FINMA 02/2026: La prevenzione delle frodi appartiene all'art. 12 BankV, non all'art. 9 GwG
La comunicazione di vigilanza FINMA 02/2026 del 9 aprile 2026 riconduce le frodi digitali alla gestione del rischio operativo ai sensi dell'art. 12 BankV e del FINMA-RS 2023/1, non alla segnalazione di sospetto ex art. 9 GwG. Chi si presenterà al prossimo ciclo ispettivo con le statistiche MROS in mano sta rispondendo alla domanda sbagliata.
Dr. iur. Servatius von Tatzenberg
La comunicazione di vigilanza FINMA 02/2026 del 9 aprile 2026 sposta il punto di partenza dell’analisi. Phishing, Authorised Push Payments, Account Takeover, CEO Fraud: ciò che le banche trattavano finora come un problema di riciclaggio a valle viene ora ricondotto dall’autorità alla gestione del rischio operativo ai sensi dell’art. 12 BankV e del FINMA-RS 2023/1 «Rischi operativi e resilienza – banche», interamente revisionato. Chi si presenterà al prossimo ciclo ispettivo con le statistiche delle segnalazioni di sospetto ex art. 9 GwG sta rispondendo alla domanda sbagliata.
La comunicazione si basa su un’indagine condotta alla fine del 2025 presso 19 banche appartenenti a diverse categorie di vigilanza. Otto degli istituti interpellati erano privi di una propria policy sulle frodi digitali, pari al 42 per cento del campione. Sette non disponevano di un piano di risposta agli incidenti standardizzato, tre erano privi di un comitato di gestione delle frodi, circa un quarto non aveva alcun processo per anticipare nuovi schemi fraudolenti. Sono valori di distribuzione ricavati da un campione regolare di vigilanza.
L’art. 12 BankV obbliga le banche a disciplinare la gestione dei rischi e la separazione delle funzioni in un apposito regolamento e a rilevare, limitare e monitorare i rischi operativi. Quando la comunicazione di vigilanza 02/2026 esige una «gestione adeguata dei rischi» contro le frodi digitali, si aggancia a questa disposizione — non all’art. 9 GwG, che entra in gioco soltanto quando un sospetto già esiste. La comunicazione di vigilanza si applica esplicitamente alle banche e alle persone ai sensi dell’art. 1b BankG. I titolari di licenza fintech e i prestatori di servizi di pagamento di questa categoria di licenza sono pertanto parimenti assoggettati. Il FINMA-RS 2023/1, in vigore dal 1° gennaio 2024, ha esteso il catalogo degli obblighi ai rischi ICT, ai dati critici e alla resilienza operativa, e la comunicazione di vigilanza attribuisce ora espressamente phishing, Account Takeover e CEO Fraud a questi vettori di rischio.
Finora un istituto poteva ritenere sufficiente la risposta «abbiamo effettuato la segnalazione». L’art. 9 cpv. 1 GwG prescrive che l’intermediario finanziario, in presenza di fondato sospetto di riciclaggio o di un reato presupposto, effettui una comunicazione all’autorità competente. Tale obbligo scatta quando il danno ha già attraversato il sistema. La comunicazione di vigilanza esige ora che la banca intervenga a monte — in sede di apertura digitale della relazione con il cliente, di fronte a un pattern di Account Takeover, o di fronte a un documento d’identità manipolato. L’autorità non chiede più «avete segnalato», ma «perché non avete rilevato il problema».
L’indagine fornisce la base empirica. Il tasso di conversione dei sospetti di frode interni in comunicazioni formali a MROS variava tra gli istituti di un fattore dieci — dal 12 al 78 per cento. La maggior parte degli istituti applicava soglie di transazione fisse tra CHF 100’000 e 200’000 per i clienti retail con classificazione di rischio bassa o normale, anziché un monitoraggio basato su scenari. FINMA ha rilevato che le informazioni KYC erano tenute in modo generalmente scarno presso gli istituti interpellati e scollegate dal monitoraggio delle transazioni. Questa dispersione documenta arbitrarietà, e l’arbitrarietà non soddisfa i requisiti dell’art. 12 BankV.
Un rilievo specifico accentua questo cambiamento di prospettiva. FINMA descrive casi in cui la relazione con il cliente era stata aperta da una persona legittima con documenti d’identità validi, ma in cui l’accesso era stato successivamente ceduto a terzi — senza che FINMA abbia per questo classificato i conti aperti online come generalmente più esposti alle frodi rispetto a quelli aperti di persona. Questo schema elude il classico filtro KYC, perché il filtro interviene nel momento esatto in cui l’identificazione è formalmente corretta. Video manipolati e documenti d’identità generati dall’intelligenza artificiale rendono la forensica ex post onerosa e spostano in avanti il punto di rilevamento. La circolare 2023/1 aveva affrontato tali vettori sotto la voce «rischi ICT»; la comunicazione di vigilanza li esplicita ora come rischio di frode, rientrante nel perimetro dell’art. 12 BankV.

FINMA indica anche il percorso di escalation: limitazioni temporanee dei servizi nei quali si concentrano i casi di frode. Non si tratta di una nuova competenza — l’art. 31 FINMAG consente il ripristino dello stato regolare sin dalla creazione dell’autorità. La novità sta nel presupposto di applicazione: la comunicazione collega esplicitamente tale strumento a un’inadeguatezza organizzativa ai sensi dell’art. 12 BankV. Chi gestisce l’onboarding digitale senza un livello anti-frode rischia, in base agli accertamenti, la sospensione temporanea dell’onboarding digitale (cfr. comunicazione di vigilanza, sezione Misure).
Tre passi sono operazionalizzabili entro una settimana. In primo luogo, riesaminare l’inventario dei rischi ai sensi dell’art. 12 BankV per verificare se le frodi digitali siano gestite come categoria autonoma o se confluiscano nella voce «rischio operativo, varie». In secondo luogo, documentare il tasso di conversione MROS per canale e per filiale: se la dispersione è marcata, l’istituto lavora senza un metodo di rilevamento uniforme. In terzo luogo, verificare il processo di onboarding rispetto alla fattispecie descritta nei rilievi FINMA e ancorare nel regolamento un passaggio di verifica in due fasi successivo alla formale apertura del conto.
L’art. 12 BankV e il FINMA-RS 2023/1 costituiscono il quadro di riferimento. La comunicazione di vigilanza 02/2026 stabilisce come FINMA lo applica ai rischi di frode digitale: come rischio operativo rilevante, da gestire prima che il danno si materializzi. Se questa interpretazione regga alla prova di una misura di vigilanza concreta lo dirà il ciclo ispettivo 2026 — i primi audit interni successivi al 9 aprile costituiranno il materiale su cui FINMA calibrerà le proprie aspettative. Nel frattempo vale la domanda semplice: il regolamento organizzativo contiene la frase «la frode digitale è un rischio operativo ai sensi dell’art. 12 BankV», o manca ancora.