Il risk management deve cambiare passo. Non più soltanto funzione di controllo, chiamata a intervenire in modo reattivo, ma presidio proattivo, vicino al business e capace di orientare la gestione dei rischi emergenti.
È il cambio di paradigma indicato da Vincenzo Cosenza, Partner Regulatory & Risk Management di Deloitte, nella videointervista rilasciata a Bancaforte in occasione di Supervision, Risks & Profitability 2026. Una riflessione che nasce da un contesto segnato da instabilità geopolitica, incertezza macroeconomica, accelerazione tecnologica e nuove pressioni regolamentari.
Secondo Cosenza, il nuovo ruolo del risk management si sviluppa lungo tre direttrici. La prima riguarda l’utilizzo più esteso di strumenti forward looking, dai risk indicator alle what-if analysis, per supportare le decisioni aziendali e anticipare gli impatti dei diversi scenari. La seconda è l’evoluzione verso una funzione di advisor e challenger delle linee di business. La terza è il ruolo di orchestratore: una figura capace di fare da pivot nella misurazione, integrazione e gestione coerente dei nuovi rischi nel tempo.
A spingere questa trasformazione sono diversi fattori convergenti. Le tensioni geopolitiche e l’incertezza macroeconomica ampliano l’esposizione delle istituzioni finanziarie. L’intelligenza artificiale accelera la transizione tecnologica e introduce nuove complessità operative, organizzative e di controllo. In parallelo, emergono rischi sempre più interconnessi, che richiedono framework meno verticali e più integrati.
Il quadro regolamentare rafforza ulteriormente questa esigenza. DORA, AI Act e NIS2 stanno ridefinendo le regole del gioco, mentre le supervisory priorities della BCE pongono la resilienza aziendale tra le priorità dei prossimi anni. A questo si aggiunge un contesto sanzionatorio più severo, con autorità europee sempre più allineate agli standard nordamericani in caso di violazioni legate ai rischi emergenti. Per le banche, rafforzare i presidi di risk management significa quindi anche mitigare il rischio reputazionale.
Il percorso verso la resilienza operativa, avverte Cosenza, non può essere immediato. Occorre procedere per step, individuando prima quick win e processi aziendali chiave su cui intervenire nel breve termine. In una seconda fase, sarà necessario far evolvere i framework di gestione dei rischi sui principali processi strategici e sulle business unit più rilevanti. Nel medio-lungo periodo, l’obiettivo è consolidare questo approccio ed estenderlo all’intera organizzazione, coniugando resilienza, sostenibilità ed efficienza.
Guarda lo Speciale Supervision, Risks & Profitability 2026



