WEBINAR / 16 Settembre
Rischi climatici e ambientali: aspettative Banca d’Italia


Principali criticità e buone prassi per l'attuazione 2025

ZOOM MEETING
Offerte per iscrizioni entro il 28/08

SCOPRI I DETTAGLI

WEBINAR / 16 Settembre
Rischi climatici e ambientali: aspettative Banca d’Italia
SCOPRI I DETTAGLI
Login
Shopping cart
Contatti
Categorie tematiche
Categorie tematiche
Link veloci
Link veloci
DB Business
DB Business
Chi siamo
Chi siamo
Contatti
Login
Shopping cart
www.dirittobancario.it
Attualità
Governance e controlli

Le nuove Linee Guida EBA sull’internal governance

3 Settembre 2025

David Pirondini, Senior Partner, Deloitte Advisory

Daniel K. Normann, Director, Deloitte Advisory

Di cosa si parla in questo articolo
EBA Esponenti aziendali
Vuoi leggere la versione PDF?
Indice dell'articolo
  1. Premessa
  2. Le principali novità
  3. Conclusioni
Condividi

Il presente contributo analizza le novità della consultazione EBA sulle modifiche alle Linee Guida EBA in materia di internal governance di attuazione del CRD VI e del DORA

1. Premessa

Lo scorso 7 agosto, l’Autorità Bancaria Europea (di seguito “EBA”) ha avviato una consultazione pubblica per l’aggiornamento delle “Linee Guida in materia di internal governance” (di seguito anche “Linee Guida”) al fine di riflettere le modifiche introdotte dalla Direttiva (EU) 2024/1619 (di seguito anche “CRD VI”) e da altre normative rilevanti, tra cui il “Digital Operational Resilience Act” (di seguito anche “Regolamento DORA”). La consultazione pubblica si concluderà il 7 novembre 2025 e sarà preceduta da un public hearing dell’EBA previsto per il 5 settembre prossimo.

A quattro anni dall’ultima revisione (luglio 2021), le Linee Guida sull’internal governance sono state aggiornate con l’obiettivo di:

  • recepire le disposizioni introdotte dalla CRD VI, in particolare dall’art. 88, paragrafo 3, che richiede, per ciascun membro dell’organo di gestione, dell’alta dirigenza e dei titolari di funzione chiave, la predisposizione di una dichiarazione formale di ruoli e responsabilità, nonché la mappatura delle attribuzioni e dei compiti svolti;
  • fornire indicazioni operative volte a garantire l’adozione, da parte delle succursali di Paesi terzi, di un framework di governance adeguato e robusto;
  • assicurare l’allineamento con il Regolamento DORA;
  • integrare le evidenze emerse dagli Orientamenti EBA sul raffronto delle pratiche relative alla diversità, tra cui le politiche in materia di diversità e il divario retributivo di genere (ai sensi della Direttiva 2013/36/UE e della Direttiva (UE) 2019/2034);
  • recepire le lesson learned derivanti dalle prassi di vigilanza maturate negli ultimi anni a livello europeo.

In considerazione di quanto sopra, il presente contributo intende sintetizzare le principali novità e gli elementi di attenzione contenuti nella bozza di revisione delle Linee Guida EBA, al fine di fornire un utile strumento agli operatori nella lettura della consultazione.

2. Le principali novità alle Linee guida sull’internal governance

La bozza di Linee Guida sull’internal governance attualmente in consultazione, con le modifiche rispetto alla versione vigente evidenziate in modalità track change, include sia interventi di natura formale sia aggiornamenti di rilievo sostanziale. Tra questi ultimi si segnalano, in particolare, alcune innovazioni di particolare rilievo, di seguito sinteticamente richiamate:

2.1. Documentazione formale di ruoli, doveri e responsabilità

Tra le modifiche più significative vi è, in primo luogo, quella al Titolo III, capitolo 6 relativo al “quadro organizzativo” che introduce, in linea con il novellato art. 88, paragrafo 3, della CRD VI, ulteriori dettagli su come le istituzioni dovranno predisporre da un lato la c.d. mappatura dei compiti (par. 68a) e dall’altro le dichiarazioni individuali dei ruoli e dei doveri (par. 68b).

