Home Educazione Finanziaria L’IT delle banche italiane: un sistema a due velocità

L’IT delle banche italiane: un sistema a due velocità

37
0
I. La valutazione strategica dell’IT: un sistema a due velocità

La fotografia più nitida della condizione tecnologica del sistema bancario italiano emerge dall’incrocio di tre fonti: la Rilevazione Economica CIPA 2024, l’Indagine Fintech di Banca d’Italia (quinta edizione, 2024) e i benchmark elaborati dall’Osservatorio Fintech e Insurtech del Politecnico di Milano. Il quadro che ne risulta è di un sistema che ha accelerato con decisione la propria propensione tecnologica, ma che continua a muoversi su due piani difficilmente conciliabili: i grandi gruppi italiani sono ai vertici europei, il resto del sistema è strutturalmente indietro. Sul piano del digital banking alcune criticità chiedono di essere affrontate con consapevolezza strategica.

Il gap quantitativo

Le banche italiane destinano mediamente il 4-5% dei costi operativi alla tecnologia, contro il 6-8% delle istituzioni nordeuropee. Sul totale attivo, la spesa IT dei 23 gruppi bancari rilevati dal CIPA si attesta a 3,14 per mille — in crescita rispetto ai 2,72‰ del 2022, ma ancora lontana dai livelli dei sistemi più avanzati. La voce investimenti è ancora più eloquente: solo 62 centesimi ogni mille euro di totale attivo, con gli investimenti che coprono a fatica 1,38 volte gli ammortamenti IT. Il sistema si rinnova, ma senza accumulare riserve tecnologiche significative.
Il dato più critico riguarda la composizione della spesa. Dei 6.618 milioni di euro di cash out IT annuo complessivo dei gruppi bancari italiani, il 67,2% va al mantenimento dell’operatività corrente (run) e solo il 32,8% a innovazione e sviluppo (change). Sottraendo da quest’ultima quota la componente di adeguamento normativo obbligatorio — che assorbe mediamente l’11,1% del budget IT — la quota di spesa effettivamente destinata all’innovazione strategica scende a dimensioni molto

La struttura duale

La valutazione complessiva richiede però di evitare l’errore di trattare il sistema bancario italiano come un blocco omogeneo. Intesa Sanpaolo ha completato una migrazione cloud con il progetto Skyrocket, portando le proprie applicazioni sui data center Google di Torino e Milano, ha lanciato Isybank come banca cloud-native e ha identificato 104 casi d’uso per l’intelligenza artificiale nel programma AIxeleration, abbattendo il cost/income al 42%, un livello che la pone tra i migliori operatori europei. UniCredit ha percorso un cammino analogo, con la dismissione dell’infrastruttura IT proprietaria e la ricostruzione su architetture cloud-native.Il problema è la dispersione. La Rilevazione CIPA mostra che la quota di spesa destinata al change sale al 43% nei gruppi principali e scende al 18% nei gruppi piccoli, la classe dimensionale che comprende anche la quasi totalità delle banche challenger italiane. Il divario interno al sistema è più ampio del divario con i peer europei, e tende ad allargarsi.

Il confronto europeo

Fuori dall’Italia, i riferimenti sono chiari. Le banche dei paesi nordici — Nordea, SEB, DNB — hanno completato la migrazione dei core banking verso il cloud da almeno un decennio, operano con cost/income strutturalmente sotto il 45% e hanno ridotto i canali fisici con un anticipo decennale rispetto all’Italia. La Spagna offre il caso più rilevante come benchmark diretto: BBVA ha costruito una piattaforma cloud-native proprietaria e commercializza soluzioni tecnologiche ad altre banche; Santander opera in mercati emergenti digitali con modelli del tutto diversi dal bancario tradizionale. ING nei Paesi Bassi ha adottato un modello organizzativo agile puro, eliminando il middle management e riorganizzandosi per tribe e squad tecnologici.
Francia e Germania presentano una posizione più vicina all’Italia: legacy IT pesante, costi di trasformazione elevati, architetture complesse ereditate da decenni di fusioni e acquisizioni. La differenza è che in quei sistemi i grandi operatori (BNP Paribas, Deutsche Bank, Commerzbank) dispongono di volumi e margini che consentono piani di trasformazione pluriennali con investimenti nell’ordine dei miliardi annui. L’88% delle banche significant europee utilizza già strumenti di intelligenza artificiale per fraud detection, customer engagement, compliance e regulatory reporting. In Italia questa percentuale è molto più alta nelle grandi banche che nel sistema complessivo.

