Compliance
Siamo in tre, e le regole non lo sanno
1 luglio 2026
Facciamo un conto veloce. Nell'ultimo anno, sulla scrivania della tua funzione compliance sono passati gli adempimenti DORA, il monitoraggio antiriciclaggio, le Segnalazioni di Vigilanza verso Banca d'Italia, i nuovi obblighi in materia ICT e di sostenibilità, gli aggiornamenti normativi che arrivano a ogni circolare. Ora dividi tutto questo per il numero di persone che ci lavorano davvero. Se sei un intermediario di piccole o medie dimensioni — un confidi, una SGR, un istituto di pagamento, una banca locale, una fintech — quel numero è probabilmente due o tre.
Ecco il paradosso che nessuno racconta abbastanza: il perimetro regolamentare di un piccolo intermediario è quasi identico a quello di un grande gruppo. Cambiano i volumi, non le regole. Ma il grande gruppo ha una direzione compliance con decine di persone, mentre tu hai lo stesso calendario di scadenze e un team che sta in una stanza.

La proporzionalità è un principio della normativa europea. Le scadenze, però, non si accorciano in proporzione al tuo organico.
Stesse regole. Un decimo delle persone.
Il legislatore europeo lo sa, e infatti la proporzionalità è scritta nelle norme: gli obblighi dovrebbero pesare in modo commisurato alla dimensione e alla complessità dell'ente. Nella pratica, però, la proporzionalità riduce qualche requisito, non la sostanza del lavoro. La DORA chiede comunque un registro dei fornitori ICT, la gestione degli incidenti, i test di resilienza. L'antiriciclaggio chiede comunque adeguata verifica, monitoraggio e segnalazioni. Le segnalazioni di vigilanza vanno comunque preparate, quadrate e trasmesse nei tempi.
Il risultato è una squadra piccola che vive in modalità scadenza permanente. Le giornate si riempiono di attività che non lasciano traccia di valore: rileggere una circolare per capire cosa è cambiato, cercare in cinque cartelle il documento giusto, ricostruire a mano il contesto di un cliente, incollare numeri da un sistema all'altro per far quadrare un prospetto. Lavoro necessario, ma che nessuno sceglierebbe di fare se potesse evitarlo. E che, soprattutto, mangia il tempo che servirebbe per il lavoro vero: valutare, decidere, presidiare il rischio.

Lo stesso calendario di adempimenti di un grande gruppo, con una squadra che sta in una stanza.
Il collo di bottiglia dei team piccoli non è la competenza. È il tempo che se ne va prima di arrivare alla decisione.
Il gestionale mette in ordine. Non fa il lavoro.
La risposta classica è comprare un gestionale di compliance. Aiuta a mettere in ordine — scadenzari, checklist, archivi, workflow di approvazione — e fin lì va bene. Ma c'è un limite strutturale: quel software organizza il lavoro, non lo fa. Ti dice che devi produrre una relazione sugli incidenti ICT; non la prepara al posto tuo. Ti ricorda che c'è un aggiornamento normativo; non ti dice cosa cambia per le tue procedure interne.
E poi c'è il problema della rigidità. Questi strumenti si basano su regole e moduli predefiniti. Ogni volta che la normativa cambia — e cambia di continuo — qualcuno deve leggere, interpretare e riversare a mano le modifiche nei controlli. Per una squadra grande è un costo. Per una squadra di tre persone è un macigno. Su questo confronto tra approccio a regole fisse e conoscenza viva abbiamo scritto una guida dedicata, software di compliance e limiti dei sistemi tradizionali.