In particolare, la mappatura dei compiti dovrà specificare le linee di reporting e le responsabilità di tutti i membri dell’organo di gestione, dell’alta dirigenza e dei titolari di funzione chiave, delineando una struttura organizzativa chiara e coerente. Tale mappatura dovrà essere funzionale a consentire all’istituzione di individuare eventuali discrepanze tra i ruoli (assegnati) e le attività effettivamente svolte, garantendo un efficace framework di governance interna. Ai sensi dell’EBA, il contenuto minimo della mappatura dovrà includere almeno:

  1. una descrizione degli aspetti chiave delle attività dell’istituzione e delle aree di business;
  2. una descrizione delle modalità con cui l’organo di gestione e di supervisione strategica contribuisce al processo decisionale;
  3. i nomi di tutti i membri dell’organo di gestione, dell’alta dirigenza e dei titolari di funzione chiave, accompagnati da un riepilogo dei loro ruoli e compiti coerente con le dichiarazioni individuali di ruoli e responsabilità (vedi infra);
  4. il dettaglio delle linee di riporto;
  5. le motivazioni in caso di ruoli e compiti condivisi;
  6. qualora l’istituzione utilizzi accordi con terzi, inclusi servizi in outsourcing, i dettagli relativi ai responsabili delle funzioni esternalizzate o fornite dal fornitore terzo.

L’organo di gestione è responsabile dell’approvazione della mappatura dei compiti e dovrà aggiornarla tempestivamente, considerando anche eventuali revisioni delle dichiarazioni individuali. La mappatura dei compiti dovrà inoltre essere predisposta a livello individuale, sub-consolidato e consolidato, in conformità all’articolo 109 della Direttiva 2013/36/UE.

Oltre alla mappatura dei compiti, le istituzioni dovranno assicurare che ciascun componente dell’organo di gestione, dell’alta dirigenza e dei titolari di funzione chiave, dispongano di una dichiarazione individuale di ruoli e responsabilità, coerente con la mappatura dei compiti e redatta in modo chiaro e completo. Nella prospettiva dell’EBA, un individuo è considerato inadempiente (rispetto alla propria dichiarazione individuale) se, a fronte di criticità nell’ambito di propria responsabilità, non adotta le misure ragionevolmente attese per prevenirne o limitarne gli effetti. In questa prospettiva, pertanto, le istituzioni sono tenute a adottare presidi idonei a garantire l’effettivo adempimento delle responsabilità attribuite, fermo restando l’obbligo degli interessati di dimostrare, su richiesta delle Autorità di Vigilanza, la correttezza delle azioni intraprese. Si chiarisce, inoltre, che la predisposizione delle dichiarazioni individuali non esonera dall’obbligo di partecipazione collegiale né dal dovere di contribuire alle aree di attività complessive. In caso di più incarichi nella stessa istituzione è sufficiente una sola dichiarazione, mentre per incarichi in istituzioni diverse (anche appartenenti ad un medesimo Gruppo) occorre redigerne una per ciascuna.

Al fine di agevolare la predisposizione delle dichiarazioni individuali, le nuove Linee Guida sull’internal governance introducono (Annex II) un template che l’EBA precisa essere di utilizzo facoltativo. Tale allegato fornisce un format esemplificativo per la redazione della dichiarazione individuale, articolato in due sezioni distinte:

  • La prima parte, di carattere generale, sintetizza i dati personali e anagrafici ai fini dell’identificazione del soggetto;
  • La seconda parte contiene il dettaglio dei ruoli ricoperti e dei doveri che il soggetto è chiamato ad assolvere in ragione di ciascun ruolo ricoperto:
    • Nell’ambito della compilazione dell’elenco di ruoli ricoperti risulta fondamentale fornire, oltre ad una descrizione degli stessi, il livello della posizione assunta (g. membro dell’organo di gestione/membro dell’alta dirigenza/titolare di funzioni chiave) e il dettaglio del time commitment atteso per ciascun ruolo;
    • Nella descrizione dei doveri e delle responsabilità è invece necessario fornire il dettaglio in merito a eventuali doveri condivisi con altre posizioni e ruoli all’interno dell’istituzione.

2.2. Governance delle third-country branches

Un’ulteriore sostanziale modifica apportata alle Linee Guida riguarda l’introduzione del nuovo paragrafo 7.2 (Titolo III) relativo alle “disposizioni di internal governance delle Third-Country Branches” (di seguito anche TCB) che evidenzia la necessità per le succursali di Paesi terzi di operare secondo un quadro di governance solido e coerente, analogo a quello delle istituzioni principali, modulato in base al principio di proporzionalità in funzione di dimensioni, complessità e natura delle attività (par. 90a). La gestione operativa, affidata a individui o comitati locali, richiede personale competente, esperto e presente sul territorio, in grado di prevenire conflitti di interesse e garantire un controllo efficace delle attività (par. 90b – 90d).