I principali indicatori comparativi

Indicatore

Italia 2024
(CIPA)

Gruppi Piccoli
(CIPA)

Benchmark
Nord EU / ECB

Costi IT / Totale attivo

3,14‰

3,32‰

~4‰ (EU avg)

Costi IT / Costi operativi

17,38%

16,35%

20-25% (Nord EU)

Investimenti IT / Costi operativi

4,07%

1,61%

6-8% (Nord EU)

Quota Change su IT totale

32,8%

18,0%

~45% (leader EU)

Public cloud su cash out IT

4,1%

~2%

~20% (ECB SI)

Investimenti IT / Ammortamenti

1,38x

1,52x

>1,5x (sostenibile)

Cash out IT / Dipendenti (€000)

31,1

31,8

n.d.

AI in uso (% istituti)

~40% sist.

<20%

88% (ECB SI)

▶  Fonti: Rilevazione Economica CIPA 2024; Indagine Fintech Banca d’Italia 2024; Politecnico di Milano — Osservatorio Fintech e Insurtech; ECB Digital Transformation in Significant Institutions 2024.

II. DORA e l’adeguatezza dell’informazione sull’IT bancario

Per decenni, la spesa IT delle banche italiane non è stata impostata su un formato di segnalazione standardizzato che isolasse la componente tecnologica nei flussi informativi verso l’autorità di vigilanza: la Matrice dei Conti (Circolare Banca d’Italia 272/2008) non prevede una voce autonoma per gli investimenti IT; il FINREP aggrega tutto nelle “altre spese amministrative”; il Terzo Pilastro è discrezionale nella granularità della disclosure. La Rilevazione CIPA costituisce da cinquant’anni l’unica fonte sistematica, con due limiti strutturali: è volontaria e pubblica solo in forma aggregata per cluster dimensionale.

Il cambiamento introdotto da DORA

Il Digital Operational Resilience Act (DORA), in vigore dal gennaio 2025, introduce per la prima volta un obbligo di segnalazione strutturata sull’IT bancario direttamente alle autorità competenti. Le novità sostanziali riguardano quattro ambiti.

Budget ICT disaggregato. Le banche devono ora segnalare il budget ICT totale, la quota destinata all’innovazione rispetto al mantenimento (change vs run) e la spesa per provider terzi critici. Per la prima volta, il supervisore dispone di dati individuali sulla propensione tecnologica di ogni istituzione vigilata.

Registro dei fornitori ICT terzi (TPICTR). Ogni ente finanziario deve tenere aggiornato un registro di tutti i fornitori ICT da cui dipende per funzioni critiche o importanti, con dettaglio sui servizi forniti, sulla loro sostituibilità e sui contratti in essere. Questo registro è sottoposto a verifica di vigilanza e rende per la prima volta trasparente la mappa delle dipendenze tecnologiche. Il dato ECB indica che i servizi cloud rappresentano già circa il 20% dei contratti di outsourcing delle istituzioni significant: una quota destinata a crescere rapidamente.

Segnalazione degli incidenti ICT. Gli incidenti ICT rilevanti devono essere notificati entro 4 ore dalla classificazione, con una relazione iniziale entro 24 ore e una relazione finale entro 30 giorni. Questo regime sostituisce i precedenti obblighi frammentati (EBA Guidelines on ICT and Security Risk, PSD2 per i pagamenti) e crea per la prima volta un database comparabile a livello europeo sugli incidenti IT del settore.

