← Torna a Casi pratici applicati
Ultimo aggiornamento: 19 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.

L’art. 5 T.U.B. definisce il perimetro della vigilanza bancaria italiana: indica gli obiettivi che le autorità (Banca d’Italia, BCE nel Meccanismo di Vigilanza Unico, CONSOB per i profili di mercato) devono perseguire e individua chi è chiamato a rispettarne le regole. Capirne la logica significa anticipare le richieste dell’organo di vigilanza, dimensionare correttamente i presidi interni e disinnescare contestazioni prima che diventino procedimenti sanzionatori. In questa guida raccogliamo cinque scenari operativi tratti dalla prassi di vigilanza, con il dialogo tipico tra intermediario vigilato e autorità e i riferimenti normativi rilevanti per impostare correttamente la risposta.

Prima degli esempi: il quadro normativo

L’art. 5 T.U.B. (D.Lgs. 385/1993) fissa quattro finalità di sistema della vigilanza creditizia: sana e prudente gestione dei soggetti vigilati, stabilità complessiva del sistema finanziario, efficienza e competitività del sistema stesso. La norma precisa inoltre che la vigilanza si esercita nel rispetto della disciplina comunitaria, oggi articolata su CRR (Reg. UE 575/2013) e CRD V (Dir. UE 2019/878 di modifica della CRD IV), e si avvale dei tre pilastri di Basilea: requisiti minimi di capitale (Pillar 1), processo di controllo prudenziale (Pillar 2) e disciplina di mercato tramite informativa al pubblico (Pillar 3).

I principi cardine sono tre. Proporzionalità: l’intensità dei controlli e degli adempimenti varia in base a dimensione, complessità e profilo di rischio del soggetto vigilato. Adeguatezza: i presidi organizzativi devono essere coerenti con le attività effettivamente svolte. Gradualità: le misure correttive si scalano nel tempo, dalla raccomandazione informale alla decisione vincolante, fino alle misure di early intervention e alle sanzioni amministrative.

La vigilanza si articola in tre modalità complementari: regolamentare (emanazione di circolari e disposizioni di vigilanza, prima fra tutte la Circ. Banca d’Italia 285/2013), informativa (segnalazioni periodiche, COREP, FINREP, schemi armonizzati EBA) e ispettiva (verifiche on-site presso la sede dell’intermediario). Il SREP — Supervisory Review and Evaluation Process — è lo strumento di sintesi annuale con cui l’autorità valuta business model, governance, rischi di capitale e rischi di liquidità di ciascun soggetto vigilato.

Le 4 finalità: sana gestione, stabilità, efficienza, competitività

La sana e prudente gestione è la finalità microprudenziale: riguarda il singolo intermediario e impone di evitare l’assunzione di rischi non misurati, non monitorati o non coperti da capitale adeguato. Si traduce in requisiti su governance, sistema dei controlli interni, politiche di remunerazione, gestione del credito anomalo.

La stabilità complessiva è la finalità macroprudenziale: tutela il sistema finanziario nel suo insieme da rischi sistemici, contagio, prociclicità. Si esercita con buffer di capitale aggiuntivi (capital conservation buffer, countercyclical buffer, buffer per le banche a rilevanza sistemica nazionale O-SII) e con strumenti di intervento sulle esposizioni concentrate.

L’efficienza attiene all’allocazione delle risorse: la vigilanza non deve ostacolare l’innovazione né imporre costi di compliance sproporzionati. È la base giuridica del principio di proporzionalità e della distinzione tra banche significant (vigilate direttamente da BCE) e less significant (vigilate da Banca d’Italia in raccordo con BCE).

La competitività tutela il level playing field: regole omogenee per soggetti che svolgono attività omogenee, riconoscimento reciproco tra autorità europee, libera prestazione di servizi e diritto di stabilimento. Su questa finalità si fonda il passaporto europeo per banche e imprese di investimento.

I destinatari della vigilanza

L’art. 5 individua quattro categorie di soggetti vigilati. Le banche, autorizzate ex art. 14 T.U.B., italiane o filiali italiane di banche extracomunitarie. I gruppi bancari iscritti nell’albo ex art. 64 T.U.B., con vigilanza consolidata che si estende alla capogruppo, alle controllate finanziarie e alle società strumentali. Gli intermediari finanziari ex art. 106 T.U.B., iscritti nell’albo unico tenuto da Banca d’Italia e abilitati alla concessione di finanziamenti al pubblico (società di leasing, factoring, credito al consumo, confidi maggiori, servicer NPL). I soggetti che forniscono funzioni operative essenziali o importanti in outsourcing alle banche e ai gruppi: rientrano nel perimetro della vigilanza indiretta tramite la responsabilità del soggetto esternalizzante.

