Il 26 febbraio 2026, l’Autorità europea degli strumenti finanziari e dei mercati (“ESMA“) ha pubblicato un documento di orientamento di vigilanza sul trading algoritmico (“Briefing“) nell’Unione europea con l’obiettivo dichiarato di promuovere una maggiore convergenza di vigilanza nell’applicazione del quadro normativo della Direttiva (UE) 2004/39 (“MiFID II“).
Il Briefing non è vincolante e non è soggetto a un meccanismo di “comply-or-explain”, ma è chiaramente inteso a guidare sia le autorità nazionali competenti che gli operatori di mercato nell’interpretazione e nella vigilanza delle norme sul trading algoritmico. Più specificamente, il Briefing sostiene l’applicazione del Regolamento delegato (UE) 2017/589 (“RTS 6“), con particolare attenzione a quelle aree in cui ESMA ha individuato approcci di vigilanza divergenti o pratiche di mercato non sufficientemente solide.
Sostanzialmente, il Briefing svolge due funzioni.
- In primo luogo, chiarisce l’ambito di applicazione del trading algoritmico precisando il significato dei concetti chiave che sono centrali nel regime MiFID II, tra cui “algoritmo”, “trading algoritmico” e “strategia di trading algoritmico”. In tal modo, ESMA adotta un’interpretazione volutamente ampia e funzionale del concetto di negoziazione algoritmica, confermando che l’elemento decisivo non è la totale assenza di intervento umano, ma piuttosto il fatto che un algoritmo informatico determini uno o più parametri individuali di un ordine oltre al semplice instradamento o all’elaborazione post-negoziazione.
- In secondo luogo, il Briefing definisce aspettative di vigilanza concrete in materia di governance, test, esternalizzazione, autovalutazione annuale e controlli pre-negoziazione, attingendo ai risultati dell’Azione di Vigilanza Comune del 2024 avviata a seguito del flash crash nordico del 2022.
Un aspetto particolarmente significativo del Briefing riguarda la crescente intersezione tra la regolamentazione finanziaria e il Regolamento (UE) 2024/1689 (“AI Act“). Il Briefing chiarisce che l’uso dell’Intelligenza Artificiale (“IA“) all’interno dei sistemi di negoziazione aumenta l’importanza della governance, della responsabilità e della supervisione interna.
Trading algoritmico ai sensi di MiFID 2
Un elemento centrale del Briefing riguarda il chiarimento di ciò che costituisce trading algoritmico ai sensi dell’articolo 4, paragrafo 1, punto 39, MiFID II. Ai sensi di tale disposizione, per trading algoritmico si intende la negoziazione di strumenti finanziari in cui un algoritmo informatico determina automaticamente i singoli parametri degli ordini. ESMA ribadisce che la definizione deve essere interpretata in senso ampio.
Qualsiasi attività di negoziazione in cui un algoritmo determini elementi quali la tempistica, il prezzo, la quantità o la gestione dell’esecuzione di un ordine può rientrare nel suo ambito di applicazione, anche laddove l’intervento umano rimanga parte del processo di negoziazione. Al contrario, i sistemi che si limitano a fornire segnali informativi ai trader, senza determinare i parametri degli ordini o eseguire automaticamente le operazioni, non si qualificano come trading algoritmico; come già specificato da ESMA nel 2017 attraverso la Q&A 1603.
Partendo da questa definizione, il Briefing distingue ulteriormente tra i concetti di algoritmo e strategia di trading algoritmico, due nozioni che svolgono un ruolo chiave nel quadro di vigilanza ma che storicamente sono state interpretate in modo incoerente nelle diverse giurisdizioni.
- ESMA definisce un algoritmo come un insieme computerizzato di istruzioni in grado di determinare autonomamente uno o più parametri di un ordine di negoziazione.
- Una strategia di trading algoritmico, al contrario, è intesa come un insieme di logica decisionale implementata attraverso uno o più algoritmi e progettata per perseguire un obiettivo di trading definito, come il market making, l’arbitraggio o l’ottimizzazione dell’esecuzione. Questa distinzione è particolarmente rilevante ai fini di vigilanza, poiché determina in che modo il comportamento di trading possa essere attribuito a sistemi specifici e quindi testato, monitorato e sottoposto a scrutinio normativo.
