Il RegTech ha smesso da tempo di essere una promessa per diventare infrastruttura. Eppure capire dove siamo oggi richiede di ricostruire il percorso: le intuizioni dei regolatori, i dati che le hanno confermate, i modelli che hanno preso forma. Questo articolo è un recap ragionato di quella traiettoria, dalle prime sperimentazioni sulle norme machine readable fino all’architettura di una compliance normativa data-driven.
Indice
- Le MDMER: cosa sono e perché sono nate
- Rischi e sfide reali delle norme machine executable
- L’EBA e il RegTech come priorità europea
- Automated regulatory intelligence e norme machine readable
- RegTech e PIL: il legame documentato
- Il modello regulation as a platform
- Banche italiane e RegTech: il quadro del report CIPA-ABI
- L’approccio bottom-up alla compliance normativa
Le MDMER: cosa sono e perché sono nate
Cosa si intende esattamente con “norme machine executable” e da dove viene questa idea?
Le MDMER (Model-Driven, Machine Executable Regulations) sono regolamenti progettati fin dalla loro stesura per essere comprensibili ed eseguibili direttamente dalle macchine, senza necessità di interpretazione umana preliminare. Non si tratta di digitalizzare un PDF: si tratta di ripensare la struttura logica stessa della norma.
Tutto ha avuto inizio nel novembre 2017, quando la FCA (Financial Conduct Authority) e la Bank of England hanno selezionato un gruppo di esperti del governo britannico, del settore privato e accademico per sviluppare un modello di verifica del concetto. Questo Tech Sprint ha introdotto l’approccio MDMER come risposta al bisogno di monitorare e analizzare in tempo reale migliaia di fonti normative, per fornire al settore bancario uno strumento capace di tenere il passo con i continui cambiamenti regolamentari e per supportare le autorità nell’attività di supervisione.
L’EBA (European Banking Authority) ha successivamente evidenziato che i regolamenti beneficerebbero della loro traduzione in una forma eseguibile dalle macchine, identificando come vantaggio principale l’eliminazione del bisogno degli istituti finanziari di interpretare leggi non sufficientemente chiare.
Quella intuizione del 2017, allora sperimentale, è oggi al centro delle agende regolamentari europee.
I vantaggi attesi delle norme machine executable
L’introduzione di regolamenti eseguibili dalle macchine porta benefici concreti su più livelli. Dal punto di vista della chiarezza, verrebbe eliminata ogni ambiguità tipica del linguaggio naturale. Sul fronte delle tempistiche, si ridurrebbero i tempi necessari per aggiornare, implementare e monitorare l’attuazione delle norme. In termini di costi, si registrerebbero risparmi immediati nel settore privato e, nel tempo, una riduzione delle spese complessive di monitoraggio anche lato governativo. Sul piano della gestione del cambiamento, i regolatori potrebbero diffondere con maggiore efficienza le modifiche normative, e le entità regolate potrebbero recepirle più rapidamente.
Il punto centrale è questo: mentre il modello tradizionale prevede che l’interpretazione e la disambiguazione delle norme avvenga dopo la promulgazione, in una fase di “back-end”, le MDMER puntano a spostare questo onere sul “front-end”, con una completa disambiguazione già al momento della redazione della norma stessa.
Rischi e sfide reali delle norme machine executable
L’idea delle MDMER è potente. La sua realizzazione presenta però ostacoli concreti che sarebbe ingenuo ignorare.
Tra i rischi tecnici più rilevanti c’è quello di una disambiguazione non corretta in fase di codifica, che potrebbe cristallizzare errori interpretativi all’interno delle norme stesse. Si aggiungono il rischio di errori nel codice di base, la mancanza di flessibilità nell’adattarsi a fattispecie non previste, l’opacità dei meccanismi logici sottostanti e le sfide legate al versionamento quando le norme vengono aggiornate.
L’EBA stessa, nella sua risposta alla consultazione della Commissione Europea del giugno 2020, sottolinea che l’implementazione di questo tipo di approccio richiederebbe di “ripensare il modo in cui i regolamenti sono concepiti al fine di raggiungere la standardizzazione e l’automazione necessarie”. Il primo passo sarebbe la definizione di precise regole e logiche da utilizzare nella scrittura delle norme stesse, cosicché le macchine possano ricevere un codice pronto per essere eseguito automaticamente.
La stessa autorità aveva identificato fin dal 2017 due possibili approcci all’implementazione. Il primo punta a concentrare gli sforzi legislativi sulla validazione del modello piuttosto che sulla generazione di codice da parte dei regolatori. Il secondo prevede invece che siano i regolatori stessi a tradurre i regolamenti attuali in MDMER, decidendo quali normative rendere eseguibili dalle macchine, in quale forma e in quale momento.