Restano fuori dal perimetro dell’art. 5 — pur essendo vigilati su altre basi normative — le imprese di investimento (SIM, sotto MiFID II e CONSOB), gli IMEL e gli IP (artt. 114-bis e 114-quater T.U.B., regime ad hoc), gli OICR (Direttiva UCITS/AIFMD), le assicurazioni (IVASS).

Scenario 1 — Banca media riceve esiti SREP con add-on di capitale

Una banca italiana less significant, total assets 8 miliardi di euro, riceve a fine anno la lettera di decisione SREP con un add-on Pillar 2 Requirement (P2R) di 75 punti base sopra il requisito minimo CET1. La motivazione: concentrazione settoriale sul real estate commerciale superiore alla media di sistema, modello interno di rating non ancora validato.

Cosa fare. L’intermediario ha 30 giorni dalla notifica per presentare osservazioni scritte (right to be heard), poi la decisione diventa definitiva. La risposta corretta non è contestare il dato di concentrazione — che è oggettivo — ma presentare un piano di gestione attiva del portafoglio (loan sales, sub-partecipazioni, hedging) con target temporali misurabili. Banca d’Italia valuta l’impegno credibile e può ridurre l’add-on al SREP successivo. Riferimenti: art. 53 T.U.B. (poteri di vigilanza regolamentare e di intervento), Circ. 285/2013, Parte Prima, Titolo III, Capitolo 1.

Scenario 2 — Intermediario ex art. 106 presenta il primo ICAAP

Una società di leasing iscritta all’albo unico ex art. 106 T.U.B., con attivo 350 milioni di euro, deve trasmettere a Banca d’Italia il resoconto ICAAP-ILAAP entro il 30 aprile. È la prima volta dopo l’iscrizione: il consiglio di amministrazione chiede di capire la differenza con il rendiconto annuale ordinario.

Cosa fare. L’ICAAP (Internal Capital Adequacy Assessment Process) è un processo, non un documento: l’intermediario deve dimostrare di aver identificato tutti i rischi rilevanti (credito, mercato, operativo, tasso del banking book, concentrazione, residuo, strategico, reputazionale), di averli misurati con metodologie proporzionate e di aver allocato capitale interno coerente. Il resoconto è la fotografia finale. L’ILAAP fa lo stesso per la liquidità (LCR, NSFR, stress test sui flussi). Riferimenti: Circ. Banca d’Italia 288/2015 per gli intermediari 106, art. 108 T.U.B. (vigilanza sugli intermediari finanziari).

Scenario 3 — Gruppo bancario consolidato e perimetro di vigilanza

Una capogruppo bancaria controlla due banche commerciali, una SGR, una società immobiliare strumentale e una fintech partecipata al 35% specializzata in pagamenti instant. L’organo di vigilanza chiede di precisare il perimetro consolidato e il trattamento della fintech.

Cosa fare. La capogruppo è destinataria diretta della vigilanza consolidata ex art. 65 T.U.B.: deve garantire policy uniformi, sistema dei controlli integrato, piano di risanamento di gruppo. Le due banche e la SGR rientrano nel perimetro pieno. La società immobiliare strumentale è inclusa come società strumentale ex art. 59 T.U.B. La partecipata al 35% non è controllata: rileva ai fini delle grandi esposizioni e dei limiti prudenziali, ma non entra nel consolidamento prudenziale. Va comunque dichiarata nelle segnalazioni FINREP come partecipazione qualificata.

Scenario 4 — Outsourcing del core banking system a fornitore IT

Una banca decide di migrare il proprio core banking system su una piattaforma cloud fornita da un operatore tecnologico internazionale. Il contratto prevede SLA di disponibilità 99,9%, data center primario in Irlanda, disaster recovery in Germania.

