Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-05-277 min read

Credit Scoring e AI: Obblighi DPIA e FRIA per Banche e Fintech

I sistemi AI di credit scoring sono ad alto rischio AI Act. FRIA obbligatoria per banche e fintech, spiegabilità della decisione di credito, diritti del consumatore e sanzioni. Guida operativa 2026.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law

Un sistema AI di credit scoring è soggetto alla FRIA dell'AI Act? Chi è obbligato a condurla?

Sì, e l'obbligo di FRIA per il credit scoring AI è tra i pochi che si applicano anche a soggetti privati indipendentemente dalla loro natura pubblica. L'Art. 27 AI Act impone la Fundamental Rights Impact Assessment a tutti i Deployer di sistemi AI per la valutazione del merito creditizio e l'assegnazione di punteggi di credito, siano essi banche, fintech, piattaforme Buy Now Pay Later o società di leasing. La FRIA deve precedere il deployment del sistema e accompagnarsi a una DPIA GDPR aggiornata e a procedure di spiegabilità della decisione di credito.

Fonti: Reg. UE 2024/1689 (AI Act) Art. 27 e Allegato III, punto 5 · Reg. UE 2016/679 (GDPR) Artt. 22, 35 · LexTech Hub — IA generativa e concessione del credito: profili normativi · Legge 23 settembre 2025, n. 132 · EDPB — Orientamenti sul trattamento dati nelle decisioni automatizzate

Il credit scoring algoritmico è uno dei casi d'uso dell'AI con la storia sanzionatoria più lunga. Molto prima dell'AI Act, le autorità europee avevano già emesso provvedimenti su sistemi di scoring che producevano disparate impact su minoranze etniche, su candidati al credito residenti in determinate aree geografiche o su persone con profili atipici (lavoratori autonomi, professionisti con reddito variabile, donne in età fertile). L'AI Act e la Legge 132/2025 non hanno inventato il problema: lo hanno reso sanzionabile con strumenti specifici e hanno creato obblighi documentali che rendono più difficile mantenere sistemi discriminatori senza che emergano nelle verifiche. Per il quadro normativo completo, si veda la guida alla valutazione integrata DPIA+FRIA per sistemi AI. Per gli obblighi di spiegabilità della decisione di credito, si veda la guida alla spiegabilità algoritmica e Legge 132/2025.

Chi è obbligato alla FRIA per il credit scoring

L'Art. 27 AI Act stabilisce che la FRIA è obbligatoria per i Deployer di sistemi AI per la valutazione del merito creditizio e per la determinazione del punteggio di credito delle persone fisiche, nonché per sistemi di valutazione del rischio e determinazione dei prezzi in relazione all'assicurazione sulla vita e sulla salute.

L'estensione è ampia. Sono obbligati:

  • Banche e istituti di credito che utilizzano modelli AI per la concessione di mutui, prestiti personali, aperture di credito
  • Piattaforme fintech con modelli di credit scoring proprietari o integrati tramite API
  • Piattaforme Buy Now Pay Later che valutano in tempo reale la capacità di rimborso dell'acquirente
  • Società di leasing e factoring che utilizzano AI per la valutazione del rischio di controparte sulle persone fisiche
  • Compagnie assicurative per i rami vita e salute quando il pricing è determinato da sistemi AI
  • Piattaforme di crowdfunding e peer-to-peer lending che matchano investitori e richiedenti tramite scoring algoritmico

La distinzione rilevante è tra persone fisiche e persone giuridiche: l'obbligo di FRIA si applica specificamente alla valutazione del merito creditizio di persone fisiche. I modelli di credit scoring B2B che valutano la solvibilità di aziende non ricadono in questa categoria specifica dell'Allegato III, pur potendo richiedere una DPIA se trattano dati personali degli amministratori o dei soci.

I rischi specifici che la FRIA deve valutare per il credit scoring

Discriminazione algoritmica per proxy

Il rischio principale del credit scoring AI è la discriminazione indiretta: il modello non usa variabili protette esplicitamente (etnia, religione, origine), ma usa variabili correlate che producono effetti discriminatori equivalenti.

Esempi documentati in letteratura:

  • CAP/area geografica: correla con caratteristiche sociodemografiche e può produrre redlining algoritmico (esclusione sistematica di aree geografiche storicamente svantaggiate)
  • Comportamento di navigazione: l'ora del giorno in cui l'utente naviga, il dispositivo utilizzato, il browser scelto correlano con caratteristiche demografiche
  • Social graph: il fatto che amici e conoscenti abbiano avuto problemi creditizi viene usato come segnale negativo, penalizzando persone per le caratteristiche della loro rete sociale
  • Storici di acquisto: pattern di acquisto correlano con caratteristiche demografiche e possono produrre scoring differenziale per genere o origine

La FRIA deve documentare: quali variabili usa il modello, se esistono correlazioni statisticamente significative tra le variabili usate e le caratteristiche protette, e quali misure di fairness sono state adottate per mitigare l'effetto.