Questi trade-off non sono stati ancora risolti in modo sistemico a livello europeo: il percorso verso norme pienamente machine executable resta un cantiere aperto, anche se gli strumenti per avvicinarsi a quell’obiettivo sono oggi molto più maturi rispetto al 2017.
L’EBA e il RegTech come priorità europea
Il RegTech non è rimasto un tema di nicchia. A partire dal 2021 l’Autorità Bancaria Europea ha pubblicato la propria analisi sul RegTech nel settore finanziario dell’UE, confermando con dati e ricerche ciò che gli operatori del settore già percepivano: la Regulatory Technology era diventata una priorità strategica per la digitalizzazione finanziaria europea.
Quell’analisi era basata su un’indagine condotta tra la fine del 2020 e l’inizio del 2021 su un totale di 115 istituti finanziari da 26 paesi membri e 147 aziende RegTech sia interne che esterne all’EEA (European Economic Area). I due gruppi coinvolti avevano identificato benefici distinti ma complementari.
Gli istituti finanziari che avevano già adottato soluzioni RegTech evidenziarono: aumentate possibilità di gestione del rischio, migliori capacità di monitoraggio e campionamento, riduzione degli errori umani. Le aziende RegTech sottolinearono invece: maggiore efficienza operativa, minore impatto da parte dei cambiamenti normativi, migliore efficacia complessiva.
Il livello generale di soddisfazione era alto: il 10% degli istituti finanziari si era dichiarato “molto soddisfatto” e il 60% soddisfatto. Il picco di soddisfazione riguardava le soluzioni Software as a Service (SaaS), superiore rispetto alle soluzioni RegTech-as-a-Service e on-premises. Anche la pandemia non aveva frenato il percorso: la maggioranza degli istituti aveva risposto che il Covid-19 non aveva avuto conseguenze sull’implementazione dei propri progetti RegTech.
Il ruolo dell’EBA nel supporto all’adozione RegTech
I Factsheets collegati all’analisi dell’EBA chiarivano che il RegTech era uno dei temi prioritari nel programma 2020-2021 di lavoro sulla Digital Finance, nell’ambito dell’Articolo 31 del Regolamento Istitutivo (UE) dell’EBA n. 1093/2021, che incarica l’autorità di promuovere la convergenza degli organi di vigilanza e di facilitare l’accesso al mercato di attori fondati su innovazioni tecnologiche.
Per il futuro, l’EBA aveva identificato alcune attività prioritarie: costruire consapevolezza sul RegTech nella comunità dei regolatori, proseguire nell’armonizzazione del quadro normativo UE, e sfruttare l’EFIF (European Forum for Innovation Facilitators) insieme ai Regulatory Sandbox nazionali e agli Innovation Hub.
Quella agenda ha prodotto risultati concreti: oggi il dibattito europeo sulla compliance digitale incorpora stabilmente il RegTech, e le norme più recenti come DORA e l’AI Act sono state concepite con un’attenzione esplicita alla loro implementabilità tecnologica.
Automated regulatory intelligence e norme machine readable
Ogni sfera della vita economica è regolata da norme che devono essere comprese e applicate. Questa necessità è ancora più accentuata in settori iper-regolamentati come quello bancario, dove a partire dalla crisi finanziaria del 2008 il volume degli aggiornamenti normativi è cresciuto in modo esponenziale.
L’ingente quantità di aggiornamenti normativi, unita all’inadeguatezza degli strumenti di analisi tradizionali, ha per anni gravato interamente sugli esperti di compliance, costringendoli a un lavoro manuale dispendioso che rallentava il recepimento regolamentare. Questo contesto ha reso necessaria la possibilità di ricevere aggiornamenti automatici in tempo reale.
Nasce da qui la centralità dell’ARI (Automated Regulatory Intelligence): un approccio che mira ad automatizzare i processi di compliance nei passaggi in cui l’elemento umano non aggiunge valore specifico, liberando tempo e risorse per le attività decisionali che richiedono giudizio professionale.
Come funziona l’alerting normativo automatizzato
L’automazione nell’ambito della Regulatory Intelligence si concentra su una fase precisa del processo: il cosiddetto alerting normativo, ossia la raccolta e l’analisi degli aggiornamenti necessarie per valutare la loro pertinenza con il singolo istituto finanziario e l’eventuale necessità di procedere con una valutazione di rischio.
Gli step automatizzabili includono il Regulatory Sensing e Outlook (identificazione di potenziali rischi derivanti da eventi normativi esterni o interni), il Legal Inventory Management (aggiornamento della legal inventory aziendale), il Regulatory Requirements Update (aggiornamento dei requisiti normativi correlati), il Regulatory Alert (sistema di notifiche personalizzate) e l’Impact Analysis (analisi di primo impatto da cui partire per Risk Assessment, Gap Analysis, Compliance Plan Update e Reporting).
