Il regolamento AI Act è destinato ad avere un impatto significativo sul mondo del Finance: banche e istituti finanziari sono infatti tra le aziende che maggiormente stanno puntando sulle applicazioni di intelligenza artificiale per aumentare l'efficienza operativa, migliorare l'esperienza dei clienti e promuovere l'innovazione, fuori e dentro gli uffici.
Si tratta di investimenti che - come molte imprese hanno già avuto modo di sperimentare - comportano vantaggi immediati e misurabili, ma che implicano anche nuove fattispecie di rischi: per i propri collaboratori, per i propri clienti e, più in generale, per l'intera catena del valore. Parliamo di sfide completamente nuove, che le organizzazioni sono chiamate a gestire a prescindere dalla compliance.
In questo senso, il regolamento AI Act andrebbe considerato – più che come una serie di vincoli a cui sottostare per non incappare in multe e sanzioni – alla stregua di una guida per sviluppare strumenti e processi in grado di costituire una prima linea di azione in uno scenario del tutto inedito. La scommessa, in effetti, è quella di giocare d'anticipo, imparando a conoscere, mitigare e gestire categorie di rischi che non solo risultano ancora non ben inquadrate e circoscritte, ma che sono anche in continua evoluzione.
Dalla privacy degli individui all'accuratezza dei sistemi di scoring, passando per la trasparenza dei modelli adottati a supporto dei processi decisionali, sono diversi i temi presi di petto dal regolamento AI Act.
Partiamo dall'uso dell'intelligenza artificiale nella gestione dei dati sensibili dei clienti. I sistemi di AI richiedono grandi quantità di informazioni per essere addestrati e per funzionare in modo efficace. Il primo rischio per le banche è proprio l'utilizzo improprio o l'accesso non autorizzato a questa tipologia di dati. Esiste anche la possibilità che tali dataset siano dati in pasto ad algoritmi che perpetuano o addirittura amplificano potenziali bias, generando risultati distorti dovuti a pregiudizi umani. Errori metodologici che possono manifestarsi in scoring imprecisi dei consumatori o addirittura in pratiche di prestito discriminatorie. Un meccanismo del genere non si limita a danneggiare i clienti: comporta anche considerevoli danni reputazionali e può portare a sanzioni e cause legali.
C'è poi il tema della trasparenza della tecnologia sottostante alle nuove soluzioni. Molti dei modelli fondativi delle applicazioni di AI, in particolare gli algoritmi di deep learning, spesso funzionano come vere e proprie “scatole nere”, il che rende difficile per le organizzazioni comprendere a partire da quali premesse vengono erogate le raccomandazioni a supporto delle strategie aziendali e, di nuovo, del credit scoring.
Non bisogna infine dimenticare che l'integrazione dell'AI nei sistemi esistenti comporta nativamente un nuovo rischio operativo: nel momento in cui i processi fanno affidamento sulla tecnologia, eventuali malfunzionamenti delle piattaforme possono generare disservizi o dare luogo a decisioni errate, che poi si ripercuotono sul corretto svolgimento dell'operatività. Gli istituti finanziari devono dunque assicurarsi che i propri sistemi di intelligenza artificiale siano sufficientemente affidabili e robusti per gestire le complessità del mondo reale.
L'AI Act, entrato in vigore la scorsa estate, si prospetta come uno dei primi framework normativi completi al mondo in materia di AI, e mira ad affrontare i rischi associati alle applicazioni di nuova generazione in tutti i settori, compreso quello finanziario.
Il regolamento classifica i sistemi di intelligenza artificiale in base alla loro rischiosità, con categorie che vanno da minimo a inaccettabile, e prevede in tal senso una serie di requisiti con un approccio incrementale.
Le piattaforme devono innanzitutto essere sottoposte a rigorose valutazioni del rischio per garantire il rispetto degli standard di sicurezza e resilienza. Il regolamento AI Act sottolinea poi la necessità di trasparenza, richiedendo alle organizzazioni di fornire informazioni chiare sui sistemi in uso, sulle loro capacità e sui loro limiti, anche per aiutare i consumatori a comprendere l'impatto che l'AI potrebbe avere sui servizi finanziari che decidono di acquistare.
Occorre d'altra parte prevedere meccanismi di controllo e ruoli di responsabilità che assicurino, lungo l'intera filiera, che i risultati dei sistemi di AI siano sempre tracciati e verificati.
