AI Act FinTech: Credit Scoring, Insurance e Obblighi per i Sistemi Finanziari
L'AI Act classifica i sistemi di credit scoring e valutazione assicurativa come ad alto rischio. Obblighi per banche, FinTech e insurtech: cosa fare entro il 2 dicembre 2027.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
In sintesi: I sistemi AI di credit scoring, valutazione assicurativa e accesso a servizi finanziari sono classificati come ad alto rischio dall'Allegato III del Regolamento UE 2024/1689. La scadenza per la conformità completa è il 2 dicembre 2027 (posticipata dal Digital Omnibus). FinTech, banche e insurtech devono avviare ora la roadmap di adeguamento, integrando gli obblighi AI Act con quelli DORA già vigenti.
Perché il FinTech è nel Mirino dell'AI Act
Il settore finanziario italiano utilizza sistemi AI per decisioni che incidono direttamente sull'accesso al credito, sulla determinazione dei premi assicurativi e sulla valutazione del rischio individuale. Queste decisioni producono effetti giuridici significativi sulle persone fisiche. È esattamente il tipo di impatto che il legislatore europeo ha inteso regolamentare con la massima attenzione.
L'Allegato III del Regolamento UE 2024/1689 elenca esplicitamente, al punto 5, i sistemi AI ad alto rischio nel settore dei servizi privati essenziali:
- Punto 5a: Sistemi AI destinati a essere utilizzati per valutare l'eleggibilità a prestazioni e servizi necessari nonché a concedere, ridurre, revocare o recuperare tali prestazioni e servizi
- Punto 5b: Sistemi AI destinati a essere utilizzati per valutare il merito creditizio delle persone fisiche o per stabilire il loro rating del credito, con la sola eccezione dei sistemi AI utilizzati per rilevare frodi finanziarie
Per le compagnie assicurative, i sistemi AI che determinano premi su base individuale (life, health, property) rientrano nel perimetro ad alto rischio nella misura in cui influenzano l'accesso o le condizioni di accesso a un servizio essenziale per la persona fisica.
Quali Sistemi Sono Coinvolti in Pratica
Un sistema di credit scoring AI è ad alto rischio se:
- Valuta il merito creditizio di una persona fisica (non di un'entità giuridica)
- Produce un output che influenza la decisione di concedere o negare credito, o di fissarne le condizioni
- Il processo non è puramente basato su regole statiche, ma include componenti di apprendimento automatico o modelli statistici complessi
Sono invece esclusi dal perimetro ad alto rischio:
- I sistemi di rilevamento frodi (esplicitamente esclusi al punto 5b)
- I sistemi che assistono analisti umani senza sostituire il loro giudizio in modo determinante
- I sistemi usati esclusivamente su persone giuridiche (PMI, imprese)
Il Quadro degli Obblighi per i Provider di Sistemi FinTech ad Alto Rischio
Le aziende che sviluppano o commercializzano sistemi AI di credit scoring o insurance scoring (i provider secondo l'Art. 3 del Regolamento) hanno gli obblighi più stringenti.
1. Documentazione Tecnica (Art. 11 e Allegato IV)
La documentazione tecnica deve descrivere in modo esaustivo:
| Elemento | Contenuto richiesto |
|---|---|
| Descrizione generale | Finalità, caso d'uso previsto, categorie di utenti |
| Architettura del sistema | Componenti, logica, dipendenze da sistemi esterni |
| Dati di addestramento | Fonti, criteri di selezione, misure di pulizia, distribuzione |
| Metriche di performance | Accuratezza, tasso di falsi positivi/negativi, analisi per sottogruppi |
| Limitazioni note | Casi in cui il sistema potrebbe produrre output non affidabili |
| Misure di sicurezza | Cybersicurezza, robustezza, resistenza ad attacchi avversariali |
| Versioning | Registro delle modifiche sostanziali al modello |
Questa documentazione deve essere disponibile per l'autorità di vigilanza (in Italia, ACN) in qualsiasi momento durante il ciclo di vita del prodotto.
2. Sistema di Gestione del Rischio (Art. 9)
L'Art. 9 richiede un processo continuo di gestione del rischio. Non è sufficiente una valutazione iniziale: il sistema deve essere riesaminato a ogni modifica significativa del modello, a ogni espansione del caso d'uso, e periodicamente nel tempo.
Il processo deve coprire:
- Identificazione e analisi dei rischi noti e ragionevolmente prevedibili
- Stima e valutazione dei rischi che emergono dall'uso del sistema
- Misure di gestione del rischio adottate
- Residuo di rischio accettato e motivazione
Per i modelli di credit scoring, i rischi da analizzare includono esplicitamente: discriminazione algoritmica per genere, etnia, età, stato di disabilità (anche quando queste variabili non sono input diretti del modello, ma correlate ad altri feature).
