L’unione bancaria costituita da tutti i paesi della cosiddetta “eurozona” si basa su un meccanismo di vigilanza unico (Single Supervisory Mechanism, SSM) che, dal mese di novembre 2014, prevede l’esercizio congiunto di compiti e poteri di vigilanza sulle banche da parte della Banca Centrale Europea e delle autorità di vigilanza dei paesi dell’area euro. In particolare la BCE vigila direttamente le banche definite “significative”, mentre le altre banche sono soggette alla vigilanza delle autorità nazionali sempre nell'ambito di indirizzi formulati dalla BCE. L’elenco delle banche significative è redatto dalla BCE con periodicità annuale.
L’attività di vigilanza sulle banche si sostanzia in modo ordinario attraverso l’analisi delle informazioni che ogni istituto bancario invia all'organo di controllo secondo protocolli e cadenze temporali definite (le c.d. “segnalazioni”). Le ispezioni costituiscono un complemento alla vigilanza ordinaria e solitamente hanno obbiettivi circoscritti alle verifiche su determinati prodotti e/o segmenti di clientela (ad esempio: analisi dello stato di rischio dei finanziamenti rilasciati ad aziende non finanziarie).
Un’ispezione di vigilanza è costituita da più fasi successive, che possono avere carattere formale (come ad esempio la notifica alla banca dell’avvio dell’ispezione) oppure più strettamente operativo. Se non direttamente oggetto dell’ispezione o di azioni puntuali di vigilanza, l’ingaggio del comparto IT normalmente avviene nelle fasi operative, che prevedono l’estrazione dal sistema informativo dei dati richiesti dal team di ispezione. Particolarmente impegnativa di solito è la produzione del “data tape” iniziale, che costituisce la base dati di partenza per l’analisi degli ispettori.
Il data tape richiede la rappresentazione di tutti i dati legati all'oggetto dell’ispezione nonché la totalità degli attributi utili all'analisi dei fenomeni; nella pratica si tratta di recuperare centinaia di informazioni gestite dai diversi applicativi verticali che insieme formano il sistema informativo della banca.
Nell'effettuazione dell’attività di mapping delle informazioni è fondamentale il lavoro dei professionisti IT in grado sia di interloquire con il business nell'analisi della semantica dei dati, sia di relazionarsi con figure più tecniche nella definizione dei processi informatici di recupero delle informazioni. Queste figure professionali fungono pertanto da facilitatori e acceleratori nel processo di compilazione del data tape e assumono maggiore rilevanza nelle situazioni in cui le tempistiche imposte dall'organo di vigilanza siano particolarmente brevi.
La stessa tipologia di supporto IT deve essere garantita anche nelle fasi successive dell’attività ispettiva. I controlli sulle informazioni rilasciate agli ispettori possono infatti generare la richiesta di verifiche e approfondimenti su determinati campioni di dati, che consentano di validare la qualità della gestione del rischio nonché l’integrità e la coerenza delle informazioni dell’istituto ispezionato. Come nella compilazione del data tape, anche nel soddisfacimento di richieste estemporanee la presenza di figure “ibride” è fondamentale per migliorare la velocità dei tempi di risposta e la qualità dell’informazione fornita.
Per quanto concerne le attività presidiate dall’IT, a partire dalla Direttiva 285, l’attenzione sulla governance IT si è molto alzata. Il dipartimento IT è chiamato a presidiare le diverse componenti del rischio IT e gli impatti sulla continuità Operativa della Banca. Questo comporta lo sviluppo e produzione di una serie di documenti e report che attestino il corretto svolgimento delle attività di monitoraggio, presidio e mitigazione dei rischi stessi.