Che avremmo assistito ad una rapida espansione dell’industria del Fintech era intuibile ma che in soli dieci anni le tecnologie digitali avrebbero assunto un ruolo centrale nei modelli di business delle banche tradizionali non era affatto scontato.
Eppure, tra fallimenti e riprese, ricadute e successi, questo è esattamente quanto accaduto.
Parliamo di nuove tecnologie al servizio di modelli, processi, prodotti e servizi di banche e intermediari finanziari che, per rimanere al passo con il ritmo incessante dell’innovazione digitale, hanno iniziato a muoversi sia sul piano delle collaborazioni con le imprese tecnologichesia su quello dell’acquisizione diretta di partecipazioni in aziende specializzate nella fornitura di servizi di information technology [1].
Il tutto al grido della c.d. “Digital Trasformation”, da intendersi ovviamente in ogni sua possibile declinazione operativa destinata a riflettersi nelle macroaree di intervento che, secondo IOSCO (International Organization of Securities Commissions [2]), delineano il perimetro dei principali settori Fintech.
In particolare, queste le otto macroaree in cui operano le Fintech:1) pianificazione finanziaria;2)pagamenti; 3)investimenti e trading; 4)assicurazioni (c.d. InsurTech);5)Crowdinvesting;6)blockchain (o Distributed Ledger Technologies – DLT);7)ricerca e analisi delle informazioni; 8) sicurezza.
Dunque, Fintech non significa solo il complesso dei cambiamenti dettati nel mondo bancario e finanziario dall’innovazione tecnologica, ma anche il ruolo – sempre più centrale – delle tecnologie informatiche all’interno dei processi bancari.
E certo non serve aggiungere che il denominatore comune di ogni settore Fintech è l’A.I., il cui impatto sui nostri sistemi non è ancora stato valutato e dipenderà, come evidenziato di recente dalla BCE, da come saranno gestiti i dati e da quali misure di contenimento dei rischi saranno utilizzate [3].
Inevitabile, pertanto, domandarsi se siano necessarie nuove regole e nuove forme di presidio a tutela del mercato [4].
L’impressione, infatti, è che occorra intervenire rapidamente sia sul piano normativo che su quello regolamentare per evitare che l’utilizzo delle tecnologie informatiche possa introdurre nuove categorie di rischio.
Lo sa bene Banca d’Italia [5], che in coerenza con le priorità indicate nel Piano Strategico 2023-2025, dedica sempre più attenzione ai rischi connessi all’utilizzo delle tecnologie, affiancando alle attività di analisi e presidio anche la partecipazione ai negoziati presso le istituzioni nazionali ed europee, così da stimolare il confronto sugli aggiornamenti del quadro regolamentare e metodologico [6].
Non a caso, nel 2023 è stato chiesto a un campione di banche meno significative [7] di effettuare un’autovalutazione del proprio rischio informatico con focus sull’esternalizzazione dei servizi informatici, sulla gestione dei dati e sui relativi protocolli di sicurezza, compresi quelli legati all’accesso di terze parti a dati o sistemi aziendali [8], dopodiché è stata svolta un’analisi sugli adeguamenti realizzati a seguito dell’aggiornamento delle disposizioni di vigilanza sulla gestione dei rischi informatici.
In particolare, è emerso che “Con riferimento agli incidenti operativi e di sicurezza informatica, nel 2023 gli intermediari vigilati hanno segnalato 86 eventi, fra cui 25 di tipo cibernetico. Le segnalazioni – condivise, se previsto, con la BCE e l’EBA – rappresentano una fonte informativa anche per la definizione delle misure di vigilanza da adottare verso gli intermediari e il mercato” (cfr. Banca d’Italia, Relazione sulla gestione e sulle attività – anno 2023 – pubblicata il 31 maggio 2024).
E ciò in un contesto in cui, quale quello di indagine, nel quarto trimestre 2023 Banca d’Italia ha contribuito, altresì, “all’analisi mirata della BCE sullo stato di applicazione delle misure di sicurezza informatica ritenute essenziali per la resilienza cibernetica. La disamina ha coinvolto 13 gruppi bancari significativi, di cui 3 italiani, con l’obiettivo di verificare l’efficacia e la robustezza dei controlli di sicurezza informatica, nonché di valutare il livello di preparazione nel prevenire e rispondere ad attacchi informatici7. L’Istituto ha inoltre collaborato alla preparazione presso la BCE della prova di stress sulla resilienza cibernetica, in corso di svolgimento sulle banche significative” (cfr. Banca d’Italia, Relazione sulla gestione e sulle attività – anno 2023 – pubblicata il 31 maggio 2024).