Esclusione dei profili atipici

I modelli di credit scoring addestrati su dataset storici tendono a penalizzare profili che non corrispondono al cliente "tipico": lavoratori autonomi con reddito variabile, giovani senza storia creditizia, persone che hanno vissuto periodi di difficoltà finanziaria risolta. La FRIA deve valutare specificamente l'impatto su questi gruppi e documentare se l'esclusione è giustificata dal rischio effettivo o è un artefatto del dataset di training.

Opacità della decisione di rifiuto

Un consumatore a cui viene negato un prestito ha diritto di sapere perché (GDPR Art. 22 e Legge 132/2025). Se il modello non è configurato per produrre spiegazioni della singola decisione, il rifiuto è inappellabile nella pratica, anche se formalmente contestabile. La FRIA deve documentare il meccanismo di spiegabilità adottato.

La DPIA per sistemi di credit scoring AI

La DPIA è obbligatoria perché il credit scoring AI configura: trattamento automatizzato su larga scala, profilazione degli interessati, e decisioni con effetti giuridici (l'accesso o il rifiuto al credito è un effetto giuridico diretto). I punti critici:

Dati di addestramento. Il modello è stato addestrato con dati propri (storico clienti), dati di bureau creditizi (CRIF, Experian, Cerved) o dati di terze parti? Per ciascuna fonte, la base giuridica del trattamento originario deve essere compatibile con l'uso per il training.

Trasferimenti extra-UE. Se il modello è fornito da un provider con infrastruttura negli Stati Uniti o in altri paesi terzi, la DPIA deve includere la Transfer Impact Assessment e le clausole contrattuali standard applicabili.

Integrazione con sistemi di terze parti. Molte piattaforme fintech integrano il modello di scoring di un provider (es. API di credit bureau) con dati propri. La DPIA deve mappare l'intera catena di trattamento, non solo il sistema proprietario.

Diritti degli interessati. Documentare le procedure per l'esercizio del diritto di spiegazione (Art. 22 GDPR), del diritto di opposizione alla profilazione e del diritto di accesso ai dati usati per la valutazione.

Come strutturare la FRIA per il credit scoring: i 5 quesiti

1. Quali diritti sono esposti? Accesso ai servizi finanziari (Art. 34 Carta dei Diritti Fondamentali UE), non discriminazione, tutela dei consumatori.

2. Come il modello può comprometterli? Bias strutturale per proxy, esclusione dei profili atipici, opacità della decisione.

3. Conseguenze per il singolo in caso di decisione errata? Negazione dell'accesso al credito necessario per un'esigenza legittima (acquisto della prima casa, finanziamento di un'attività professionale, emergenza sanitaria).

4. Responsabilità e supervisione? Chi può modificare o ignorare il punteggio algoritmico? Con quale procedura? Il responsabile della decisione finale deve essere identificato nominalmente, non per funzione generica.

5. Meccanismi di ricorso? Procedura concreta per contestare il rifiuto: canale dedicato, tempo massimo di risposta, possibilità di revisione umana garantita. Un link a una pagina FAQ non è un meccanismo di ricorso.

Il tuo sistema di credit scoring o valutazione del rischio finanziario ha la FRIA richiesta dall'AI Act?

Studio Legale Ingoglia assiste banche, fintech e piattaforme di pagamento nella conduzione della FRIA e della DPIA per i sistemi di credit scoring AI, nella progettazione dei meccanismi di spiegabilità e nei vendor assessment con partner finanziari. Prenota una consulenza strategica per verificare la conformità del tuo sistema di scoring prima dell'agosto 2026.

Articolo aggiornato al 27 maggio 2026. L'obbligo di FRIA per i sistemi di credit scoring diventa pienamente applicabile il 2 agosto 2026, data di entrata in vigore delle disposizioni AI Act per i sistemi ad alto rischio. Per supporto specifico, contatta lo studio.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato per delineare l'esatto perimetro legislativo e sanzionatorio.

Articoli correlati ed Approfondimenti

AziendeACN e Notifica Incidenti AI: Obblighi di Reporting per Sistemi ad Alto Rischio7 min readAziendeAI nel Recruiting: FRIA e DPIA per i Sistemi di Screening CV e Selezione del Personale7 min readAziendeBias Detection e Debiasing: come Documentare le Misure di Mitigazione nella FRIA7 min read
Torna alla raccolta
SUPPORTO

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione assieme e definiremo i passi operativi in totale riservatezza strategica.

Prenota Consulenza