3. Governance dei Dati (Art. 10)
I dataset di addestramento, validazione e test devono:
- Essere pertinenti alla finalità dichiarata
- Essere sufficientemente rappresentativi della popolazione a cui il sistema sarà applicato
- Essere esenti da errori e completi per quanto ragionevolmente possibile
- Avere proprietà statistiche appropriate rispetto alle categorie di persone o gruppi di persone su cui il sistema sarà utilizzato
Per il credit scoring, questo significa: analisi della distribuzione del dataset per genere, età, provenienza geografica, livello di reddito. Se il dataset storico riflette discriminazioni sistemiche del passato, il provider deve adottare misure per correggere questa distorsione.
Il Digital Omnibus (accordo trilogo maggio 2026) ha introdotto una base giuridica specifica che consente il trattamento di categorie particolari di dati (Art. 9 GDPR) per le sole finalità di audit del bias, purché con pseudonimizzazione e in ambienti isolati.
4. Supervisione Umana (Art. 14)
Il sistema deve essere progettato per consentire a persone fisiche di:
- Comprendere le capacità e i limiti del sistema
- Rilevare malfunzionamenti, comportamenti anomali e output inaffidabili
- Disattivare il sistema o non applicarne gli output
Attenzione: la supervisione umana deve essere reale e non procedurale. Non è sufficiente un processo in cui un analista approva formalmente la decisione del modello senza avere né il tempo né gli strumenti per valutarla criticamente. L'Art. 14 richiede che l'operatore abbia la reale capacità tecnica e procedurale di esercitare un giudizio indipendente.
Gli Obblighi per i Deployer: Banche e Istituti Finanziari che Usano Sistemi di Terzi
Le banche, le piattaforme di lending e le insurtech che acquistano o integrano sistemi AI di credit scoring da vendor terzi (i deployer) hanno obblighi distinti ma ugualmente impegnativi.
Obblighi principali del deployer (Art. 26):
- Utilizzare il sistema secondo le istruzioni d'uso del provider
- Assegnare supervisori umani competenti con reali strumenti di oversight
- Monitorare il funzionamento del sistema e segnalare anomalie e incidenti al provider
- Conservare i log generati dal sistema per il periodo stabilito
- Informare i lavoratori se il sistema è usato in processi HR interni
- Se il sistema tratta dati personali: effettuare la DPIA ai sensi dell'Art. 35 GDPR
Obbligo critico per i deployer finanziari: prima di adottare un sistema di credit scoring AI, il deployer deve verificare che il provider abbia completato la conformità AI Act. Contrattualmente, questo significa richiedere:
- Copia della documentazione tecnica (Allegato IV) o attestazione di conformità
- Clausole di audit e diritto di accesso alla documentazione
- Notifica contrattuale in caso di modifiche sostanziali al modello
Il Nodo del Coordinamento tra AI Act e DORA
Le istituzioni finanziarie soggette al Regolamento DORA (Reg. UE 2022/2554, in vigore dal 17 gennaio 2025) devono gestire una doppia conformità che, tuttavia, può essere razionalizzata in un framework integrato.
Sovrapposizioni e Sinergie
| Area | AI Act | DORA | Integrazione possibile |
|---|---|---|---|
| Registro dei sistemi | Documentazione tecnica (All. IV) | Registro risorse ICT (Art. 8 DORA) | Unico registro con sezione AI |
| Gestione del rischio | Sistema rischio AI (Art. 9) | ICT risk management (Artt. 5-10 DORA) | Framework di rischio unificato |
| Incidenti | Segnalazione incidenti AI (Art. 73) | Segnalazione incidenti ICT (Art. 17 DORA) | Processo di escalation unico |
| Test di resilienza | Robustezza e sicurezza (Art. 15) | TLPT (Art. 26 DORA) | Inclusione AI nei test di penetrazione |
La Banca d'Italia e CONSOB, come autorità di vigilanza settoriali, operano in coordinamento con ACN per la vigilanza sui sistemi AI nel settore finanziario. Le istituzioni finanziarie devono quindi prepararsi a ispezioni coordinate che valutano simultaneamente la conformità AI Act e DORA.