Un punto essenziale che vale la pena ribadire: l’ARI non può e non deve sostituire l’essere umano nelle attività di compliance. Il suo scopo è automatizzare i passaggi attualmente troppo lenti, poco accurati e soggetti a rischi operativi, lasciando ai professionisti il tempo per prendere decisioni basate sulle giuste informazioni.
La standardizzazione come condizione necessaria
La chiave che rende possibile l’ARI è la standardizzazione dei dati normativi, e in particolare l’esistenza di un formato elettronico machine readable delle norme finanziarie. Senza questa base, ogni sistema di automazione lavora su materiale grezzo e non strutturato, con risultati inevitabilmente parziali.
La tecnologia proprietaria di Aptus.AI trasforma i documenti legali in un formato standard machine readable e li analizza tramite Intelligenza Artificiale con un approccio olistico e multilingua, coprendo tutte le lingue dell’Unione Europea. In un contesto cross-regolatore e cross-country, questa capacità consente non solo di ridurre i tempi e i costi per il recepimento degli aggiornamenti normativi, ma anche di estrarre automaticamente i requisiti e gli obblighi normativi. E lo fa anche sui documenti ancora in fase di discussione, offrendo la possibilità di anticipare i trend normativi ed elaborare strategie di compliance proattive.
RegTech e PIL: il legame documentato
Parlare di RegTech significa parlare anche di crescita economica. Il nesso tra qualità delle norme e performance macroeconomica è documentato e quantificabile.
Il report “RegTech for Regulators” del World Government Summit, realizzato in collaborazione con Accenture, ha posto al centro dell’analisi una verità tanto scomoda quanto rilevante: l’ambiente normativo ha un impatto diretto sulla capacità di un’industria o di un’economia di innovare e crescere.
La base dell’analisi era uno studio della Banca Mondiale sulle normative aziendali condotto in 135 paesi, che affermava che le nazioni con normative migliori crescono più velocemente. Il professor Jamal Ibrahim Haidar della Paris School of Economics ha stimato che una riforma normativa per le imprese aumenta in media il tasso di crescita del PIL di quasi lo 0,15%, confermando una correlazione positiva tra la percezione della qualità delle norme e il PIL pro capite per le prime 50 economie mondiali, che rappresentano circa il 92% del PIL globale.
Da costo di compliance a vantaggio competitivo
Il documento del World Government Summit definisce il RegTech come l’applicazione innovativa di tecnologie emergenti per adattarsi ai mutevoli requisiti di compliance in modo più efficace ed efficiente, mitigare i rischi dovuti alla non conformità e ottenere un vantaggio competitivo.
Questo approccio si fonda su una premessa precisa: le normative possono spingere le organizzazioni a sviluppare nuovi prodotti e servizi. Al contrario, l’assenza di un contesto normativo favorevole limita la capacità di un’economia di attrarre investimenti e crescere.
I vantaggi che le soluzioni RegTech portano ai regolatori si distribuiscono su due livelli. Dal punto di vista interno: costruire sistemi di compliance preventiva, monitorare in tempo reale, migliorare la supervisione tramite i dati, ridurre il divario tra intenzione normativa e attuazione pratica. Dal punto di vista esterno: garantire una concorrenza effettiva, ridurre le spese di compliance, aumentare l’innovazione e la competitività delle imprese attraverso meccanismi di compliance integrati e auto-adattanti.
Oggi, con l’entrata in vigore di DORA per il settore finanziario e l’avanzamento dell’AI Act, questa correlazione tra qualità normativa e competitività economica è diventata ancora più concreta: chi ha investito in RegTech negli anni precedenti si trova oggi con processi di adeguamento strutturalmente più efficienti.
Il modello regulation as a platform
Se l’ARI rappresenta il “come” automatizzare la compliance, il modello Regulation as a Platform (RaaP) risponde alla domanda su “verso dove” si sta muovendo l’intero ecosistema normativo.
Il RaaP identifica un approccio olistico in cui i regolatori collaborano con le imprese, gli enti governativi e i cittadini per guidare l’innovazione e migliorare i risultati della compliance. Non si tratta di uno scenario astratto: già nei primi anni Venti i primi prototipi operativi erano attivi.
L’esempio più avanzato citato dal report del World Government Summit è il prototipo sviluppato in Australia da Data61, parte dell’Organizzazione per la Ricerca Scientifica e Industriale del Commonwealth (CSIRO). Questo proof-of-concept mirava a fornire accesso libero e aperto alla legislazione tramite API pubbliche, consentendo agli utenti di accedere a un database di regole logiche e a un motore di ragionamento per elaborare regole e dati in una logica digitale accessibile.
