente creditizio:

  1. la cyber security;
  2. l’outsourcing;
  3. il cloud computing.

In particolare, l’oggetto di verifica in ambito cyber security da parte della BCE o della competente Autorità di vigilanza nazionale atterrà alle modalità di implementazione – in termini di risorse umane, infrastruttura IT, risk management framework, business continuity e sostenibilità delle compensazioni ai clienti vittime di cyber attack – delle difese per minimizzare tale rischio.

Il tema della sicurezza informatica rappresenta una conditio sine qua non per il funzionamento di quei mercati e dei suoi operatori come le Fintech banks che si fondano sull’utilizzo delle tecnologie digitali in relazione alla specifica tipologia di servizi offerti.

In questo contesto, l’adozione di efficienti ed efficaci strumenti di cyber risk management volti ad assicurare la protezione dell’integrità, della disponibilità, della confidenzialità e della riservatezza dei dati e delle informazioni assume rilevanza cruciale, in quanto da essa possono dipendere le sorti stesse della Fintech banks in termini finanziari e reputazionali.

Tanto gli operatori di questi mercati quanto le autorità pubbliche devono tenere in considerazione i rischi per la sicurezza delle informazioni e dei dati dei clienti poiché la fiducia di questi ultimi è riposta sulla resilienza rispetto alle forme di rischio cui le nuove tecnologie sono esposte.

Una buona governance strategica del cyber risk potrebbe essere un punto di partenza per gestire ex ante i cyber attacks; mentre ex post intervenendo mediante coperture assicurative che possano difendere l’impresa dal rischio di dover fronteggiare le richieste di risarcimento dei clienti per la perdita e la diffusione dei loro dati a seguito di attacco o malfunzionamento del sistema informatico, o anche indennizzando i danni subiti dalla stessa impresa per la ricostituzione del sistema danneggiato e rimborsando le spese per le procedure di legge previste per questi casi.

Non a caso, nel corso degli ultimi anni, il legislatore europeo ha avviato una intensa attività legislativa volta all’innalzamento della cyber security. Nel 2018 nella UE entreranno in vigore tre importanti disposizioni: la Security of Network and Information Systems Directive (NIS-D), che stabilisce requisiti minimi di sicurezza per operatori di infrastrutture critiche e fornitori di servizi essenziali; la General Data Protection Regulation (GDPR) che, al fine di tutelare la privacy, impone l’adozione di elevati standard difensivi a chi tratta dati personali su supporto informatico; la nuova Payment Services Directive (PSD-2), che tra le altre cose obbliga i gestori di servizi di pagamento a rafforzarsi sotto il profilo cyber e a rimborsare i clienti che siano stati vittime di furti tramite attacco informatico, anche nel caso di violazione del terminale del cliente.

In ambito outsourcing poi, rilievo verrà dato all’affidabilità dell’outsourcer in termini, a titolo esemplificativo, di situazione finanziaria, posizionamento nel mercato e abilità nel poter svolgere le mansioni ad esso assegnate.

Per quanto attiene al cloud outsourcing, l’Autorità di vigilanza valuterà attentamente se la Fintech bank, nell’esternalizzare il servizio, abbia debitamente valutato:

  • l’expertise interna e le risorse a disposizione dell’outsourcer per la mitigation dei connessi rischi;
  • la capacità della banca di minimizzare l’esclusiva relazione da un singolo cloud service provider;
  • la compliance dell’outsourcer alle relative previsioni legislative e regolamentari;
  • piani di business continuity dell’outsourcer e l’efficacia dei presidi a protezione dei dati personali e riservati contenuti dell’accordo di esternalizzazione.

2.2 Il programma delle attività

Uno dei punti di maggiore attenzione concerne l’assessment dei rischi relativi al programma delle attività della Fintech bank. Ciò è dovuto ad un limite insito nel carattere innovativo di tali realtà, per le quali è al momento difficile reperire dati storici, benchmark e prassi operative che consentano una valutazione della fattibilità del piano di business della Fintech bank.