Uno strumento che ordina le scadenze è utile. Uno che prepara il lavoro sulle tue fonti è un'altra categoria.
L'agente fa il lavoro che ti mangia le giornate
Qui bisogna essere precisi, perché «usiamo l'AI» oggi non significa niente. Non serve un chatbot generico, e non serve un modello che risponde a naso. Serve un sistema agentico: agenti che lavorano per obiettivi, in più passaggi, come farebbe un collega esperto — ma senza stancarsi e senza saltare le scadenze. Se vuoi il quadro completo del concetto, l'abbiamo spiegato nella guida sull'AI agentica.
In concreto, per un team piccolo la differenza è enorme, perché l'agente si prende esattamente il lavoro che oggi ti divora le giornate:
- consulta le tue fonti — procedure interne, contratti, normativa, dati numerici — e ricostruisce il contesto che ti servirebbe mezza mattinata per mettere insieme;
- prepara le bozze dei documenti che devi produrre: la relazione su un incidente ICT, l'istruttoria di un alert antiriciclaggio, i prospetti che alimentano le Segnalazioni di Vigilanza;
- tiene il passo della normativa, perché la conoscenza resta aggiornabile e interrogabile invece di essere cablata in regole da riscrivere a ogni circolare.
Tu non parti più dal foglio bianco. Parti da un lavoro già istruito, e fai la cosa per cui il tuo team è pagato davvero: il giudizio.
Niente scatole nere: cita la fonte, resta a casa tua
Su dati di compliance la diffidenza verso l'AI generativa è più che giustificata. Stiamo parlando di nominativi, profili di rischio, contratti, posizioni sospette. Un modello che «inventa» un collegamento plausibile non è un errore qualunque: è un danno. Per questo l'unica AI che ha senso qui è quella verificabile e privata.
Verificabile significa una cosa molto concreta: ogni conclusione è calcolata dalle tue fonti e le cita, tracciabile fino al documento e al dato di origine. È l'idea dietro il RAG privato — la conoscenza resta nella tua knowledge base e ogni risposta dice da dove viene, riga per riga. Niente scatole nere, niente risposte da prendere sulla fiducia.

Ogni risposta risale alla fonte: puoi sempre tornare al documento e al dato da cui nasce.
Privata riguarda il perimetro, ed è il punto su cui un piccolo intermediario non può cedere. La knowledge base resta isolata, con dati trattati in UE e nel rispetto del GDPR, accessi governati da SSO/MFA e log di audit, e nessun modello condiviso addestrato sui tuoi contenuti. Non è un optional da grande impresa: è la condizione di partenza per portare l'AI vicino ai dati più sensibili che hai.
E soprattutto: la decisione resta tua. L'agente prepara e motiva, tu vagli, confermi o smonti. Il report è pronto per l'invio, ma sei tu a trasmetterlo. La responsabilità verso l'autorità non si delega a un modello, e non deve.
La stessa qualità, con la squadra che hai
L'effetto non è «meno controlli». È la stessa qualità di presidio con la forza che hai davvero.
Quando la raccolta e la preparazione smettono di mangiarsi la giornata, succedono tre cose. La prima: le scadenze diventano gestibili, perché il grosso del lavoro meccanico è già fatto e ti resta la parte di giudizio. La seconda: la qualità sale, perché passi il tempo sulle cose grigie — quelle che richiedono esperienza — invece che sul copia-incolla. La terza, quella che si sente il giorno dell'ispezione: la storia di ogni decisione è già documentata e tracciabile, invece di essere ricostruita a memoria sotto pressione.
È così che un intermediario di dimensioni contenute smette di rincorrere e torna a presidiare: non assumendo un esercito, ma togliendo dalle spalle del team il lavoro che una macchina fa meglio.
SinergIA, in pratica
È esattamente il modello che SinergIA porta dentro gli intermediari finanziari: una piattaforma agentica e sicura dove costruisci agenti di dominio — ESG, ICT, antiriciclaggio, rischio — sui tuoi documenti e sui tuoi dati numerici, in minuti, senza un progetto IT infinito. Gli agenti consultano le tue fonti, ricostruiscono il contesto e preparano documenti e report tracciabili fino alla fonte, mentre la decisione resta al team.
Il cuore è il RAG privato: conoscenza isolata, conforme al GDPR e con dati trattati in UE, e ogni risposta che cita il dato esatto. Per una squadra piccola non è un lusso tecnologico. È la differenza tra rincorrere le scadenze e stare, finalmente, un passo avanti.
Questo articolo ha scopo informativo e non costituisce consulenza in materia di compliance o vigilanza. Per gli obblighi applicabili alla tua organizzazione, fai riferimento alle disposizioni di Banca d'Italia, alla normativa europea vigente e al tuo assetto interno.
Vedi SinergIA sui tuoi dati
Prepara i report di Vigilanza con agenti che citano la fonte, riga per riga. Conoscenza isolata, conforme al GDPR e con dati trattati in UE.