Due settimane di guasti operativi di portata eccezionale presso Lloyds Bank e Barclays hanno esposto un deterioramento istituzionale più profondo di quanto la maggior parte dei clienti depositanti realizzi. Un'esposizione di dati che ha interessato 80.500 clienti presso Lloyds—in seguito a quello che il creditore ha caratterizzato come un "grave guasto IT"—è arrivata poche settimane dopo che Barclays ha annunciato una perdita di 228 milioni di sterline derivante dalla sua controllata ipotecaria MFS, un'unità che è crollata sotto il peso di decisioni di prestito rischiose e, per implicazione, di una governance operativa carente. Non si tratta di incidenti isolati. Sono sintomatici di una vulnerabilità strutturale nel modo in cui l'infrastruttura bancaria britannica legacy è stata lasciata deteriorare.

La violazione di Lloyds merita un'attenzione particolare. Un "guasto IT" che ha esposto quasi 100.000 record di transazioni clienti non è né un guasto né un incidente—è prova di un sottoinvestimento sistemico nella resilienza dei dati, nei controlli d'accesso e nell'architettura di monitoraggio. Il fatto che Lloyds abbia inquadrato questo incidente in un linguaggio così passivo sottolinea una strategia normativa e reputazionale che è diventata di routine nel settore bancario britannico: minimizzare il linguaggio, limitare la trasparenza e fare affidamento sull'inerzia dei clienti. Tuttavia, il quadro di resilienza operativa della Banca d'Inghilterra, ora in vigore in tutto il settore, richiede capacità dimostrabili di recupero e backup. Se Lloyds non riesce a prevenire accessi non autorizzati ai dati attraverso quelli che ammontano a controlli fondamentali—e una violazione che interessa 80.500 account suggerisce esattamente questo—allora la banca ha fallito un test che dovrebbe essere non negoziabile.

La perdita di 228 milioni di sterline di Barclays su MFS racconta una storia complementare: appetito di rischio divorziato da una governance adeguata. La società ipotecaria era esposta al lending su immobili commerciali durante un periodo di volatilità dei tassi e stress settoriale. Che Barclays abbia consentito a tale esposizione di dilatarsi fino al punto di generare una perdita a nove cifre indica che i comitati di rischio non hanno ricevuto informazioni adeguate o, peggio, le hanno ricevute e hanno scelto di non agire. Entrambi gli scenari rappresentano un fallimento del tipo che i regolatori sostengono di controllare attraverso test di stress sui capitale e guida Pillar 2. Eppure eccoci qui, a guardare un creditore britannico di importanza sistemica assorbire perdite che avrebbero potuto essere prevenute attraverso controlli operativi più ristretti e sistemi di avviso precoce.

Per i fornitori di infrastrutture finanziarie e le piattaforme fintech emergenti che operano secondo il regime PSD2—che include reti di embedded finance, piattaforme Banking-as-a-Service e reti di pagamento digitali—gli scivoloni di Lloyds e Barclays comportano un'implicazione scomoda: se istituti di primo livello con decenni di esperienza operativa e miliardi di bilancio IT annuale non riescono a mantenere la sicurezza dei dati di base e l'igiene del rischio, quale fiducia possono riporre i regolatori o i clienti nei fornitori di infrastrutture più nuovi e snelli?

La risposta, paradossalmente, potrebbe risiedere nella differenza architettonica piuttosto che nella scala. La guida della Banca Centrale Europea sulla resilienza operativa enfatizza sempre più il design modulare, cloud-native e verificabile dei sistemi—esattamente l'opposto delle piattaforme core banking monolitiche che sottendono i sistemi rivolti ai clienti di Lloyds e Barclays. Un emittente fintech che utilizza API di emissione carte con custodia segregata e stack di monitoraggio dedicati potrebbe, di fatto, presentare un rischio operativo inferiore rispetto a una banca legacy con sistemi di elaborazione batch diffusi, database incompatibili e gerarchie di controllo d'accesso labirintiche. Questo non è un argomento per indulgenza normativa nei confronti di attori più piccoli—è un argomento secondo cui la Banca d'Inghilterra e l'Autorità per la Condotta Finanziaria devono iniziare a valutare il rischio operativo in base all'architettura e alla capacità di risposta agli incidenti, non in base alle dimensioni dell'istituzione.

La condanna per frode con criptovalute riportata nella stessa settimana—un operatore del Texas imprigionato per 23 anni per una frode sostenuta da arte del valore di 1 miliardo di dollari—aggiunge contesto. La frode, il furto e il fallimento operativo sono rischi universali. Ciò che differenzia i buoni attori da quelli cattivi non è l'immunità dal rischio; è la trasparenza, la velocità di rilevamento e la mitigazione proporzionata. Lloyds ha notificato i clienti interessati e l'FCA. Questo è il minimo. Ma la banca ha rilevato la violazione attraverso il monitoraggio proattivo o la denuncia di un cliente? Per quanto tempo i dati sono rimasti esposti? Sono state avviate transazioni fraudolente come risultato? Questi dettagli hanno importanza—e la loro assenza dalle dichiarazioni pubbliche suggerisce che la banca sta ancora calibrando quale divulgazione può minimizzare senza innescare un'azione di esecuzione.

La pressione normativa sta aumentando. Le regole finali sulla resilienza operativa della Banca d'Inghilterra, in vigore dal gennaio 2025, impongono che le banche identifichino i "servizi aziendali importanti" e testino la loro capacità di continuarli sotto stress. Una violazione di dati che espone dettagli di transazioni apparentemente fallisce quel test. La perdita di Barclays su MFS attirerà probabilmente un'attenzione maggiore durante il prossimo test di stress coordinato dall'ECB, in particolare se la banca non riesce ad articolare come previene esposizioni simili in futuro. Per le nuove piattaforme fintech che cercano di dimostrare resilienza come concorrenti delle banche legacy, questi errori sono sia avvertimento che opportunità: dimostrare che avete imparato le lezioni che queste istituzioni non hanno imparato.

Ciò che emerge è non che il settore bancario britannico sia fragile—è che le istituzioni più anziane sono le più lente ad adattarsi. I problemi di Lloyds e Barclays riflettono decenni di debito di infrastruttura legacy, strutture di governance ottimizzate per regimi normativi ormai superati, e un assunto implicito secondo cui la dimensione e la storia conferiscono invulnerabilità. L'FCA e la Banca d'Inghilterra ora hanno motivi espliciti per accelerare l'esecuzione sulla resilienza operativa. Aspettatevi notifiche di esecuzione. Aspettatevi aggiunte di capitale. E aspettatevi che il prossimo generazione di fornitori di payment rail e operatori BaaS sia sottoposta a scrutinio molto più rigoroso—non perché sia più rischiosa, ma perché i regolatori non tollereranno più l'autocompiacenza operativa che è diventata endemica nel settore bancario consolidato.

Scritto dall'editor di Codego Press—giornalismo bancario e fintech indipendente gestito da Codego, fornitore di infrastrutture bancarie europee dal 2012.

Fonti: The Finanser / blog di Chris Skinner · 29 aprile 2026