L’approccio di ESMA su governance e collaudo del trading algoritmico
Il Briefing fornisce inoltre indicazioni di vigilanza dettagliate sulla governance e sui test dei sistemi di trading algoritmico. Ai sensi dell’articolo 17 MiFID II e delle disposizioni di attuazione dell’RTS 6, le imprese di investimento che effettuano trading algoritmico devono stabilire solidi accordi di governance che garantiscano che gli algoritmi di trading siano adeguatamente progettati, testati, monitorati e controllati durante tutto il loro ciclo di vita. ESMA sottolinea che tali meccanismi di governance devono attribuire chiaramente le responsabilità all’interno dell’impresa, garantire una comunicazione efficace tra le funzioni di negoziazione, gestione del rischio, conformità e IT, e mantenere un’adeguata separazione tra i trading desk e le funzioni di controllo. Questo quadro di governance ha lo scopo di garantire che i sistemi di trading algoritmico rimangano soggetti a un’efficace supervisione interna nonostante la crescente complessità tecnologica degli ambienti di trading automatizzato.
Un elemento fondamentale di questo quadro normativo riguarda il collaudo degli algoritmi e delle strategie di trading algoritmico.
- L’RTS 6 richiede alle imprese di investimento di condurre test di conformità, stress test e analisi di scenario prima di implementare sistemi di negoziazione algoritmica e ogni volta che si verifichino cambiamenti rilevanti. ESMA chiarisce che per “cambiamento sostanziale” si deve intendere, in senso lato, qualsiasi modifica in grado di alterare il comportamento, il profilo di rischio o la posizione di conformità di un sistema di trading algoritmico. Tra gli esempi figurano le modifiche alla logica decisionale che regola la determinazione del prezzo o della quantità, le modifiche al comportamento di esecuzione, l’estensione dell’algoritmo a nuovi strumenti o sedi di negoziazione, le modifiche ai parametri di controllo del rischio o le alterazioni delle dipendenze esterne quali i feed di dati o l’infrastruttura di trading.
- Il Briefing ribadisce inoltre che l’uso di software in outsourcing o di sistemi di negoziazione di terze parti non altera la responsabilità normativa dell’impresa di investimento. Qualora gli algoritmi o gli strumenti di esecuzione siano acquistati da fornitori esterni, l’impresa di investimento rimane pienamente responsabile del rispetto di MiFID II e dell’RTS 6. Le imprese devono pertanto garantire che gli accordi di esternalizzazione forniscano trasparenza e controllo sufficienti per consentire loro di comprendere, testare e monitorare il funzionamento degli algoritmi che implementano, nonché di dimostrare la conformità all’autorità competente. In pratica, ciò richiede solidi accordi contrattuali che garantiscano l’accesso alla documentazione pertinente, ai risultati dei test e ai dati operativi relativi ai sistemi esternalizzati.
I sistemi di trading algoritmico basati su IA possono essere qualificati come sistemi di IA ad alto rischio ai sensi dell’AI Act?
ESMA rileva espressamente che un sistema di trading algoritmico può qualificarsi come sistema di IA ai sensi dell’articolo 3, paragrafo 1, dell’AI Act. In tal caso, i requisiti introdotti da tale regolamento devono essere integrati negli accordi di governance già richiesti dall’RTS 6. In termini pratici, ciò significa che il quadro organizzativo attraverso il quale le imprese di investimento supervisionano le proprie operazioni di trading deve anche tenere conto degli obblighi normativi derivanti dall’AI Act.
Come noto, l’AI Act adotta una tassonomia normativa basata sul rischio. Attualmente, i sistemi di trading algoritmico basati sull’IA non sono inclusi tra i casi d’uso ad alto rischio identificati dal regolamento. Tuttavia, la determinazione di ciò che si qualifica come sistema di IA ad alto rischio rimane soggetta a ulteriori chiarimenti normativi, e si prevede che la Commissione Europea pubblichi ulteriori orientamenti in questo ambito. In attesa di tali orientamenti, l’Allegato III dell’AI Act rimane il punto di riferimento normativo più preciso per identificare i sistemi di IA ad alto rischio per l’ e, elencando i settori e i casi d’uso attualmente soggetti al regime di conformità più rigoroso previsto dal regolamento.
Le categorie identificate in tale allegato riguardano principalmente i sistemi di IA in grado di incidere direttamente sui diritti fondamentali o sull’accesso delle persone fisiche a servizi essenziali, come i sistemi utilizzati per il credit scoring, le decisioni di assunzione, l’accesso alle prestazioni pubbliche o a fini di applicazione della legge. Al contrario, i sistemi di trading algoritmico operano tipicamente all’interno dei mercati finanziari e automatizzano le decisioni di trading tra gli operatori di mercato, piuttosto che produrre decisioni che determinano direttamente i diritti o le opportunità degli individui.