Test di resilienza operativa digitale (TLPT). Le istituzioni significative sono soggette a Threat-Led Penetration Testing con cadenza triennale, secondo il framework TIBER-EU. I risultati non sono pubblici ma confluiscono nelle valutazioni SREP. Le banche con architetture IT frammentate o in forte dipendenza da outsourcer singoli hanno evidenziato le maggiori criticità nelle fasi di preparazione.

“I progressi delle banche vigilate per affrontare le carenze nei loro framework RDARR (Risk Data Aggregation and Risk Reporting) rimangono lenti, con debolezze nella governance dei dati, nell’infrastruttura IT e nell’architettura dati.” BCE, Supervisory Priorities 2024-2026.

Cosa cambia nella conoscenza del sistema

L’effetto complessivo di DORA sulla qualità dell’informazione è profondo. Per la prima volta, l’autorità di vigilanza disporrà a regime di un set di dati individuali, strutturati e comparabili sulla condizione IT di ogni banca.
Il regime informativo resterà però asimmetrico. I dati DORA sono trasmessi alle autorità di vigilanza, non pubblicati. Il mercato e gli analisti continueranno a dipendere dalla disclosure volontaria nei bilanci e nei documenti di Terzo Pilastro. La novità è che la vigilanza potrà agire con una conoscenza molto più dettagliata; e questo aumenterà la pressione sulle banche per migliorare la condizione IT e non incorrere in rilievi SREP.

III. Il ruolo dell’outsourcing: un oligopolio strutturale

Un’area dove DORA è destinata a incidere in modo particolarmente visibile sul sistema bancario italiano riguarda il rischio di concentrazione tecnologica. La struttura dell’outsourcing IT nazionale produce una situazione in cui una quota significativa del sistema bancario italiano dipende da un numero ristretto di fornitori. Il TPICTR renderà questa concentrazione misurabile in modo preciso, aprendo la strada a possibili interventi di supervisione analoghi a quelli già avviati dalla BCE in materia di cloud e di provider sistemici.
La Rilevazione CIPA 2024 documenta che i servizi da terzi assorbono il 54,5% del TCOIT dei gruppi bancari italiani. Per i gruppi piccoli, questa quota supera il 69%. Il sistema bancario italiano ha costruito, nell’arco di cinquant’anni, una struttura di outsourcing IT che è una soluzione razionale ai problemi di scala, ma anche un vincolo strutturale alla sovranità tecnologica delle singole istituzioni.
L’ecosistema si articola in cinque operatori principali, ognuno dei quali serve un diverso profilo di banca e poggia su una diversa storia istituzionale. Cedacri, Sec più Ex Cabel, CSE, servizi informatici dei due gruppi cooperativi.
La struttura dell’IT outsourcing bancario italiano genera quattro tensioni che DORA è destinata ad acuire piuttosto che risolvere.

Concentrazione sistemica. Un numero limitato di fornitori gestisce il sistema informativo di una quota molto elevata del sistema bancario italiano. Un incidente operativo grave o una discontinuità nel servizio di uno di questi operatori può propagarsi immediatamente ad altri. Il TPICTR DORA renderà questa concentrazione visibile al supervisore in modo sistematico.

Lock-in tecnologico. Le banche in full outsourcing hanno ceduto al fornitore la gestione del proprio core banking. Ogni sostituzione del fornitore richiede una migrazione applicativa di grande complessità, con rischi operativi elevati nel breve termine. Questo lock-in riduce il potere negoziale delle banche clienti e rallenta l’adozione di innovazioni non ancora disponibili nella piattaforma del fornitore.