Due sono quindi gli elementi principali oggetto dell’assessment:

  1. una dotazione di capitale sufficiente a coprire eventuali perdite in fase start-up per i primi tre anni di attività;
  2. l’exit plan.

Quest’ultimo, diversamente dai recovery and resolution plans di cui alla Direttiva BRRD[10], viene redatto dalla sola Fintech bank per disciplinarne la liquidazione senza che si determinino perdite per i depositanti; esso potrà contenere anche una serie di triggers che ne attivano l’applicazione e la cui esistenza l’Autorità di vigilanza è tenuta ad accertare nell’ambito del follow-up di controlli annuale successivo all’autorizzazione della Fintech bank. A tal proposito, la definizione di un exit plan da parte delle Fintech banks sarà oggetto di apposito documento di consultazione pubblica da parte della BCE nell’ambito della “Guida alla valutazione delle domande di autorizzazione all’esercizio dell’attività bancaria”, che comprenderà i criteri di valutazione applicabili al programma di attività e al capitale.

2.3 Capitale, liquidità e solvibilità

Nell’ambito dell’assessment, la BCE o la competente Autorità di vigilanza nazionale dovrà dunque verificare che la Fintech bank:

  • garantisca un capitale iniziale superiore al minimo richiesto, laddove essa faccia il suo ingresso in un mercato già consolidato che vede la presenza di importanti players e pertanto adotti una strategia aggressiva finalizzata a conquistarne segmenti rilevanti;
  • adotti adeguati presidi a contenimento del rischio di liquidità derivante dalla volatilità dei propri clienti, attratti da tassi di interesse più competitivi forniti da altri players sul mercato e dall’aumento del costo del finanziamento nel mercato dei prestiti interbancari in caso di un evento che incida negativamente su di essa (per esempio una mancanza di redditività).

3. Conclusioni

La rivoluzione digitale attraversa oggi tutta la catena del valore di una banca coinvolgendo tutti i servizi finanziari offerti e diventerà un fenomeno inevitabile.

Essa comporta, come ogni innovazione, potenziali rischi e benefici.

Si pensi al potenziale ingresso sul mercato finanziario di companies in possesso di ingenti risorse a livello economico e di expertise in digital techonology, attive, a vario titolo, nei motori di ricerca, social networks e piattaforme di e-commerce (c.d. Bigtech companies), le quali spesso non sono soggette “ad alcuna regolamentazione né tanto meno a controllo[11] e che potrebbero“sia alterare gli assetti di mercato precostituiti, basati su players tradizionali, sia violare il principio di level playing filed, con inevitabili conseguenze sul versante di una leale concorrenza tra operatori[12]. L’intervento regolamentare è dunque una priorità al fine di prevenire, gestire e contenere i rischi per i fruitori finali dei servizi finanziari e per il sistema finanziario in sé considerato.

Non solo: il regulator dovrà essere in grado di agevolare l’ingresso nel mercato dei servizi finanziari a tutti quei soggetti, start ups, incubatori e accelleartori delle medesime, intenzionati a partecipare attivamente alle sfide future che interesseranno il settore. Ciò potrà consentire la creazione di un autentico mercato unico dei servizi finanziari che rafforzi la fiducia dei consumatori, aumenti la concorrenza e sostenga lo sviluppo di un contesto digitale innovativo.

Alla luce delle Linee Guida in consultazione, occorrerà dunque chiedersi se esse possano efficacemente realizzare gli obiettivi contenuti nel Piano di azione della Commissione Europea del 23 marzo 2017, finalizzato a creare un “contesto normativo e di vigilanza a sostegno dell’innovazione digitale[13].

In particolare, tre sono i principi che la Commissione Europea ha individuato a supporto del settore europeo della tecnologia finanziaria:

  1. la neutralità tecnologica, “in virtù della quale si applicano le stesse regole ai prodotti e servizi venduti in modo tradizionale (ad esempio allo sportello) e a quelli venduti attraverso i canali digitali, al fine di garantire l’innovazione e condizioni di parità[14];
  2. la proporzionalità, “in modo che le regole siano adeguate a diversi modelli di business, dimensioni e attività delle entità regolamentate[15];
  3. la maggiore integrità, “per garantire trasparenza, tutela della privacy e sicurezza per i consumatori[16].