Al di là dei dubbi formali sulla classificazione dei rischi, ESMA riconosce come la crescente integrazione delle tecnologie di IA nei sistemi di negoziazione sollevi ulteriori sfide di vigilanza. I sistemi di IA – in particolare quelli che si basano su tecniche di apprendimento automatico – possono evolversi nel tempo attraverso processi di ricalibrazione o di riaddestramento, alterando potenzialmente il comportamento di un sistema di negoziazione senza una singola modifica identificabile che possa chiaramente qualificarsi come “cambiamento sostanziale” ai sensi dell’RTS 6. Ciò crea il rischio che gli adeguamenti cumulativi del sistema (o del modello) possano incidere in modo sostanziale sui risultati di negoziazione senza innescare le procedure di verifica normalmente richieste per i sistemi algoritmici.
In questo contesto, ESMA sottolinea che l’attuale quadro di controllo di MiFID II fornisce già importanti strumenti di vigilanza per affrontare l’uso dell’IA nel trading. In particolare:
- L’articolo 9 dell’RTS 6 impone alle imprese di investimento di effettuare un’autovalutazione e una convalida annuali dei propri sistemi di negoziazione algoritmica, comprese le relative disposizioni di governance e la loro conformità complessiva all’articolo 17 di MiFID II.
- Parallelamente, l’articolo 2 dell’RTS 6 richiede che il personale addetto alla conformità possieda una comprensione sufficiente del funzionamento degli algoritmi di negoziazione dell’impresa e mantenga un’interazione continua con il personale in possesso di conoscenze tecniche dettagliate di tali sistemi. Laddove vengono impiegate tecnologie di IA, questi requisiti implicano che le imprese debbano essere in grado non solo di controllare i propri algoritmi di negoziazione, ma anche di spiegare in che modo i sistemi di IA influenzano le decisioni di negoziazione e garantire che il loro utilizzo rimanga soggetto a governance, convalida e supervisione interna efficaci.
Digital Omnibus: la BCE traccia i confini di vigilanza
Un ulteriore elemento normativo rilevante per l’intersezione tra la vigilanza finanziaria e l’AI Act emerge dal parere della Banca centrale europea (“BCE”) del 13 marzo 2026 su una proposta di regolamento relativo alla semplificazione dell’attuazione delle norme armonizzate in materia di intelligenza artificiale (“Digital Omnibus on AI”). In tale parere, la BCE sottolinea come l’AI Act non debba alterare l’attribuzione delle competenze di vigilanza nel settore finanziario.
- In particolare, la BCE chiarisce che le valutazioni di conformità, le indagini sulle violazioni e l’applicazione dell’AI Act rientrano nelle competenze delle autorità nazionali di vigilanza del mercato, mentre il mandato della BCE rimane limitato alla vigilanza prudenziale degli enti creditizi nell’ambito del Meccanismo di vigilanza unico.
- Allo stesso tempo, la BCE sottolinea la necessità di una chiara base giuridica che consenta lo scambio reciproco di informazioni tra le autorità di vigilanza prudenziale e le autorità di vigilanza del mercato, al fine di evitare indagini ridondanti e risultati di vigilanza incoerenti nei casi in cui gli enti creditizi utilizzino sistemi di IA.
- Infine, la BCE chiede anche una maggiore proporzionalità nella classificazione dei casi d’uso dell’IA nel settore finanziario, suggerendo che i modelli lineari generalizzati, come i modelli di regressione lineare e logistica comunemente utilizzati nella valutazione del rischio di credito, non dovrebbero essere considerati sistemi di IA ad alto rischio quando impiegati come tecniche statistiche autonome, data la loro intrinseca trasparenza e spiegabilità.
Nel loro insieme, questi chiarimenti sottolineano un obiettivo istituzionale più ampio che consiste nel garantire che l’AI Act operi in modo da integrare, anziché sconvolgere, l’architettura di vigilanza consolidata della regolamentazione finanziaria dell’UE, preservando sia la coerenza normativa che la proporzionalità nella supervisione delle attività finanziarie basate sull’IA. In definitiva, poiché i sistemi di IA rendono progressivamente più sfocata la linea di demarcazione tra algoritmi statici e modelli decisionali adattivi, una domanda rimane inevitabile. L’attuale quadro di vigilanza MiFID II, così com’è, è sufficiente per cogliere i rischi dei sistemi di negoziazione auto-evolutivi?
Autori: Andrea Pantaleo e Giulio Napolitano
About the Author: Andrea Pantaleo
