Compliance

Siamo in tre, e le regole non lo sanno

1 luglio 2026

Facciamo un conto veloce. Nell'ultimo anno, sulla scrivania della tua funzione compliance sono passati gli adempimenti DORA, il monitoraggio antiriciclaggio, le Segnalazioni di Vigilanza verso Banca d'Italia, i nuovi obblighi in materia ICT e di sostenibilità, gli aggiornamenti normativi che arrivano a ogni circolare. Ora dividi tutto questo per il numero di persone che ci lavorano davvero. Se sei un intermediario di piccole o medie dimensioni — un confidi, una SGR, un istituto di pagamento, una banca locale, una fintech — quel numero è probabilmente due o tre.

Ecco il paradosso che nessuno racconta abbastanza: il perimetro regolamentare di un piccolo intermediario è quasi identico a quello di un grande gruppo. Cambiano i volumi, non le regole. Ma il grande gruppo ha una direzione compliance con decine di persone, mentre tu hai lo stesso calendario di scadenze e un team che sta in una stanza.

Una scrivania a fine mese: le scadenze non guardano quante persone siete.

La proporzionalità è un principio della normativa europea. Le scadenze, però, non si accorciano in proporzione al tuo organico.

Stesse regole. Un decimo delle persone.

Il legislatore europeo lo sa, e infatti la proporzionalità è scritta nelle norme: gli obblighi dovrebbero pesare in modo commisurato alla dimensione e alla complessità dell'ente. Nella pratica, però, la proporzionalità riduce qualche requisito, non la sostanza del lavoro. La DORA chiede comunque un registro dei fornitori ICT, la gestione degli incidenti, i test di resilienza. L'antiriciclaggio chiede comunque adeguata verifica, monitoraggio e segnalazioni. Le segnalazioni di vigilanza vanno comunque preparate, quadrate e trasmesse nei tempi.

Il risultato è una squadra piccola che vive in modalità scadenza permanente. Le giornate si riempiono di attività che non lasciano traccia di valore: rileggere una circolare per capire cosa è cambiato, cercare in cinque cartelle il documento giusto, ricostruire a mano il contesto di un cliente, incollare numeri da un sistema all'altro per far quadrare un prospetto. Lavoro necessario, ma che nessuno sceglierebbe di fare se potesse evitarlo. E che, soprattutto, mangia il tempo che servirebbe per il lavoro vero: valutare, decidere, presidiare il rischio.

Una professionista schiacciata dalle scadenze in un piccolo ufficio.

Lo stesso calendario di adempimenti di un grande gruppo, con una squadra che sta in una stanza.

Il collo di bottiglia dei team piccoli non è la competenza. È il tempo che se ne va prima di arrivare alla decisione.

Il gestionale mette in ordine. Non fa il lavoro.

La risposta classica è comprare un gestionale di compliance. Aiuta a mettere in ordine — scadenzari, checklist, archivi, workflow di approvazione — e fin lì va bene. Ma c'è un limite strutturale: quel software organizza il lavoro, non lo fa. Ti dice che devi produrre una relazione sugli incidenti ICT; non la prepara al posto tuo. Ti ricorda che c'è un aggiornamento normativo; non ti dice cosa cambia per le tue procedure interne.

E poi c'è il problema della rigidità. Questi strumenti si basano su regole e moduli predefiniti. Ogni volta che la normativa cambia — e cambia di continuo — qualcuno deve leggere, interpretare e riversare a mano le modifiche nei controlli. Per una squadra grande è un costo. Per una squadra di tre persone è un macigno. Su questo confronto tra approccio a regole fisse e conoscenza viva abbiamo scritto una guida dedicata, software di compliance e limiti dei sistemi tradizionali.

Un analista al lavoro: la competenza c'è, manca il tempo per usarla dove conta.

Uno strumento che ordina le scadenze è utile. Uno che prepara il lavoro sulle tue fonti è un'altra categoria.

L'agente fa il lavoro che ti mangia le giornate

Qui bisogna essere precisi, perché «usiamo l'AI» oggi non significa niente. Non serve un chatbot generico, e non serve un modello che risponde a naso. Serve un sistema agentico: agenti che lavorano per obiettivi, in più passaggi, come farebbe un collega esperto — ma senza stancarsi e senza saltare le scadenze. Se vuoi il quadro completo del concetto, l'abbiamo spiegato nella guida sull'AI agentica.