La legge infine incoraggia le organizzazioni ad adottare pratiche rigorose di data governance per garantire la qualità e l'integrità dei dati utilizzati, per evitare problemi di privacy e per ridurre al minimo il rischio di distorsioni da parte degli algoritmi.
L'AI Act prevede una roadmap di graduale applicazione che farà corrispondere, nei prossimi mesi, alle pratiche vietate un quadro sanzionatorio in buona parte già definito. Sono quattro le scadenze di cui devono tener conto le organizzazioni per risultare compliant ed evitare le multe previste dal regolamento.
A partire dal 2 febbraio 2025, innanzitutto, sono applicati i divieti sui sistemi di AI che presentano rischi inaccettabili e valgono i requisiti di alfabetizzazione all'AI. Non si possono portare sul mercato o mettere in servizio sistemi che utilizzino tecniche subliminali, manipolative o ingannevoli, con l'obiettivo o l'effetto di falsare materialmente il comportamento di una persona o di un gruppo di persone compromettendo in modo significativo la loro capacità di prendere una decisione informata.
Il 2 agosto 2025 scattano gli obblighi per i fornitori di modelli di AI per uso generale, che devono redigere e mantenere aggiornata la documentazione tecnica del modello, compresi i processi di formazione e di test e i risultati della sua valutazione, al fine di fornirla, su richiesta, alle autorità nazionali competenti.
A partire dal 2 agosto 2026, l'AI Act coinvolgerà i di AI ad alto rischio, immessi sul mercato prima di tale data (nel caso in cui i sistemi siano stati soggetti a modifiche significative nella loro progettazione a partire dalla deadline).
L'ultima tappa è quella del 2 agosto 2027: i fornitori di modelli di General Purpose AI immessi sul mercato prima del 2 agosto 2025 dovranno aver adottato le misure necessarie per conformarsi agli obblighi stabiliti dal regolamento entro tale data.
A prescindere dai possibili danni determinati dalla mancata compliance, l'introduzione delle piattaforme di intelligenza artificiale comporta pure la gestione di nuove fattispecie di rischio operativo (inteso come eventi, anche potenziali, causati da persone, processi, sistemi o fattori esterni, capace di produrre una perdita economica) per le banche. Vediamo, in estrema sintesi, le principali voci ascrivibili ai non-financial risk legati all'intelligenza artificiale.
Nell'ottica di allinearsi alle prescrizioni del regolamento AI Act, ma soprattutto di gestire efficacemente i rischi legati all'AI, le banche devono sviluppare processi e strumenti su cinque aree specifiche:
È prima di tutto necessario stabilire quadri completi di gestione del rischio che valutino e monitorino le minacce associate alle applicazioni di AI. Questa gamma di azioni include naturalmente lo sviluppo di linee guida chiare per la valutazione del rischio e le strategie di mitigazione.
Bisogna poi implementare tool in grado di identificare e correggere le distorsioni nei modelli di AI: servono verifiche periodiche dei sistemi – da condurre insieme ai provider – per garantire l'equità e la conformità agli standard etici dell'Unione europea in materia di intelligenza artificiale.
Occorre quindi sviluppare protocolli per migliorare la trasparenza del parco applicativo, a partire da una documentazione che spieghi nel dettaglio le logiche in base alle quali funzionano i modelli di AI adottati.
È essenziale investire in programmi di formazione – il regolamento AI Act la chiama, esplicitamente, alfabetizzazione – per garantire che i collaboratori comprendano le implicazioni dell'uso dell'AI e che siano attrezzati per gestire efficacemente i sistemi integrati negli strumenti di lavoro.
Ultimo, ma non per importanza, il tema della cooperazione. È fondamentale aprire canali efficaci di comunicazione con le autorità sia per rimanere informati sull'evoluzione delle normative e delle best practice sia per segnalare tempestivamente eventuali incidenti.
Un'ulteriore raccomandazione, che esula dall'ambito squisitamente operativo: solo sviluppando cultura e competenze adeguate, le banche e gli istituti finanziari riusciranno a fare propria la filosofia del regolamento AI Act. Parliamo del resto di un framework estremamente innovativo, che innesta sulle questioni etiche e tecnologiche che ruotano intorno all'utilizzo dell'intelligenza artificiale un approccio risk based.