Baran Ozkan sapeva cosa serviva alla sua banca: un unico strumento per scovare riciclaggio e frodi in tempo reale, senza affidarsi a patchwork di soluzioni scollegate. Per 15 mesi, da responsabile prodotto per i crimini finanziari in un istituto europeo, ha setacciato il mercato. I vendor dipingevano demo impeccabili, ma nella pratica i loro software non reggevano il carico operativo di una banca seria. Quando la sua stessa azienda ha provato a sviluppare una soluzione interna, il progetto è naufragato tra complessità tecniche e costi fuori controllo. Alla fine Ozkan ha preso la strada più drastica: costruirselo da solo. Nasce così Flagright, startup che pochi giorni fa ha annunciato un round di finanziamento da 12,5 milioni di dollari.

Il vuoto che Flagright prova a colmare

La cronaca di quei 15 mesi non è solo un aneddoto personale, ma la spia di un problema strutturale. I software di compliance per il settore finanziario devono gestire volumi enormi di transazioni, applicare regole sempre più sofisticate e, soprattutto, risiedere dove i dati sono effettivamente custoditi. Per molte banche europee questo significa on-premise o al massimo cloud privato, perché il Regolamento Generale sulla Protezione dei Dati (GDPR) e le policy interne impongono che le informazioni sensibili non escano mai dal perimetro aziendale. Eppure, la maggior parte delle soluzioni commerciali nasce con un’impronta cloud-first, spesso inadatta ai vincoli di residenza dei dati.

Perché l’on-premise non è negoziabile (e perché i vendor inciampano)

Chi opera nel settore lo sa: spostare i dati dei clienti su infrastrutture di terze parti, anche se cifrati, introduce un rischio percepito come intollerabile dai compliance officer. Non è solo una questione legale, ma di fiducia e di controllo operativo. Un sistema anti-riciclaggio che giri su hardware della banca permette audit in tempo reale, personalizzazione estrema delle regole e latenze ridotte al minimo – tutti fattori critici quando si devono fermare transazioni sospette in millisecondi. I vendor tradizionali, invece, tendono a offrire SaaS multitenant con personalizzazione limitata e aggiornamenti che sfuggono al controllo dell’IT interno. Il risultato? Promesse disattese e progetti pilota che non diventano mai produzione.

Il fattore AI-RADAR: perché la vicenda Flagright conta ora

Per chi valuta il deployment on-premise di strumenti di compliance basati su intelligenza artificiale, la storia di Ozkan segnala un punto di svolta. L’ascesa di Large Language Models e di framework per l’inference locale sta rendendo possibile costruire sistemi di rilevamento frodi che girano interamente su infrastruttura propria, senza dipendere da API cloud. Flagright non ha dichiarato se la sua piattaforma adotti questo approccio, ma la direzione del mercato è chiara: le banche vogliono modelli che possano essere eseguiti on-premise, con dati che non lasciano mai il perimetro aziendale. Questo non solo riduce i rischi di compliance, ma abbatte anche il Total Cost of Ownership nel medio periodo, evitando costi ricorrenti di licenze cloud e garantendo piena sovranità tecnicica.

Oltre il round: cosa significa per l’ecosistema

Il finanziamento da 12,5 milioni non è soltanto un voto di fiducia su Flagright. È un segnale per l’intero settore: c’è una domanda repressa di software compliance che sappia convivere con le architetture on-premise più esigenti. Il fallimento del tentativo interno della banca di Ozkan dimostra che non basta avere risorse: servono competenze verticali e un focus maniacale sull’integrazione con i sistemi legacy. Per le aziende che oggi valutano stack di AI per la compliance, l’insegnamento è duplice: diffidare dei vendor che promettono tutto senza prove in ambiente reale, e considerare seriamente lo sviluppo in-house solo se si può contare su un team dedicato e su una pipeline di aggiornamento continuo.

Mentre Flagright si prepara a scalare, il mercato osserva se la startup riuscirà a mantenere la promessa di uno strumento che, finalmente, giri dove le banche hanno davvero bisogno: dietro i loro firewall.