The European Banking Authority (EBA) today published three final draft Regulatory Technical Standards (RTS) that provide a taxonomy for operational risk losses and offer clarity on the exemptions for the calculation of the annual operational risk loss and on the adjustments to the loss data set that banks must perform when merging or acquiring entities or activities.
2025 EU-wide stress test involving 64 banks from 17 EU and EEA countries and covering 75% of EU banking sector assets. The results confirm that European banks remain resilient even under a severe hypothetical economic downturn. The simulated scenario involves a sharp deterioration in the global macro-financial environment, driven by a resurgence in geopolitical tensions, entrenched trade fragmentation, including increase in tariffs, and persistent supply shocks. EU banks, despite bearing losses of EUR 547bn, maintain strong capital positions and their capacity to continue supporting the economy.
Nuovi requisiti per grandi modelli di Intelligenza Artificiale generativa come ChatGpt e Gemini ed obbligo di nominare le Autorità e definire le sanzioni.
Operativo dal 2 agosto 2025 un nuovo set di disposizioni nell’ambito della graduale applicazione del Regolamento Europeo sull’Intelligenza Artificiale (AI Act), pienamente operativo dal 2027. Le novità riguardano in primis i grandi modelli generalisti di IA generativa: le aziende che li sviluppano e addestrano devono rispettare una serie di nuovi requisiti e procedure.
In parallelo, gli Stati Membri della UE devono adeguare i propri meccanismi di governance in materia. Nello specifico, i Governi devono nominare gli organi competenti per la vigilanza sul rispetto dell’AI Act e la definizione delle sanzioni per gli inadempienti.
In questo contesto, ricordiamo che in Italia è ancor in Parlamento il Ddl sull’Intelligenza Artificiale, che indica come autorità competenti l’Agenzia per l’Italia digitale (AgID) e l’Agenzia per la cybersicurezza nazionale (ACN). La Camera ha approvato a giugno un testo modificato rispetto a quello già passato in Senato, dove la legge è tornata in terza lettura.
I nuovi obblighi UE per i fornitori di GPAI
I sistemi GPAI (General Purpose Artificial Intelligence) sono modelli di intelligenza artificiale non specializzati e di grandi dimensioni (come ad esempio ChatGpt, Gemini e Deepseek), che impiegano più di 10^23 FLOPS (operazioni in virgola mobile al secondo) e sono in grado di generare linguaggio sotto forma di testo scritto o contenuti audio, nonché di trasformare testi in immagini o video.
Perché si possa parlare di GPAI devono coesistere tutte queste caratteristiche: ad esempio, se il modello è addestrato con una capacità computazionale superiore a quella prevista ma è specializzato in una determinata funzione allora non rientra nella definizione che li riconduce ai nuovi obblighi. La definizione di GPAI e le istruzioni per gli sviluppatori e fornitori sono contenute nelle Linee Guida pubblicate dalla Commissione Europea.
I nuovi obblighi sono più o meno rigidi a seconda che il sistema sia considerato o meno ad alto rischio.
Nel primo caso, gli sviluppatori e fornitori devono rendere disponibile e aggiornare costantemente la documentazione tecnica, fornire tutte le informazioni necessarie ai soggetti che integrano i modelli nei propri sistemi, rispettare le normative europee sul diritto d’autore e sulla riservatezza, pubblicare i dati sui contenuti utilizzati per addestrare gli algoritmi.
Se poi il modello di IA è a rischio sistemico, le imprese che li sviluppano devono anche effettuare specifiche valutazioni, garantire elevati livelli di protezione, segnalare eventuali incidenti. Ci sono infine obblighi specifici per l’immissione sul mercato di questo modelli, operazione che richiede documentazione e procedure specifiche.
=> Intelligenza Artificiale: il Web si adegua all’AI Act UE
Possono adempiere a questi obblighi attraverso l’adesione al Codice di Conformità previsto dall’AI Act, che rappresenta una sorta di certificazione di compliance. Altrimenti, devono autonomamente dimostrare il rispetto delle sopra citate regole (disponibile anche un modello per i fornitori di GPAI da utilizzare a tale scopo).
NB: queste norme non si applicano ai modelli open source, che rendono pubblici per definizione tutti i parametri.
Online l’elenco degli incentivi ministeriali non più concedibili alle imprese senza polizza catastrofale: ecco le date da cui scatta l’incompatibilità.
Le imprese che non hanno stipulato le polizze catastrofali rese obbligatorie dalla Manovra 2023 non possono accedere a una serie di incentivi. Ad esempio i contratti di sviluppo, l’agevolazione Smart & Start per la creazione di nuove imprese e il sostegno per l’autoproduzione di energia da fonti rinnovabili.