Scadenze Operative per il FinTech
| Obbligo | Soggetto | Scadenza | Note |
|---|---|---|---|
| Obblighi di trasparenza Art. 50 (chatbot, deepfake) | Provider e Deployer | 2 agosto 2026 | Nessun rinvio |
| Conformità completa sistemi alto rischio Allegato III | Provider | 2 dicembre 2027 | Posticipata dal Digital Omnibus |
| Sistemi già in uso prima del 2 agosto 2026 | Provider e Deployer | 2 agosto 2028 | Solo sistemi preesistenti |
| Watermarking contenuti sintetici Art. 50(2) | Provider | 2 dicembre 2026 | Standard tecnici in definizione |
| Registro risorse ICT (DORA) | Istituzioni finanziarie | In vigore | Dal 17 gennaio 2025 |
Le Sanzioni: Perché il FinTech è Esposto
Il regime sanzionatorio AI Act (Art. 99) prevede per i sistemi ad alto rischio non conformi sanzioni fino a 15 milioni di euro o il 3% del fatturato mondiale annuo (si applica il valore più alto). Per le PMI e le startup si applica il valore inferiore tra la cifra fissa e la percentuale.
Per il settore finanziario, il rischio non è solo sanzionatorio. La non conformità AI Act espone le istituzioni finanziarie a:
- Sospensione del prodotto da parte di ACN prima che le sanzioni vengano comminate
- Richiesta di ritiro dal mercato per i sistemi che non possono essere adeguati
- Perdita di accreditamento per i sistemi che richiedono conformità con normative settoriali (es. MiFID II, CRR)
- Attrito commerciale B2B: clienti corporate e istituzionali richiedono sempre più attestazioni di conformità AI Act nei processi di due diligence
Domande Frequenti (FAQ)
Il mio sistema di scoring usa solo variabili finanziarie tradizionali (reddito, storico pagamenti): rientra nell'AI Act? Dipende dall'architettura. Se il sistema usa tecniche di machine learning o reti neurali, anche con input tradizionali, e il suo output influenza decisioni su persone fisiche, rientra nell'alto rischio dell'Allegato III. I sistemi basati esclusivamente su regole statiche predeterminate e non adattive non rientrano nella definizione di sistema AI del Regolamento (Art. 3).
Abbiamo acquistato il modello da un fornitore americano: siamo comunque soggetti all'AI Act? Sì. L'AI Act ha portata extraterritoriale: si applica ai provider che immettono sistemi sul mercato UE e ai deployer stabiliti nell'UE, indipendentemente da dove il sistema è stato sviluppato. Il fornitore americano dovrà conformarsi come provider; voi, come deployer, avete gli obblighi dell'Art. 26 e dovete verificare contrattualmente la conformità del vendor.
Come si coordina la DPIA GDPR con la valutazione AI Act per un sistema di credit scoring? Le due valutazioni possono essere integrate in un unico processo documentato. La DPIA GDPR (Art. 35 del Regolamento 2016/679) analizza i rischi per i diritti degli interessati; la valutazione AI Act (Art. 9) analizza i rischi del sistema lungo il ciclo di vita. Le due analisi sono complementari e i risultati di una alimentano l'altra. Il Garante Privacy ha confermato questo approccio integrato nelle linee guida coordinate con ACN.
Siamo una startup FinTech con meno di 50 dipendenti: abbiamo davvero tutti questi obblighi? Gli obblighi AI Act per i provider di sistemi ad alto rischio si applicano indipendentemente dalla dimensione dell'impresa. Il Digital Omnibus ha introdotto alcune semplificazioni per le micro e piccole imprese (es. modelli di documentazione tecnica semplificati forniti dalla Commissione), ma gli obblighi sostanziali rimangono. Il regime sanzionatorio prevede il valore più basso tra percentuale sul fatturato e cifra fissa, ma questo non elimina l'obbligo di conformarsi.
CONSOB o Banca d'Italia possono sanzionarci per violazioni AI Act, oltre ad ACN? ACN è l'autorità di vigilanza del mercato primaria per l'AI Act in Italia. Tuttavia, le autorità di vigilanza settoriali (Banca d'Italia, CONSOB, IVASS) mantengono le loro competenze sui requisiti di governance e controllo interno che ora devono integrare i sistemi AI. Una non conformità AI Act rilevante per un sistema di credit scoring può quindi produrre conseguenze anche sul fronte della vigilanza prudenziale.
Approfondimenti correlati:
- AI Act: Guida Completa al Regolamento Europeo: classificazione del rischio, obblighi provider e deployer
- AI Act Allegato III: Classificazione dei Sistemi ad Alto Rischio: matrice di auto-classificazione per settore
- AI Act e Sanzioni per Startup e PMI: schema sanzionatorio completo
- GDPR e AI Act per Startup e SaaS: doppia conformità per chi tratta dati personali
Fonti: Regolamento (UE) 2024/1689, Allegato III punto 5; Regolamento (UE) 2022/2554 (DORA); Legge 23 settembre 2025, n. 132; Accordo trilogo Digital Omnibus on AI, 7 maggio 2026.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze