Open source, FINOS e lo stack CIB cloud-native

A giugno 2026, l'agenda tecnologica della corporate-investment banking (CIB) ha smesso di fingere. Morgan Stanley, JPMorgan e Citi siedono nel governing board di FINOS e trattano ormai l'open source come infrastruttura core, non come progetto collaterale — uno spostamento che Banking Dive ha colto nel suo recente articolo sulle tre banche che raddoppiano la posta sul codice condiviso attraverso FINOS e la Linux Foundation (Banking Dive, 2026). La ragione è scomoda per i vendor: lo stack CIB deve oggi essere ispezionabile end-to-end, e le scatole proprietarie non sopravvivono a un audit DORA Articolo 5.

Questo articolo collega quello spostamento al lato ingegneristico. Le librerie Rust che pubblico — noyalib, http-handle, hsh, KyberLib, html-generator, Shokunin SSG — non sono il punto in sé. Sono esempi concreti di che forma ha oggi uno stack CIB cloud-native quando si prende sul serio la tesi di FINOS: licenze permissive, zero unsafe, artefatti firmati e provenance della supply chain incorporata in fase di compilazione.

01. Perché le CIB vanno verso l'open

Tre pressioni spingono le CIB verso l'open source, e nessuna è ideologica.

Talento. I migliori ingegneri infrastrutturali nel 2026 costruiscono in pubblico. Il report FINOS 2025 sullo State of Open Source in Financial Services colloca la base contributori sul versante alto della crescita, con maintainer affiliati alle banche ora visibili nei progetti runtime CNCF e nei workstream FINOS (Linux Foundation, 2025). Quando un CTO Tier-1 ha bisogno di un senior engineer Rust o Kotlin in grado di consegnare una riscrittura del sistema di clearing, quell'ingegnere si aspetta di committare upstream. Le aziende solo proprietarie perdono la conversazione di assunzione presto.

Compliance. DORA Articolo 5 mette in capo al consiglio una responsabilità non delegabile sul rischio ICT. Basel III lega il capitale per rischio operativo agli outage. Entrambi i regimi assumono che l'istituzione possa auditare ogni componente sul percorso di produzione — ed è strutturalmente più semplice farlo con codice open source permissivo sotto MIT, Apache 2.0 o BSD-3-Clause che con una release ISV black-box dove l'SBOM è "fidatevi". Bill of materials CycloneDX e SPDX, attestazioni di provenance SLSA e firme sigstore sono ora la soglia minima che un regolatore si aspetta di vedere allegata a una release pipeline.

Velocità di delivery. Un team di piattaforma CIB che consegna una modifica al motore di pagamento in giorni anziché trimestri non vince sull'eroismo. Vince su un substrato condiviso — Kubernetes, OpenTelemetry, librerie di schema ISO 20022, FINOS Common Domain Model — che nessuno paga per reimplementare. L'economia non favorisce più i binari su misura.

Tre pressioni, una conclusione. Andare verso l'open è una decisione di delivery, non di procurement.

02. Lo stack Rust a zero dipendenze

Lo stack CIB cloud-native nel 2026 non è più la foto dell'era LAMP di "open source = Linux + nginx + Postgres". È un insieme stratificato di componenti memory-safe e a licenza permissiva — ciascuno con il proprio SBOM, la propria provenance e la propria superficie di minaccia minima. Le librerie Rust che mantengo si mappano in modo pulito su quella stratificazione.

• Edge ingress. http-handle è un server HTTP/1.1 a zero dipendenze, conforme a RFC 7230 / 9112, scritto in Rust sicuro — costruito per il momento in cui un team di piattaforma CIB capisce che il livello di ingresso non dovrebbe trascinarsi 200 crate transitive. Il caso è esposto in http-handle: edge ingress a zero dipendenze per il banking in Rust.
• Piano di configurazione. noyalib parsa YAML 1.2 con compliance 406/406 alla specifica, validazione JSON-Schema e un Concrete Syntax Tree lossless — così i manifest Kubernetes, i registri di server MCP e i workflow CI smettono di essere una superficie d'attacco silenziosa. Si veda Perché YAML necessita di uno stack Rust più sicuro per AI, MCP e l'infrastruttura finanziaria nel 2026.
• Primitivi crittografici. hsh fornisce password hashing Argon2id, bcrypt e scrypt con un'API di verifica a tempo costante. KyberLib implementa ML-KEM-512/768/1024 sotto FIPS 203 per la migrazione post-quantistica esplorata in KyberLib e la migrazione bancaria post-quantistica nel 2026.
• Contenuti e edge delivery. html-generator compila Markdown accessibile in HTML strutturato; Shokunin SSG costruisce la pubblicazione che stai leggendo; CloudCDN si pone davanti come edge open source, AI-native.