La struttura organizzativa delle TCB deve essere trasparente e sostanzialmente operativa, evitando che la succursale assuma carattere formale o di comodo, mentre le funzioni di controllo interno devono essere pienamente implementate e supportate da risorse adeguate, anche se affidate a fornitori esterni. La gestione dei rischi, inclusi quelli informatici, deve essere basata su procedure documentate, trasparenti e proporzionate, con responsabilità chiaramente definite (par. 90g – 90h).

Infine, le politiche retributive definite dalla succursale devono essere coerenti con la struttura della stessa e con il profilo di rischio dell’ente, promuovendo equità, trasparenza e adeguata supervisione (par. 90j).

L’adozione sistematica del principio di proporzionalità assicura che le TCB operino in modo efficiente, sostenibile e conforme alle migliori pratiche di governance, preservando solidità operativa e continuità aziendale.

2.3. Diversità e inclusione

In linea con le evidenze emerse dagli Orientamenti EBA sul raffronto delle pratiche relative alla diversità, tra cui le politiche in materia di diversità e il divario retributivo di genere (ai sensi della Direttiva 2013/36/UE e della Direttiva (UE) 2019/2034), l’aggiornamento delle Linee Guida sull’internal governance prevede, al Titolo IV, nel novellato paragrafo 101a, una serie di indicatori che le istituzioni dovranno utilizzare per monitorare lo sviluppo della rappresentanza e del trattamento paritario del personale di diversi generi, tenendo conto dei risultati di tale monitoraggio nell’ambito delle politiche di gestione del personale.

A titolo esemplificativo, e non esaustivo, tra gli indicatori menzionati figurano la rappresentanza di genere per area di business, i giorni di formazione suddivisi per genere e il rapporto tra posizioni full-time e part-time per genere.

2.4. Gestione dei conflitti di interesse

Le nuove Linee Guida, nell’ambito del Titolo IV, capitolo 11 relativo alla “Politica in materia di conflitti di interesse a livello dell’ente”, rafforzano ulteriormente la necessità di evitare conflitti di interesse definendo che è vietato esercitare simultaneamente, all’interno dello stesso istituto, le funzioni di Presidente dell’organo di gestione nella sua funzione di supervisione strategica e di Amministratore Delegato, in conformità all’articolo 88, paragrafo 1, della CRD VI. Allo stesso modo, nei gruppi, il Presidente dell’organo di gestione nella sua funzione di supervisione strategica della capogruppo non dovrebbe coincidere con il CEO di una controllata (par. 107a).

In aggiunta a quanto sopra, le Linee Guida sull’internal governance introducono misure per mitigare i conflitti quando un ex-CEO o un altro dirigente diventa membro dell’organo di gestione nella sua funzione di supervisione strategica, ivi incluso il caso in cui assuma il ruolo di Presidente. Infatti, qualora un CEO termini il mandato esecutivo e diventi membro non esecutivo dell’organo di gestione nella sua funzione di supervisione strategica, senza essere soggetto a un periodo di “cooling-off” di almeno tre anni, le istituzioni devono adottare strumenti per mitigare eventuali conflitti di interesse, soprattutto relativi alla supervisione delle proprie decisioni pregresse.

Tali strumenti possono comprendere l’astensione dalla presidenza o dal voto su punti di discussione legati alla propria precedente funzione e l’esclusione dalle discussioni riguardanti la valutazione della performance o le decisioni retributive relative al ruolo precedente. Misure analoghe sono raccomandate per altri membri dell’organo di gestione che transitano dalla funzione gestionale a quella di supervisione strategica, in assenza di un periodo di “cooling-off” sufficiente (par. 107b).

2.5. Gestione del rischio

In linea con le recenti evoluzioni normative, in particolare riguardo alle tematiche ESG, e alla luce delle crescenti innovazioni nel campo digitale che espongono il sistema finanziario a minacce informatiche e di cybersecurity sempre più complesse, le Linee Guida sull’internal governance ampliano esplicitamente la gamma dei rischi che gli istituti finanziari devono gestire e monitorare. In particolar modo si fa riferimento ai:

  • Rischi ESG: le istituzioni devono considerare i rischi ambientali, sociali e di governance (inclusi quelli climatici e di biodiversità) nel breve, medio e lungo termine (almeno 10 anni) e sviluppare piani con obiettivi quantificabili per affrontarli (par. 152);
  • Resilienza operativa digitale (DORA): per quanto riguarda la gestione dei rischi ICT, la gestione della continuità operativa dovrebbe essere coerente con il quadro normativo DORA, in particolare con la politica di continuità operativa ICT adottata (par. 225);
  • Intelligenza artificiale (IA): il documento fa ora riferimento alla nuova normativa sull’IA, indicando che è necessario considerare i rischi correlati ai sistemi di artificial intelligence (par. 6);
  • AML/CFT: viene ribadita l’importanza di disporre di adeguati meccanismi di governance al fine di gestire i rischi di riciclaggio di denaro e di finanziamento del terrorismo, istituendo una funzione separata di conformità AML/CFT come funzione di controllo indipendente (par. 171).