L’elenco completo dei benefici fiscali incompatibili con la mancata sottoscrizione delle polizze catastrofali è contenuto nel decreto ministeriale del MIMIT del 18 giugno 2025.
La normativa di riferimento è la legge 213/2023. Il comma 101 ha previsto l’obbligo di stipulare contratti assicurativi a copertura di eventi catostrofali da parte delle imprese con sede legale o stabile organizzazione in Italia, tenute all’iscrizione del Registro delle Imprese. In base al successivo comma 102 stabilisce, dall’inadempimento si tiene conto nell’assegnazione di contributi, sovvenzioni o agevolazioni di carattere finanziario a valere su risorse pubbliche, anche con riferimento a quelle previste in occasione di eventi calamitosi e catastrofali.L’obbligo è scattato il 31 marzo per le grandi imprese ed è stato rinviato al 1° ottobre per le medie imprese e al 1° gennaio 2026 per le micro e piccole imprese.
Le scadenze per l’incompatibilità
Il DM 18 giugno 2025 del MIMIT stabilisce quali sono le agevolazioni non più concedibili alle imprese senza polizza catastrofale e a partire da quando si applica il regime di incompatibilità. Ci sono scadenze diverse a seconda della dimensione d’impresa.
Grandi aziende: stop agli incentivi per le domande presentate a partire dal 30 giugno;
Imprese dimedie dimensioni: incompatibilità per domande presentate dal 2 ottobre 2025;
Micro e piccole imprese: dal primo gennaio 2026.
Agevolazioni non attivabili senza polizza catastrofale
Di seguito, l’elenco delle agevolazioni coinvolte nella misura, completo di riferimenti normativi:
Contratti di sviluppo: articolo 43 del decreto-legge 25 giugno 2008, n.112, convertito dalla legge 6 agosto 2008, n. 133, disciplinato dal decreto del Ministro dello sviluppo economico 9 dicembre 2014 e successive modificazioni e integrazioni;
Interventi di riqualificazione in aree di crisi industriale: legge 181/89 di cui al decreto del ministro dello Sviluppo economico 24 marzo 2022 e successive modificazioni e integrazioni;
Nuova Marcora (Regime di aiuto finalizzato a promuovere la nascita e lo sviluppo di società cooperative di piccola e media dimensione): decreto del ministro dello Sviluppo economico 4 gennaio 2021;
Smart & Start (Sostegno alla nascita e allo sviluppo di start up innovative in tutto il territorio nazionale): decreto del ministro dello Sviluppo economico 24 settembre 2014 e successive modifiche e integrazioni;
Agevolazioni progetti R&S di riconversione dei processi produttivi in ambito economia circolare: decreto del ministro dello Sviluppo economico 11 giugno 2020;
Fondo salvaguardia livelli occupazionalie prosecuzione attività d’impresa: decreto del ministro dello Sviluppo economico 29 ottobre 2020 e successive modificazioni e integrazioni;
Mini contratti di sviluppo: decreto del ministro delle Imprese e del made in Italy 12 agosto 2024;
Agevolazioni per l’economia sociale: decreto del ministro dello Sviluppo economico 3 luglio 2015;
Sostegno autoproduzione di energia da fonti rinnovabili nelle PMI: decreto del ministro delle Imprese e del Made in Italy 13 novembre 2024;
Finanziamenti Start-up: decreto del ministro dello Sviluppo economico 11 marzo 2022;
Supporto Start-up e Venture capital nella transizione ecologica: decreto ministro dello Sviluppo economico 3 marzo 2022.
Nei casi in cui l’incentivo preveda interventi nel capitale di rischio delle imprese, le verifiche sono effettuate dal soggetto gestore al momento del perfezionamento dell’operazione di investimento. Se l’investimento è indiretto, le modalità di verifica sono definite da appositi atti di indirizzo adottati dal soggetto gestore
L’autorità europea ha posticipato l’entrata in vigore della CSRD e della CSDDD con lo “stop the clock”, ma ciò non ha rallentato la necessità di rafforzare la capacità delle imprese di garantire credibilità e trasparenza nei dati ESG. È su questa urgenza tecnica e culturale che interviene il documento operativo L’importanza dell’Assurance nel reporting di sostenibilità pubblicato dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili, che definisce in modo sistematico l’importanza dell’assurance per dare legittimità e peso reale al reporting di sostenibilità.
Il documento pubblicato dal CNDCEC, in particolare, oltre a far luce sui vantaggi dell’assurance, mette a disposizione di revisori e aziende linee guida e modelli metodologici per assicurare coerenza e comparabilità tra i bilanci di sostenibilità.
L’approvazione in sede europea della cosiddetta “Stop-the-clock Proposal” ha rinviato i termini di applicazione delle disposizioni previste dalla CSRD e dal regolamento sulla due diligence di sostenibilità.
Alla luce del mutato contesto normativo di riferimento, nel documento del CNDCEC si sottolinea l’opportunità di continuare comunque a fornire strumenti operativi concreti ai professionisti nel settore dell’assurance di sostenibilità, anche in ragione dell’evoluzione del framework normativo eurounitario e nazionale, che richiede nuove competenze e un aggiornamento costante.
Va sottolineato poi che, a prescindere dall’obbligo normativo, l’assurance volontaria può portare diversi vantaggi all’impresa in quanto rafforza la responsabilità e la trasparenza, genera fiducia nei mercati e tutela l’azienda da un “expectation gap” ovvero tra ciò che gli stakeholder si aspettano da una verifica e ciò che realmente ottengono. Questo gap infatti può rappresentare un rischio reputazionale non indifferente, nel caso in cui i mercati dovessero percepire delle divergenze tra quanto comunicato sui temi ESG e la realtà aziendale.
Un report ESG verificato aiuta a colmare questa lacuna, definendo un linguaggio condiviso tra il revisore, l’azienda e gli stakeholder, evitando fraintendimenti sull’accuratezza e affidabilità dei dati. In un’ottica di marketing finanziario, questo si traduce in un aumento di credibilità verso analisti, rating ESG e investitori istituzionali, rendendo l’azienda più appetibile sui mercati, sia nei finanziamenti che negli investimenti azionari.
Inoltre, la credibilità garantita dall’assurance migliora l’engagement con la comunità locale e la fiducia degli utenti finali.
Alcune linee guida fondamentali
Il testo mette in evidenza anche il tema del livello di assurance, per cercare di capire se il livello di limited assurance può essere sufficiente a garantire l’accuratezza della rendicontazione di sostenibilità. La seguente tabella dunque evidenzia le differenze tra i due livelli di assurance, auspicando che, a prescindere dalle decisioni che verranno prese a livello normativo, le imprese si andranno ad orientare su una verifica più approfondita degli aspetti di rendicontazione non finanziaria.
Il documento fornisce, infine, una guida chiara sulle fasi operative fondamentali per condurre un processo di assurance efficace del reporting di sostenibilità.
La prima fase è quella di gestione dell’incarico, durante la quale il professionista acquisisce informazioni sul tipo di rendicontazione da verificare, sui criteri utilizzati, sulle tematiche trattate e sul livello di approfondimento previsto. In questa fase si valuta anche l’indipendenza del team e la sua competenza in materia ESG.
Segue la fase di pianificazione, nella quale si analizza il contesto aziendale, si identificano i principali rischi legati alla sostenibilità, si valutano le informazioni rilevanti, si definisce il perimetro della rendicontazione e si pianifica l’attività di verifica, individuando gli obiettivi e le aree prioritarie d’intervento. Le procedure applicate possono essere di tipo analitico, come il confronto con dati esterni o l’analisi dei trend storici, oppure di tipo sostanziale, come il campionamento di dati documentali a supporto degli indicatori riportati.
Nella fase di controllo e testing, si entra nel vivo della verifica: vengono analizzati i processi di raccolta e aggregazione dei dati, si conducono test specifici sui KPI individuati, si verificano la completezza e l’attendibilità delle informazioni e si effettuano eventuali visite presso i siti aziendali per approfondire criticità operative.
Le attività proseguono con la fase di esecuzione delle procedure pianificate, che include interviste, riscontri documentali, mappatura delle fonti, verifiche su dati storici ed elaborazioni quantitative e qualitative. Quando alcuni dati non sono direttamente disponibili, si ricorre a stime basate su informazioni ragionevoli e giustificabili, come medie di settore o altri proxy.
Il processo si conclude con la fase finale di completamento che prevede l’analisi complessiva delle evidenze raccolte, la revisione del report ESG, il confronto con l’organo amministrativo, l’acquisizione della lettera di attestazione e la formalizzazione della relazione conclusiva. Tale relazione sintetizza le verifiche svolte, gli eventuali scostamenti rilevati e il parere finale espresso dal revisore, contribuendo a definire la qualità e l’affidabilità del reporting di sostenibilità dell’impresa.
