L’adozione di intelligenza artificiale nell'ambito finance non è più sperimentale: secondo i questionari EBA, la maggioranza degli istituti usa AI per credit scoring, AML e customer support da oltre cinque anni. Questo significa che il tema non è “se usare AI”, ma come integrarla nella governance dei rischi, della compliance e della reputazione dell’ente.
Per i Board e i CEO l’AI non è un progetto tecnologico isolato, ma un fattore che impatta operatività, vigilanza e fiducia dei clienti. Decisioni su modelli di credit scoring o GPAI (General Purpose AI) non possono essere demandate al solo IT: rientrano nel perimetro delle responsabilità degli organi di gestione, come ricordato anche da ESMA per i servizi di investimento.
L’EBA evidenzia che circa il 70% delle banche UE utilizza AI in ambiti sensibili come profiling, creditworthiness assessment e fraud detection, con una progressiva integrazione nelle infrastrutture core. In Italia, Banca d’Italia e OCSE confermano una diffusione trasversale lungo la catena del valore, dai processi di onboarding fino alla reportistica regolamentare.
Questo passaggio rende indispensabile un cambio di prospettiva: AI come rischio trasversale (legale, operativo, ICT, reputazionale), da governare con strumenti simili a quelli adottati per il rischio di credito o operativo. Senza una mappa chiara dei casi d’uso e delle dipendenze da fornitori, è impossibile dimostrare alle Autorità di avere il controllo effettivo sui sistemi che influenzano decisioni su clienti e mercati.
Per i Compliance Officer significa passare da un approccio “a silos” (privacy, IT security, outsourcing) a una lettura integrata di AI Act, GDPR e DORA. Per Data Scientist e Tech Lead, significa progettare fin dall’inizio modelli e architetture che tengano conto di requisiti di spiegabilità (AI explainability), tracciabilità e supervisione umana, non come vincoli ex post ma come criteri di design.
L’AI Act (Reg. UE 2024/1689) introduce un approccio basato sul rischio: i sistemi di AI usati per valutare il merito creditizio delle persone fisiche rientrano tipicamente tra i sistemi ad alto rischio (Allegato III). Per questi casi d’uso, gli obblighi chiave includono gestione del rischio (art. 9), governance e qualità dei dati (art. 10), documentazione tecnica e conservazione dei registri (artt. 11–12) e supervisione umana effettiva (art. 14).
Per una banca italiana questo si traduce, in pratica, nella necessità di integrare l’AI Act nel framework di compliance esistente, coordinandosi con le disposizioni di Banca d’Italia su governo e controlli interni, esternalizzazioni ICT e gestione del rischio operativo. È qui che il rischio da AI diventa parte del RAF (Risk Appetite Framework) e non un semplice allegato tecnico.
Il GDPR (Reg. UE 2016/679) rimane centrale per tutto ciò che riguarda decisioni automatizzate (art. 22) e trasparenza verso gli interessati (artt. 13–15). Un modello che rifiuta un prestito o segnala un’operazione sospetta non può essere una “black box”: il cliente ha diritto a comprenderne la logica di base e a ottenere l’intervento umano. Studi recenti su credit scoring e GDPR mostrano come l’AI Act contribuisca a colmare i vuoti lasciati dal solo quadro privacy, soprattutto in tema di explainability.
Il DORA (Reg. UE 2022/2554), pienamente applicabile dal 2025, aggiunge la dimensione della resilienza operativa digitale: dipendenze da fornitori di modelli GPAI via cloud, gestione degli incidenti ICT legati ad AI, test di resilienza e registri dei fornitori ICT. Banca d’Italia ha già avviato raccolte dati specifiche sui fornitori critici, che includono spesso provider di servizi AI e cloud.
La combinazione di questi tre pilastri spinge verso un nuovo modello di GRC (Governance, Risk & Compliance) integrato: ogni nuovo caso d’uso AI dovrebbe essere valutato con una scheda unica che copra rischi per diritti fondamentali, protezione dati, resilienza ICT e impatti prudenziali.
Caso pratico
Immaginiamo una banca italiana che introduce un assistente GPAI interno per supportare i team di filiale su norme interne, KYC (Know Your Customer) e processi di onboarding. Il sistema, basato su un modello fondazionale di terza parte con tecnica RAG (Retrieval Augmented Generation), risponde a domande dei dipendenti usando policy e manuali aziendali indicizzati.
A prima vista il caso d’uso sembra “a basso rischio”, perché non prende decisioni dirette sul cliente. In realtà, l’assistente può influenzare scelte operative delicate: ad esempio, la corretta classificazione di un cliente ai fini antiriciclaggio o la richiesta di documentazione integrativa. In questo scenario, le statistiche EBA mostrano che circa il 40% delle banche UE sta sperimentando GPAI per ottimizzare processi interni e customer support, con attività ancora in gran parte in fase di test.
Per portare questo use case in produzione in conformità con l’AI Act, la banca dovrebbe:
Osservazione chiave
Come sintetizzato da un responsabile compliance di un primario gruppo europeo in un recente workshop EBA, «la sfida non è bloccare il GPAI, ma inserirlo in un perimetro di governance che consenta di spiegare a Banca d’Italia, in modo documentato, cosa fa e come lo controlliamo».
Dal punto di vista tecnico-operativo, Data Scientist e Tech Lead devono tradurre i requisiti normativi in controlli concreti. Sul fronte dati, l’AI Act richiede dataset pertinenti, rappresentativi e privi di bias sistematici, in linea con l’art. 10. In pratica, questo significa documentare le fonti, la logica di sampling, le esclusioni e le tecniche di mitigazione dei bias, con report riesaminati da funzione risk/compliance.
Per i modelli di credit scoring, la letteratura specializzata italiana sottolinea la necessità di combinare feature avanzate con metriche di fairness e analisi di impatto su gruppi vulnerabili. Non basta dimostrare performance predittiva: occorre evidenziare che l’uso di nuove variabili non introduce discriminazioni vietate o effetti di esclusione finanziaria ingiustificata.
Sul tema explainability, i limiti intrinseci dei modelli GPAI impongono di usare tecniche multiple: model cards del provider, RAG con basi documentali verificate, strumenti di interpretabilità locali (per modelli tabellari) e linee guida interne su come presentare output ai clienti o agli operatori. Le Autorità non accettano la logica del “modello troppo complesso per essere spiegato”.
I log di audit diventano essenziali: tracciare versioni del modello, dataset usati, parametri di configurazione, prompt di sistema e principali modifiche effettuate. Questo è in linea sia con gli artt. 11–12 AI Act, sia con le richieste DORA in tema di incident reporting e test di resilienza.
Infine, il controllo umano non può essere meramente formale. Serve definire chi può effettuare l'override delle decisioni automatizzate, in quali casi è obbligatorio il riesame umano, e quali KPI monitorare (tassi di override, reclami, anomalie di performance). Questo approccio, se ben progettato, non rallenta l’operatività ma diventa un ulteriore presidio di qualità del servizio.
Nel contesto italiano, la governance dell’AI nel finance passa necessariamente attraverso il coordinamento con Banca d’Italia per banche e intermediari vigilati, e con IVASS per il settore assicurativo. Entrambe le Autorità hanno già integrato nei propri atti di vigilanza richiami alla gestione dei rischi ICT, all’outsourcing tecnologico e alla necessità di presidiare i modelli avanzati.
A livello europeo, l’EBA svolge un ruolo di osservatorio e indirizzo: attraverso i Risk Assessment Report e workshop dedicati sull’uso di AI e GPAI, raccoglie dati su adozione, rischi e best practice. I questionari RAQ mostrano un aumento costante di casi d’uso AI in ambiti regolamentati, spingendo verso una maggiore convergenza di vigilanza tra i diversi Paesi.
Per gli intermediari italiani questo significa che l’AI non è più un tema negoziabile solo con il fornitore IT, ma oggetto di dialogo strutturato con la Vigilanza. In prospettiva, è ragionevole attendersi richieste più puntuali su registri dei sistemi AI critici, politiche di modello, framework di validazione e formazione del personale.
All’interno degli enti, il coordinamento efficace richiede di superare la frammentazione tra funzioni: un comitato AI governance che coinvolga Risk Management, Compliance, IT, Sicurezza Informatica, Data Office e funzioni di business consente di valutare i casi d’uso in modo coerente. Alcune banche stanno già istituendo un “AI Use Case Inventory” ufficiale, con classificazione del rischio, stato di adozione e referenti di controllo.
Questa impostazione, sebbene nasca da obblighi regolamentari, può diventare un vantaggio competitivo: chi conosce davvero il proprio perimetro AI sarà più rapido nel rispondere a richieste ispettive, incidenti e nuove opportunità di innovazione.
Molti intermediari stanno avviando una mappatura sistematica dei casi d’uso AI/GPAI, la definizione di una policy AI aziendale e la creazione di checklist di conformità per i nuovi progetti. Per strutturare questo percorso in modo ordinato, è consigliabile adottare strumenti e template standardizzati.
Scarica la nostra checklist operativa per la governance dell’AI nel settore finanziario o prenota una consulenza per valutare il tuo perimetro di rischio AI alla luce di AI Act, GDPR e DORA.