Sebbene da un lato appare apprezzabile il tentativo delle Linee Guida di fornire un quadro armonizzato a livello europeo che possa livellare il gap transfrontaliero tra Paesi con regolamentazioni più stringenti e Paesi con approcci più flexible, per altro verso applicare regole conformi a quelle delle tipologie tradizionali di istituzioni finanziarie - con riguardo alle procedure per il rilascio dell’autorizzazione - cela il rischio che i modelli innovativi di business possano incontrare difficoltà nell’adeguarsi a dette regole, basate su un modello diverso[17].

A tale riguardo, sembrerebbe come alcune previsioni contenute nelle Linee Guida si pongano in direzione opposta rispetto al principio di parità di trattamento tra incumbent e Fintech banks (si pensi, per esempio, alle specifiche previsioni riguardanti l’assesment del managment e degli azionisti), sovraccaricando gli oneri per quelle Fintech banks innovative che invece “dovrebbero poter beneficiare di un alleggerimento degli oneri di compliance per liberare risorse da destinare allo sviluppo di un modello di business sostenibile[18].

In conclusione, sebbene le Linee Guida rappresentino un importante passo in avanti per intercettare le sfide del mutato contesto finanziario, sorgono dubbi circa la validità e l’effettivo rispetto del principio fondante l’approccio utilizzato dal regulator: la neutralità tecnologica.

Inoltre, anche qualora detto principio fosse perfettamente rispettato dalle citate Linee Guida, non è sicuro che esso possa costituire la soluzione più efficace. A tale riguardo infatti, l’utilizzo di un atteggiamento wait-and-see che, come evidenziato, si concilia con detto principio[19], potrebbe comportare un ritardo del regulator per una verifica tempestiva della possibilità che la disponibilità di una nuova tecnologia si possa applicare convenientemente alla finanza.




[1] AA.VV. “Fintech. Introduzione ai profili giuridici di un mercato unico tecnologico dei servizi finanzari”, a cura di M.T. Paracampo, G.Giapichelli Editore, 2017, p. 3.

[2] Sul punto, per un’attenta analisi del fenomeno FinTech cfr. il report pubblicato in data 22 Maggio 2017 dal gruppo di rappresentanti del Committee on Global Financial System e del Financial Stability Board dal titolo “FinTech credit Market structure, business models and financial stability implications”, reperibile al link: https://www.bis.org/publ/cgfs_fsb1.pdf. In tema si veda anche: Comitato di Basilea, “Sound Practices: Implications of fintech developments for banks and bank supervisors”, Agosto 2017, reperibile al link http://www.dirittobancario.it/sites/default/files/allegati/consultative_....

Occorre infine evidenziare come la consultazione della BCE affianca il Discussion Paper dell’EBA sugli interventi in termini di regolamentazione e di vigilanza rispetto al fenomeno del FinTech del 4 agosto 2017, reperibile al link: http://www.dirittobancario.it/sites/default/files/allegati/eba_discussio.... Del resto, la valutazione e lo sviluppo della regolamentazione in materia FinTech, dei suoi rischi e delle opportunità operative, nonché degli impatti sui modelli di business delle istituzioni finanziarie è uno dei punti principali del Piano di lavoro dell’EBA per il 2018 (cfr: “EBA 2018 Work Programme, 05 October2017”, pag. 13, reperibile al link: http://www.dirittobancario.it/news/autorita-di-vigilanza/eba-pubblicato-...).

[3] Il documento della BCE richiama espressamente la definizione di fintech fornita dall’FBS nel documento “Financial Stability Implications from FinTech”, Giugno 2017.