Dipendenza vs. sovranità del dato. I dati dei clienti bancari (transazioni, profili creditizi, comportamenti) risiedono sui sistemi del fornitore IT. L’avvento di regimi come DORA e del Regolamento sui dati finanziari (FIDA) pone con urgenza la questione della portabilità e della sovranità del dato. Una banca che non controlla il proprio sistema informativo fa fatica a garantire queste prerogative in modo pieno.

Fornitori stranieri dell’IT nazionale. L’acquisizione di Cedacri, il maggior outsourcer del mercato, da parte di ION, un gruppo internazionale con sede in Irlanda, e la penetrazione di provider cloud americani (AWS, Microsoft Azure, Google Cloud) nelle infrastrutture bancarie italiane pongono questioni di sovranità tecnologica che trascendono la singola banca. La supervisione europea ha già segnalato il rischio di dipendenza da un numero ristretto di cloud provider extra-europei come rischio sistemico.

IV. La redditività attuale del sistema bancario non è una garanzia sufficiente per il futuro

Il sistema bancario italiano presenta nel 2025 indicatori di redditività ai massimi storici: ROE al 13,3%, cost/income al 53,2%, utile netto che copre 3,39 volte i costi IT totali. In questo contesto, la pressione a investire in tecnologia è strutturalmente ridotta: perché farlo quando i margini di interesse coprono facilmente i costi operativi e i mercati premiano i dividendi?
La risposta è nel rischio a medio termine. Quando i tassi torneranno verso la neutralità, i margini di interesse si comprimeranno e la competizione con operatori nativo-digitali si intensificherà. Le banche che avranno investito nella trasformazione strutturale dell’IT avranno un vantaggio competitivo: cost/income strutturalmente più basso, capacità di offrire servizi digitali avanzati, dati puliti e aggregabili per l’AI, architetture cloud-native che scalano a costi marginali bassi.
DORA è il catalizzatore normativo di questo processo. Non impone investimenti, ma rende la condizione IT di ogni banca trasparente al supervisore e, indirettamente, al mercato. La convergenza tra pressione competitiva, obbligo normativo e accesso a dati IT strutturati cambierà nei prossimi anni il paradigma della tecnologia bancaria italiana: da tema di costo a tema di sopravvivenza.
Particolarmente esposto alla concorrenza il segmento del digital banking, cosa che potrebbe intensificarsi con la crescita del ricorso all’AI, facendo di una posizione meramente difensiva di fronte all’aggressività di campioni come Revolut, Trade Republic e N26 una linea poco sostenibile senza investimenti strutturali in sovranità tecnologica.
La sfida è duplice: modernizzare la relazione con i propri outsourcer IT, negoziando TPICTR, piani di uscita e SLA allineati a DORA e costruire internamente quelle competenze di governo tecnologico che il modello del full outsourcing ha storicamente eroso. Chi riuscirà in questo percorso sarà nella posizione migliore per affrontare la prossima fase del ciclo bancario. Chi non lo farà rischierà di scoprire, nel momento peggiore, che la propria infrastruttura tecnologica appartiene di fatto a qualcun altro. Passato compreso.

“Sarebbe un grave errore continuare a rimanere indietro in quest’area. Le banche con una presenza digitale più forte possono diversificare meglio i ricavi e guadagnare quote di mercato nel credito”, Fabio Panetta, Governatore Banca d’Italia.

 

Fonti 
· Rilevazione Economica CIPA — Esercizio 2024 (novembre 2025)
· Banca d’Italia — Indagine Fintech nel sistema finanziario italiano, 5a edizione (2024)
· Politecnico di Milano — Osservatorio Fintech e Insurtech, Rapporto annuale 2024
· BCE / SSM — Digital Transformation in Significant Institutions (2024); Supervisory Priorities 2024-2026
· Regolamento UE 2022/2554 (DORA), gennaio 2025
· EBA Risk Dashboard — Q4 2025
· C-Innovation — Italian Digital Banking & SME Market 2025 (Q1 2025)
· Forbes / Statista — World’s Best Banks Italy 2026 (aprile 2026)·

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here