Conferenza stampa annuale FINMA 2026: chi legge il comunicato perde di vista il mandato ispettivo
La conferenza stampa annuale FINMA del 21 aprile 2026 raccoglie le comunicazioni di vigilanza 05/2025, 01/2026 e 02/2026 in un unico asse di verifica per l'anno di vigilanza in corso. Ciò che nella parte patrimoniale suona come consuntivo è in realtà la guida per il prossimo controllo in loco.
Dr. iur. Servatius von Tatzenberg
Il 21 aprile 2026 la FINMA si è presentata ai microfoni con la sua conferenza stampa annuale. La relazione annuale 2025 si legge in parte come un’autoriflessione sulla resilienza conseguita. Per l’ufficio legale di un istituto vigilato è qualcosa di diverso: l’ordine del giorno per il prossimo controllo in loco.
Tre assi emergono dal documento come oggetti di verifica immediata, non come intenzioni programmatiche: la resilienza operativa ai sensi della comunicazione di vigilanza 05/2025, la frode digitale ai sensi della 02/2026 e la separazione di asset crittografici ai sensi della 01/2026. Chi considera il 21 aprile come una mera data comunicativa non vede che ognuna di queste tre comunicazioni di vigilanza fornisce una scadenza, un obbligo verificabile e un percorso ispettivo già consolidato.
Resilienza operativa: il 1° gennaio non è «passato»
La comunicazione di vigilanza 05/2025 del 10 novembre 2025 fissa al 1° gennaio 2026 la scadenza per l’attuazione del pacchetto di resilienza previsto dalla Circolare FINMA 2023/1 «Rischi operativi e resilienza – banche». Quattro elementi: identificare le funzioni critiche, definire le soglie di tolleranza per le interruzioni, testarne l’efficacia e coinvolgere le terze parti. La FINMA tratta questi quattro requisiti come vincolanti sotto il profilo della vigilanza; sono direttamente verificabili al prossimo controllo in loco.
La FINMA ha misurato esplicitamente il grado di attuazione prima della scadenza. La rilevazione ha riguardato, secondo la comunicazione di vigilanza 05/2025, 267 banche, commercianti di valori mobiliari, gruppi finanziari e infrastrutture di mercato, con data di riferimento 31 dicembre 2024. Il numero medio di funzioni critiche identificate era pari a 3,5. Nelle categorie di vigilanza da 1 a 3, l’85% degli istituti non aveva ancora effettuato alcun test. Solo il 12-15% disponeva di un quadro coerentemente integrato di BCM, ICT, gestione delle terze parti e organizzazione di crisi.
Le 113 ispezioni bancarie del 2025, di cui 42 presso UBS, non erano una distribuzione casuale. La FINMA rileva che i fornitori di servizi e i partner in outsourcing erano essi stessi obiettivo di attacco in quasi la metà degli incidenti informatici segnalati nel 2025 — con ripercussioni dirette sugli istituti vigilati — e ha reagito con controlli in loco mirati presso queste terze parti. Chi ha impostato il perimetro di esternalizzazione ai sensi della Circolare 2023/1 soltanto sul piano formale, senza averlo testato, si troverà al prossimo controllo esattamente là dove il monitor dei rischi 2025 aveva già segnalato lacune nel novembre 2025.
La comunicazione di vigilanza 05/2025 non usa il condizionale: elenca i rilievi che un’ispezione formula in caso di mancata attuazione — dipendenze non documentate nei confronti del fornitore ICT, assenza di esercitazioni tabletop con una durata di stress realistica, funzioni critiche prive di soglia di tolleranza in ore. Questa catena di rilievi è stata applicata sistematicamente nelle 42 ispezioni UBS del 2025; è probabile che raggiunga il programma di vigilanza in corso per le categorie 2 e 3 non appena il ciclo di ispezioni UBS sarà completato.

La frode è rischio operativo, non premessa antiriciclaggio
La comunicazione di vigilanza 02/2026 del 9 aprile 2026 colloca la frode digitale sul piano operativo: art. 12 BankV, non art. 9 GwG — uno spostamento che abbiamo esaminato il 19 maggio in questo articolo. L’art. 9 GwG obbliga a segnalare in caso di sospetto di riciclaggio — meccanismo reattivo, ancorato alla relazione con il cliente. L’art. 12 BankV impone all’istituto di limitare attivamente i rischi operativi attraverso adeguati controlli interni; la frode digitale vi figura come tipologia di rischio autonoma, non come reato presupposto ai sensi del GwG. Chi valuta gli indicatori di frode esclusivamente nel processo GwG non dispone né del monitoraggio operativo richiesto né delle relazioni previste al comitato di revisione.
Custodia di criptovalute: conta la chiave, non la contabilità
La comunicazione di vigilanza 01/2026 àncora la separazione di asset crittografici al dato operativo: chi detiene la chiave privata, chi controlla effettivamente il wallet. Il collegamento con la conferenza stampa annuale non risiede nelle statistiche, ma nella concessione dell’autorizzazione alla prima infrastruttura di negoziazione DLT dell’anno in esame. La FINMA segnala: anche un nuovo assetto tecnico non muta il vecchio ancoraggio di diritto civile. Sul piano operativo ciò significa che un credito del cliente non può essere separato in sede di apertura del fallimento dell’istituto ai sensi dell’art. 37d BankG, se il fornitore del servizio controlla la chiave privata — anche quando la contabilità registra la separazione. La prassi richiede un’architettura tecnica che lasci questa capacità dispositiva in capo all’istituto in modo dimostrabile: strutture multi-sig o contratti di custodia che vadano oltre i semplici SLA commerciali.
Tre passi per i prossimi giorni
In primo luogo: verificare il proprio inventario di funzioni critiche confrontandolo con la Circolare 2023/1, non con la prassi BCM consolidata internamente. La rilevazione della FINMA mostra chiaramente che le due divergono. In secondo luogo: esaminare i contratti di esternalizzazione in cerca di obblighi di reporting verificabili nei confronti del terzo, nell’ottica della domanda che la FINMA porrà su ciò che l’istituto può sapere in proprio dello stato del fornitore. In terzo luogo: estrarre il dossier frode digitale dalla linea GwG e introdurlo in parallelo nel rapporto sul rischio operativo al comitato di revisione.
Che cosa resta aperto
Resta aperto come il messaggio del Bundesrat sulla revisione del BankG del 22 aprile 2026, che ridefinisce la responsabilità individuale dell’alta dirigenza, interagisca con il regime di resilienza operativa. La FINMA parla nella conferenza stampa annuale di un rafforzamento dei propri poteri; il percorso parlamentare deciderà se ne deriverà un regime senior manager azionabile o un’estensione dell’attuale vigilanza organizzativa. Il prossimo momento di chiarimento parlamentare sarà verosimilmente il dibattito di entrata in materia al Ständerat.
La FINMA ha chiuso nel 2025 un totale di 55 procedimenti di enforcement. Nella grande maggioranza di questi casi le condizioni di legge per una comunicazione pubblica degli esiti del procedimento ai sensi dell’art. 22 FINMAG non erano soddisfatte — l’agenda ispettiva è attiva, ma verso l’esterno sostanzialmente silenziosa. Chi documenta attivamente il grado di attuazione nel proprio istituto è in posizione migliore rispetto a chi attende la prossima indicazione pubblica.
Chi legge le tre scadenze — 1° gennaio 2026 (Circolare 2023/1), comunicazione di vigilanza 02/2026 del 9 aprile, comunicazione di vigilanza 01/2026 — come programma ispettivo è un passo avanti rispetto all’ispezione. Chi le considera come mera comunicazione è un passo indietro.