[4] Il Regolamento (UE) n. 1024/2013 istituisce Single Supervisory Mechanism, il sistema europeo di vigilanza bancaria che comprende la BCE e le Autorità di vigilanza nazionali dei paesi partecipanti. In particolare, l’art.. 6 par. 4 del citato Regolamento individua i requisiti di classificazione di un ente creditizio quale significativo (rientrante nell’ambito della vigilanza diretta BCE) e meno significativo (rientrante nell’ambito di vigilanza diretta delle Autorità di vigilanza Nazionali sotto la supervisione indiretta della BCE). La significatività è valutata sulla base dei seguenti criteri:

i) dimensioni;

ii) importanza per l’economia dell’Unione o di qualsiasi Stato membro partecipante iii) significatività delle attività transfrontaliere.

Un ente creditizio o società di partecipazione finanziaria o società di partecipazione finanziaria mista non sono considerati meno significativi, tranne se giustificato da particolari circostanze da specificare nella metodologia, qualora soddisfino una qualsiasi delle seguenti condizioni:

i) il valore totale delle attività supera i 30 miliardi di EUR;

ii) il rapporto tra le attività totali e il PIL dello Stato membro partecipante in cui sono stabiliti supera il 20 %, a meno che il valore totale delle attività sia inferiore a 5 miliardi di EUR;

iii) in seguito alla notifica dell’autorità nazionale competente secondo cui tale ente riveste un’importanza significativa

con riguardo all’economia nazionale, la BCE decide di confermare tale significatività sulla scorta di una sua valutazione

approfondita, compreso lo stato patrimoniale, dell’ente creditizio in questione.

Inoltre la BCE può, di propria iniziativa, considerare un ente di importanza significativa quando questo ha stabilito filiazioni in più di uno Stato membro partecipante e le sue attività o passività transfrontaliere rappresentano una parte significativa delle attività o passività totali soggette alle condizioni di cui alla metodologia.

Quelli per i quali è stata richiesta o ricevuta direttamente assistenza finanziaria pubblica dal FESF o dal MES non sono considerati meno significativi.

[5] La cui attività, ai sensi dell’art. 4 par. 1, consiste nel raccogliere depositi o altri fondi rimborsabili dal pubblico e nel concedere crediti per proprio conto.

[6] Cfr.: ECB, “Guide to assessments of licence applications”, September 2017 reperibile al link: http://www.dirittobancario.it/news/banche-e-intermediari-finanziari/cons....

[7] E che includono, ai sensi della sezione 5.3 delle Linee Guida BCE sulle domande di autorizzazione all’attività bancaria in generale, adeguate conoscenze, skills, esperienza pratica e teorica in ambtio bancario e/o finanziario.

[8] Cfr.: ECB, “Guide to assessments of licence applications”, p.17.

[9] Cfr.: ECB, “Guide to assessments of fintech credit institution licence applications”, p.7.

[10] Direttiva 2014/59/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014.

[11] AA.VV. “Fintech. Introduzione ai profili giuridici di un mercato unico tecnologico dei servizi finanzari”, op cit., p.7.

[12] Idem.

[13] Commissione Europea, “Comunicazione della Commissione al Parlamento Europeo, al Consiglio, alla Banca Centrale Europea, al Comitato Economico e Sociale Europeo e al Comitato delle Regioni. Piano d’azione riguardante i servizi finanziari destinati ai consumatori: prodotti migliori, maggiore scelta”, 23 marzo 2017, p. 12.

[14] Commissione Europea, “Piano d’azione per i servizi finanziari destinati ai consumatori: prodotti migliori e più scelta per i consumatori europei. Comunicato Stampa”, 23 marzo 2017, p. 2.

[15] Idem.

[16] Idem.

[17] AA.VV. “Fintech. Introduzione ai profili giuridici di un mercato unico tecnologico dei servizi finanzari”, op cit., p.9.

[18] Ibid, p. 35.

[19] Ibid, p. 36.

Comments

Inserisci un nuovo commento

CAPTCHA
Questo passaggio serve per prevenire azioni di spam.