In concreto, per un team piccolo la differenza è enorme, perché l'agente si prende esattamente il lavoro che oggi ti divora le giornate:

  • consulta le tue fonti — procedure interne, contratti, normativa, dati numerici — e ricostruisce il contesto che ti servirebbe mezza mattinata per mettere insieme;
  • prepara le bozze dei documenti che devi produrre: la relazione su un incidente ICT, l'istruttoria di un alert antiriciclaggio, i prospetti che alimentano le Segnalazioni di Vigilanza;
  • tiene il passo della normativa, perché la conoscenza resta aggiornabile e interrogabile invece di essere cablata in regole da riscrivere a ogni circolare.

Tu non parti più dal foglio bianco. Parti da un lavoro già istruito, e fai la cosa per cui il tuo team è pagato davvero: il giudizio.

Niente scatole nere: cita la fonte, resta a casa tua

Su dati di compliance la diffidenza verso l'AI generativa è più che giustificata. Stiamo parlando di nominativi, profili di rischio, contratti, posizioni sospette. Un modello che «inventa» un collegamento plausibile non è un errore qualunque: è un danno. Per questo l'unica AI che ha senso qui è quella verificabile e privata.

Verificabile significa una cosa molto concreta: ogni conclusione è calcolata dalle tue fonti e le cita, tracciabile fino al documento e al dato di origine. È l'idea dietro il RAG privato — la conoscenza resta nella tua knowledge base e ogni risposta dice da dove viene, riga per riga. Niente scatole nere, niente risposte da prendere sulla fiducia.

Una lente d'ingrandimento posata sulla riga esatta di un testo.

Ogni risposta risale alla fonte: puoi sempre tornare al documento e al dato da cui nasce.

Privata riguarda il perimetro, ed è il punto su cui un piccolo intermediario non può cedere. La knowledge base resta isolata, con dati trattati in UE e nel rispetto del GDPR, accessi governati da SSO/MFA e log di audit, e nessun modello condiviso addestrato sui tuoi contenuti. Non è un optional da grande impresa: è la condizione di partenza per portare l'AI vicino ai dati più sensibili che hai.

E soprattutto: la decisione resta tua. L'agente prepara e motiva, tu vagli, confermi o smonti. Il report è pronto per l'invio, ma sei tu a trasmetterlo. La responsabilità verso l'autorità non si delega a un modello, e non deve.

La stessa qualità, con la squadra che hai

L'effetto non è «meno controlli». È la stessa qualità di presidio con la forza che hai davvero.

Quando la raccolta e la preparazione smettono di mangiarsi la giornata, succedono tre cose. La prima: le scadenze diventano gestibili, perché il grosso del lavoro meccanico è già fatto e ti resta la parte di giudizio. La seconda: la qualità sale, perché passi il tempo sulle cose grigie — quelle che richiedono esperienza — invece che sul copia-incolla. La terza, quella che si sente il giorno dell'ispezione: la storia di ogni decisione è già documentata e tracciabile, invece di essere ricostruita a memoria sotto pressione.

È così che un intermediario di dimensioni contenute smette di rincorrere e torna a presidiare: non assumendo un esercito, ma togliendo dalle spalle del team il lavoro che una macchina fa meglio.

SinergIA, in pratica

È esattamente il modello che SinergIA porta dentro gli intermediari finanziari: una piattaforma agentica e sicura dove costruisci agenti di dominio — ESG, ICT, antiriciclaggio, rischio — sui tuoi documenti e sui tuoi dati numerici, in minuti, senza un progetto IT infinito. Gli agenti consultano le tue fonti, ricostruiscono il contesto e preparano documenti e report tracciabili fino alla fonte, mentre la decisione resta al team.

Il cuore è il RAG privato: conoscenza isolata, conforme al GDPR e con dati trattati in UE, e ogni risposta che cita il dato esatto. Per una squadra piccola non è un lusso tecnologico. È la differenza tra rincorrere le scadenze e stare, finalmente, un passo avanti.


Questo articolo ha scopo informativo e non costituisce consulenza in materia di compliance o vigilanza. Per gli obblighi applicabili alla tua organizzazione, fai riferimento alle disposizioni di Banca d'Italia, alla normativa europea vigente e al tuo assetto interno.

Vedi SinergIA sui tuoi dati

Prepara i report di Vigilanza con agenti che citano la fonte, riga per riga. Conoscenza isolata, conforme al GDPR e con dati trattati in UE.