Nessuno di questi è un "framework" nel senso bancario legacy. Sono componenti piccoli, a licenza permissiva, firmati, con modelli di minaccia espliciti. È la forma operativa che la tesi FINOS incoraggia — e la forma che un team di piattaforma CIB può difendere davanti a un regolatore senza una presentazione di marketing.

Una piccola riserva onesta: l'obiettivo non è "riscrivere la banca in Rust". È dare ai team di piattaforma CIB l'opzione di uno stack memory-safe e a bassa dipendenza sui livelli portanti — ingress, parsing, crypto, build, supply chain — senza forzare una decisione religiosa altrove.

03. L'open source regge le agende ISO, AI e quantistica

Le tre agende strutturali della CIB del 2026 — cutover ISO 20022, AI agentica nelle operations e migrazione crittografica post-quantistica — girano tutte su codice ispezionabile. Nessuna funziona come stack proprietario.

ISO 20022. La famiglia di schemi pacs.008 / pacs.009 / camt è ora il default per i pagamenti wholesale. FINOS ospita il Common Domain Model insieme a librerie Java e Kotlin open source che parsano, validano e instradano quei messaggi. Il lavoro in Automazione pacs.008 e pagamenti interbancari ISO 20022 mostra come una pipeline clearing-grade si componga a partire da quei componenti aperti — validazione di schema, remittance strutturata, tracciabilità end-to-end — senza ricostruire il parser in ogni banca.

AI agentica. Il Model Context Protocol (MCP) è la lingua franca per permettere agli agenti AI di chiamare strumenti bancari interni — e i server MCP girano su registri YAML, service account delimitati da OAuth e pipeline di audit log. Il piano di controllo è open source perché deve esserlo: ogni agente che tocca un ledger di produzione richiede un flusso di lavoro delimitato e ispezionabile. L'argomentazione per trattare questo come problema ingegneristico anziché come selezione di vendor passa attraverso Perché YAML necessita di uno stack Rust più sicuro e il lavoro sulla workstation dotfiles in Dotfiles AI-aware nel 2026.

Crittografia post-quantistica. FIPS 203 (ML-KEM) e FIPS 204 (ML-DSA) sono ora i bersagli della migrazione. Lo scambio di chiavi ibrido X25519MLKEM768 è il default pratico in TLS 1.3. Nulla di tutto questo funziona senza implementazioni aperte che gli auditor e i team di crittografia bancaria possano leggere riga per riga — KyberLib è un esempio, e l'inquadramento più ampio della migrazione è oggetto di KyberLib e la migrazione bancaria post-quantistica nel 2026.

Tre agende. Una dipendenza condivisa: codice aperto, firmato da sigstore, attestato da SLSA, elencato in un SBOM CycloneDX o SPDX, governato dagli scorecard OSSF. È lo stack CIB cloud-native nel 2026.

04. Platformizzazione sotto PSD3 e FiDA

L'agenda europea di platformizzazione — PSD3, il Payment Services Regulation e il framework Financial Data Access (FiDA) — è un impegno regolamentare verso l'open finance. Assume che le banche possano esporre, governare e auditare i flussi di dati su larga scala. Gli standard aperti sono la precondizione, non l'effetto collaterale.

L'outlook 2026 di Consultancy.uk sull'orchestrazione dell'open banking per la crescita di piattaforma fa la stessa osservazione dal lato business: le istituzioni che vincono sotto PSD3 sono quelle che trattano il parco API come un prodotto, non come un ripensamento di compliance (Consultancy.uk, 2026). Questa postura è impossibile su uno stack chiuso. Trasformare le API in prodotto richiede specifiche OpenAPI versionate, test di contratto automatizzati, osservabilità su ogni consumatore e un livello di governance che un auditor possa percorrere. Ognuna di queste primitive è open source nel 2026, e gran parte risiede in progetti CNCF o FINOS.

La stessa logica si estende al perimetro di accesso ai dati più ampio di FiDA — pensioni, mutui, prodotti di investimento. Una banca che controlla parsing, ingress, configurazione e crypto con codice ispezionabile può estendere il perimetro senza ri-architettare. Una banca che ha esternalizzato quei livelli a vendor chiusi pagherà consulenti di integrazione per i prossimi tre anni. La tesi FINOS è, in sostanza, una tesi di platformizzazione: possiedi gli standard, condividi il substrato, compete sulla superficie.

Conclusione

Lo stack CIB nel 2026 è aperto per default. Non per ideologia, ma perché le tre pressioni — talento, compliance, velocità di delivery — tirano nella stessa direzione, e i regolatori (DORA, Basel III, PSD3, FiDA) l'hanno ratificato. L'articolo di Banking Dive su Morgan Stanley, JPMorgan e Citi è la versione pubblica di una conversazione privata che i senior platform team hanno condotto per due anni.