Cosa fare. Si tratta di outsourcing di una funzione operativa essenziale: scattano gli obblighi della Circ. 285/2013, Parte Prima, Titolo IV, Capitolo 3, e degli Orientamenti EBA su esternalizzazione (EBA/GL/2019/02). L’intermediario deve: notificare preventivamente Banca d’Italia, condurre due diligence documentata, inserire in contratto clausole di accesso, audit e ispezione anche per l’autorità, definire exit strategy, classificare i dati e verificare il rispetto del GDPR. La responsabilità verso l’autorità resta in capo alla banca: l’outsourcing non trasferisce mai la responsabilità di vigilanza. Anche il fornitore IT, in quanto erogatore di funzione essenziale, è soggetto alla vigilanza indiretta dell’art. 5.

Scenario 5 — Vigilanza proporzionale su banca locale di piccola dimensione

Una banca di credito cooperativo aderente a un gruppo bancario cooperativo, attivo 450 milioni di euro, lamenta che il carico segnaletico è sproporzionato rispetto alla complessità operativa. Vuole capire come fare leva sul principio di proporzionalità.

Cosa fare. Il principio di proporzionalità non è un’esenzione, è un criterio di calibrazione. La banca rientra nella categoria delle small and non-complex institutions (SNCI) ai sensi del CRR 2: ha accesso a regimi semplificati per disclosure Pillar 3, reporting di vigilanza ridotto, esenzioni parziali da NSFR. La capogruppo cooperativa concentra molte funzioni (risk management, compliance, internal audit) e questo riduce ulteriormente il carico individuale. Riferimenti: artt. 37-bis T.U.B. (gruppi bancari cooperativi), CRR 2 art. 4(1)(145).

Quando e come dialogare con l’autorità

Il dialogo con Banca d’Italia o BCE si articola su tre livelli. Ordinario: incontri annuali del joint supervisory team (per banche significant) o incontri periodici dell’analista di riferimento (per less significant), trasmissione di flussi informativi programmati. Straordinario: comunicazioni ex art. 6 T.U.B. su operazioni rilevanti (acquisizioni di partecipazioni qualificate, modifiche statutarie, nomine di esponenti aziendali soggetti a fit & proper). Reattivo: risposte a richieste ad hoc, contraddittorio scritto su esiti ispettivi, osservazioni su decisioni SREP.

Tre regole pratiche per l’operatore vigilato. Primo: rispettare i termini, sempre; un ritardo segnaletico è di per sé violazione sanzionabile ex art. 144 T.U.B. Secondo: motivare i numeri; un dato senza spiegazione qualitativa viene letto nel modo peggiore. Terzo: anticipare i temi caldi; se l’intermediario sa che ha un punto debole (concentrazione, governance, IT) e lo affronta nella relazione di gestione, riduce l’asimmetria informativa e la severità della valutazione SREP.

Norme e fonti

Domande frequenti

Un confidi minore è destinatario diretto della vigilanza ex art. 5? No. I confidi minori non iscritti all’albo unico ex art. 106 sono iscritti nell’elenco ex art. 112 T.U.B., con vigilanza più leggera affidata all’Organismo dei Confidi Minori (OCM). Restano fuori dal perimetro dell’art. 5 strictu sensu, ma rispondono comunque a regole di trasparenza e correttezza.

Il principio di proporzionalità può ridurre i requisiti di capitale minimi? No. I requisiti minimi Pillar 1 (CET1, Tier 1, Total Capital, leverage ratio, LCR, NSFR) sono uguali per tutti. La proporzionalità incide su disclosure, frequenza segnaletica, profondità degli stress test interni, complessità degli ICAAP/ILAAP, intensità ispettiva.

Cosa accade se un intermediario 106 non rispetta i tempi di trasmissione del resoconto ICAAP? Banca d’Italia può attivare misure ex art. 108 T.U.B.: richiesta integrativa, ispezione mirata, ordine di rafforzamento dei presidi, sospensione dell’iscrizione nei casi più gravi. Si applicano inoltre le sanzioni amministrative pecuniarie ex art. 144 T.U.B.

L’outsourcing al cloud è ammesso per il core banking? Sì, ma con presidi rafforzati. Banca d’Italia ha chiarito che il cloud computing è una modalità tecnologica neutra: rilevano sostanza del controllo, accessibilità ai dati per fini di vigilanza, continuità operativa, gestione del rischio di concentrazione su un singolo fornitore. Il fornitore cloud che eroga funzioni essenziali entra nella vigilanza indiretta ai sensi dell’art. 5 T.U.B.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.