Il processo includeva la conversione delle norme in logica digitale, il controllo da parte di esperti di politiche e dei regolatori per garantire che le logiche digitali rappresentassero l’intento della legge, e infine la pubblicazione sul prototipo RaaP da parte delle autorità.
I vantaggi concreti del modello RaaP per le organizzazioni
La combinazione del modello Regulation as a Platform con i dati e le analisi esistenti favorisce lo sviluppo di piattaforme innovative di Risk Management. I vantaggi per le organizzazioni si distribuiscono su tre livelli.
Il primo riguarda la consapevolezza: maggiore percezione degli eventi significativi che riguardano diverse aree di un’organizzazione, riducendo l’ambiguità nelle operazioni e i rischi, in particolare nelle società di servizi finanziari. Il secondo riguarda l’allerta: un sistema che assegna un punteggio al potenziale rischio, notifica in tempo reale ai soggetti responsabili e introduce un elemento di certezza e tracciabilità nella gestione del rischio aziendale. Il terzo riguarda l’azione: la possibilità di intraprendere interventi appropriati in base al punteggio di rischio, nella cooperazione tra soluzione tecnologica e giudizio umano.
Il modello RaaP non è più solo teoria: l’architettura di piattaforme come Aptus.AI ne incarna i principi fondamentali, rendendo le normative machine readable accessibili e analizzabili in modo strutturato per professionisti della compliance e del diritto.
Banche italiane e RegTech: il quadro del report CIPA-ABI
Il contesto italiano ha offerto per anni uno scenario peculiare: crescente maturità digitale del settore bancario sul fronte della user experience e della cyber security, ma un ritardo specifico nell’adozione di soluzioni RegTech che il mercato stesso aveva iniziato a riconoscere già nel 2022.
La “Rilevazione sull’IT nel settore bancario italiano” curata da CIPA (Convenzione Interbancaria per l’Automazione) e ABI (Associazione Bancaria Italiana) fotografava ogni anno lo stato della trasformazione digitale nel comparto. Il report 2022 aveva preso in esame le risposte di 20 gruppi bancari (che coprivano il 93% del totale dell’attivo del settore) e 4 banche singole, rispetto all’anno 2021 e alle evoluzioni attese.
La crescita del SaaS nel banking italiano
Sul fronte della digitalizzazione generale, i dati erano chiari: il 58% delle banche rispondenti fruiva già nel 2021 di servizi in cloud, mentre il 29% aveva già avviato un processo di migrazione. Il modello più diffuso, nel 70% dei casi, era il modello Software-as-a-Service, con una previsione di ulteriore crescita nel lungo periodo.
H3: Il RegTech ancora sottorappresentato nell’agenda bancaria italiana
L’altra faccia della medaglia riguardava specificamente la Regulatory Technology. Tutta l’area della Governance, che include la compliance bancaria, risultava un passo indietro rispetto alle aree più presidiate dalla tecnologia. Le soluzioni RegTech non erano ancora ai primi posti tra gli interessi delle istituzioni finanziarie italiane.
Nel 2026 quella fotografia appare già parzialmente superata: la pressione normativa di DORA, dell’AI Act e dei framework ESG ha accelerato la conversazione interna alle banche italiane sul tema. Il gap rispetto ai mercati anglosassoni rimane, ma si è ridotto, e l’adozione di soluzioni RegTech strutturate è oggi una priorità dichiarata in molti piani di trasformazione digitale del settore.
L’approccio bottom-up alla compliance normativa
La trasformazione della compliance finanziaria non deve necessariamente partire dall’alto. I dati e le analisi raccolte in questo articolo convergono verso una conclusione condivisa da istituzioni e operatori: l’innovazione può arrivare anche dal basso, attraverso soluzioni tecnologiche che dimostrano concretamente il proprio valore prima ancora che il quadro normativo le renda obbligatorie.
È questa la posizione espressa dalla Vice Direttrice Generale della Banca d’Italia, Alessandra Perrazzelli, in riferimento alla prima Call for Proposals del Fintech Milano Hub, che aveva selezionato Aptus.AI tra i progetti più rilevanti: l’approccio regolatorio, in particolare in uno scenario in cui l’evoluzione della tecnologia spinge sempre più velocemente l’offerta di nuovi servizi, si può formare non solo top-down ma anche bottom-up.
Quella affermazione, pronunciata in un contesto sperimentale, descrive oggi il meccanismo con cui il RegTech si è effettivamente affermato: non attraverso un mandato regolatorio uniforme, ma attraverso l’adozione progressiva da parte di operatori che hanno visto nei dati normativi strutturati e nelle norme machine readable uno strumento concreto di efficienza e controllo del rischio.
Il percorso raccontato in questo articolo, dalle MDMER del 2017 all’analisi EBA del 2021, dal modello RaaP al report CIPA-ABI, non è un archivio. È la mappa di una trasformazione che continua.