Per i consigli, l'implicazione è diretta. La domanda non è più "dovremmo usare open source". È: abbiamo gli SBOM, la provenance SLSA, le firme sigstore, gli scorecard OSSF e la policy di contribuzione allineata con FINOS per usarlo in sicurezza. Se la risposta è no, la risposta al regolatore sarà anch'essa no.

Per i responsabili dell'ingegneria, l'implicazione è più affilata. Scegli i livelli portanti — ingress, parsing, crypto, build, supply chain — e standardizza su componenti memory-safe a licenza permissiva con modelli di minaccia espliciti. Gli esempi Rust a zero dipendenze in questo articolo sono un insieme valido. Il punto è la forma, non il marchio. Costruisci il substrato così che la superficie possa muoversi rapidamente.

L'open source non è più la domanda di modernizzazione. È la risposta di modernizzazione.

Ultima revisione 2026-06-28.

Ultima revisione 2026-06-29.

# Open source, FINOS e lo stack CIB cloud-native — Sebastien Rousseau

> Originally published at [https://sebastienrousseau.com/it/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/](https://sebastienrousseau.com/it/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/)

Come FINOS, Linux Foundation e uno stack Rust a zero dipendenze stanno ridisegnando lo stack CIB cloud-native — talento, compliance, PSD3 e provenance della supply chain.

Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/it/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

Open source, FINOS e lo stack CIB cloud-native — Sebastien Rousseau

Come FINOS, Linux Foundation e uno stack Rust a zero dipendenze stanno ridisegnando lo stack CIB cloud-native — talento, compliance, PSD3 e provenance della supply chain.

https://sebastienrousseau.com/it/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

Open source, FINOS e lo stack CIB cloud-native — Sebastien Rousseau

Come FINOS, Linux Foundation e uno stack Rust a zero dipendenze stanno ridisegnando lo stack CIB cloud-native - talento, compliance, PSD3 e provenance della supply chain.

Ecco i principali punti strategici:

- 01. Perché le CIB vanno verso l'open. Tre pressioni spingono le CIB verso l'open source, e nessuna è ideologica.
- 02. Lo stack Rust a zero dipendenze. Lo stack CIB cloud-native nel 2026 non è più la foto dell'era LAMP di "open source = Linux + nginx + Postgres".
- 03. L'open source regge le agende ISO, AI e quantistica. Le tre agende strutturali della CIB del 2026 — cutover ISO 20022, AI agentica nelle operations e migrazione crittografica post-quantistica — girano tutte su codice ispezionabile.
- 04. Platformizzazione sotto PSD3 e FiDA. L'agenda europea di platformizzazione — PSD3, il Payment Services Regulation e il framework Financial Data Access (FiDA) — è un impegno regolamentare verso l'open finance.

Qual è l'approccio della vostra organizzazione alle sfide descritte in questo articolo?

→ https://sebastienrousseau.com/it/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

#OpenSourceBanking #Finos #LinuxFoundation #CibCloudNative #RustBanking

Sebastien Rousseau | CC-BY-4.0

@online{rousseau2026open,
  author  = {Rousseau, Sebastien},
  title   = {{Open source, FINOS e lo stack CIB cloud-native — Sebastien Rousseau}},
  year    = {2026},
  url     = {https://sebastienrousseau.com/it/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/},
  urldate = {2026}
}

TY  - GEN
AU  - Rousseau, Sebastien
TI  - Open source, FINOS e lo stack CIB cloud-native — Sebastien Rousseau
PY  - 2026
UR  - https://sebastienrousseau.com/it/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/
ER  -

Rousseau S. Open source, FINOS e lo stack CIB cloud-native — Sebastien Rousseau. sebastienrousseau.com. 2026 Jun 28. Available from: https://sebastienrousseau.com/it/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

Rousseau, Sebastien. "Open source, FINOS e lo stack CIB cloud-native — Sebastien Rousseau." sebastienrousseau.com. June 28, 2026. https://sebastienrousseau.com/it/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/.

Rousseau, S. (2026, June 28). Open source, FINOS e lo stack CIB cloud-native — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/it/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

Open source, FINOS e lo stack CIB cloud-native — Sebastien Rousseau

Come FINOS, Linux Foundation e uno stack Rust a zero dipendenze stanno ridisegnando lo stack CIB cloud-native — talento, compliance, PSD3 e provenance della supply chain.

Originally published at https://sebastienrousseau.com/it/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/ by Sebastien Rousseau.
Licensed under CC-BY-4.0.

SEBASTIEN ROUSSEAU · FOUNDER · ENGINEER