Le istituzioni devono di conseguenza adottare un approccio più olistico e lungimirante alla gestione del rischio, integrando i rischi non finanziari (come ESG e ICT) nei loro quadri di riferimento principali. Ciò richiede un cambiamento radicale nel modo in cui i rischi vengono identificati, misurati e mitigati, andando oltre le tradizionali categorie di rischio finanziario.

2.6. Funzioni di controllo interno

Per quanto riguarda le funzioni di controllo interno, le Linee Guida sull’internal governance ribadiscono l’importanza di garantire funzioni di controllo indipendenti e dotate di adeguati poteri per lo svolgimento delle proprie attività (par. 174a).

Si rafforza in particolare il principio secondo cui la decisione di combinare le funzioni di controllo di secondo livello sotto un’unica figura deve essere giustificata sulla base del principio di proporzionalità (par. 176). Nel caso in cui l’istituzione opti per la combinazione delle funzioni di controllo di secondo livello sotto un unico responsabile, essa deve, infatti, dimostrare, in primo luogo, che la natura, la dimensione e la complessità delle proprie attività non giustificano la nomina di figure separate per la funzione di Risk Management e per la funzione di Compliance; in secondo luogo, che siano stati valutati i potenziali conflitti di interesse e, infine, che siano state adottate misure idonee a gestire gli eventuali conflitti identificati.

Tale decisione deve inoltre essere adeguatamente documentata, specificando che il soggetto incaricato del coordinamento delle funzioni di controllo di secondo livello dispone di un tempo sufficiente e congruo per adempiere efficacemente ai propri compiti (c.d. time commitment).

3. Conclusioni

La consultazione in corso sulle Linee Guida dell’EBA in materia di internal governance, unitamente alla recente pubblicazione della bozza di Linee Guida della BCE sulla governance e sulla risk culture, rappresenta un passaggio importante nel percorso di rafforzamento dei presidi di governo societario delle istituzioni finanziarie.

Come riconosciuto dalla stessa EBA, si evidenzia, infatti, la necessità di prevenire e mitigare i rischi derivanti da assetti di governance interna non adeguati, in quanto suscettibili di incidere negativamente sulla sana e prudente gestione degli intermediari. A tal fine, le novellate disposizioni delle Linee Guida mirano a rafforzare taluni presidi di governance, in linea con le evoluzioni normative e di mercato, al fine di promuovere la diffusione di una solida cultura del rischio e rafforzare il sistema dei controlli interni in tutte le articolazioni organizzative.

Leggi gli ultimi contenuti dello stesso autore
Attualità
Governance e controlli

Le nuove Linee Guida EBA sull’internal governance

3 Settembre 2025

David Pirondini, Senior Partner, Deloitte Advisory

Daniel K. Normann, Director, Deloitte Advisory

Il contributo analizza le novità della consultazione EBA sulle modifiche alle Linee Guida EBA in materia di internal governance di attuazione del CRD VI e del DORA.
Attualità
Governance e controlli

Governance e Risk Culture: le novità della consultazione BCE

2 Agosto 2024

David Pirondini, Senior Partner, Deloitte Risk Advisory

Daniel K. Normann, Senior Manager, Deloitte Risk Advisory

Il contributo affronta le novità della nuova e attesa Guida BCE in consultazione sui temi della governance e della cultura del rischio, che sostituisce la precedente del 2016 arricchendola di nuovi contenuti.
Di cosa si parla in questo articolo
EBA Esponenti aziendali
Vuoi leggere la versione PDF?
Vuoi leggere altri contenuti degli autori?

WEBINAR / 30 Settembre
DORA e subappalto di servizi ICT


Gestione del rischio ICT e dei contratti nei nuovi RTS DORA

ZOOM MEETING
Offerte per iscrizioni entro il 09/09

SCOPRI I DETTAGLI

WEBINAR / 16 Settembre
Rischi climatici e ambientali: aspettative Banca d’Italia


Principali criticità e buone prassi per l'attuazione 2025

ZOOM MEETING
Offerte per iscrizioni entro il 28/08

SCOPRI I DETTAGLI
Iscriviti alla nostra Newsletter
ISCRIVITI