Per quanto riguarda, invece, i controlli sui servizi di payment service providers (PSP), questo è quanto emerge dalla “Relazione sulla gestione e sulle attività” (anno 2023), pubblicata da Banca d’Italia il 31 maggio 2024: esaminate “le risposte ai questionari di autovalutazione dei rischi operativi e di sicurezza informatica di 177 prestatori di servizi di pagamento (payment service providers, PSP)” [9] è stato rilasciato ad 8 di questi “il provvedimento di esenzione dall’obbligo di realizzare la soluzione tecnica di emergenza dell’interfaccia per l’accesso di terze parti (third party providers, TPP [[10]]) ai conti online [11].
Il che è perfettamente in linea con la vocazione delle nostre Istituzioni e delle imprese coinvolte nel Fintech, laddove garantire lo sviluppo di un mindset orientato verso l’innovazione tecnologica è una priorità, soprattutto se ciò significa abbattere il muro di diffidenza che, purtroppo, ancora oggi governa alcune scelte.
Per farlo, tuttavia, è necessario che la tecnologia corra di pari passo con schemi, protocolli e processi finalizzati ad arginare qualsiasi forma di rischio connessa all’utilizzo delle tecnologie informatiche.
D’altra parte, anche questo è Fintech.
[1] Da una recente indagine di Banca d’Italia (“Indagine Fintech nel sistema finanziario italiano”, aprile 2024), finalizzata ad analizzare la trasformazione digitale e le prospettive di innovazione del nostro sistema finanziario, emerge che il rapporto tra banche e fintech sta evolvendo, per un verso, da un piano di competizione diretta ad uno di collaborazione funzionale, e dall’altro, in nuove formule di approccio integrato come l’acquisizione di partecipazioni in aziende che operano nel settore del Fintec. In particolare, l’indagine di Banca d’Italia “evidenzia un aumento dei progetti di investimento effettuati dagli intermediari, realizzati spesso attraverso la collaborazione con imprese tecnologiche, allo scopo di impiegare tecnologie o professionalità non disponibili all’interno e di accelerare i tempi di realizzazione dei progetti. Rispetto alla precedente rilevazione, sono aumentati sia la percentuale di intermediari che ha stretto rapporti di collaborazione (dal 46 al 51%), sia il numero di accordi (da 330 a 470 unità). Un’ulteriore opzione per realizzare i progetti fintech è l’acquisizione diretta di partecipazioni in aziende specializzate nella fornitura di servizi di information technology (IT): nel 2023 il valore delle operazioni ha superato 1,1 miliardi di euro, pari a cinque volte l’ammontare osservato nel 2021” (cfr. “Le interconnessioni tra Intelligenza Artificiale, Cloud e Cyber nel settore finanziario”, intervento della Dott.ssa Alessandra Perrazzelli – Vice Direttrice Generale della Banca d’Italia – in occasione dello “Cetif Summit. Innovation Trends in Finance 2024: Journey to AI, Cloud e Cyber” di Milano del 5 giugno 2024).
[2] La IOSCO è l’organizzazione internazionale delle autorità di controllo/vigilanza dei mercati finanziari.
[3] Banca Centrale Europea, Financial Stability Review, maggio 2024. Sulla consapevolezza di eventuali e potenziali rischi legati all’utilizzo dell’A.I. anche l’A.B.I. – Associazione Banche d’Italia, che nella relazione del Presidente, Antonio Patuelli, presentata a Roma il 9 luglio 2024 in occasione dell’Assemblea dell’Associazione Bancaria Italiana, ha precisato che “L’Europa deve crescere e consolidarsi, sempre basata sull’equilibrio del binomio libertà-democrazia, con umanesimo digitale dinanzi alla rivoluzione dell’Intelligenza Artificiale che ha infinite potenzialità e rischi”.
[4] “Presidi rafforzati sono fondamentali nello sviluppo e nell’utilizzo dell’IA, tecnologia che ha il potenziale di esporre gli intermediari a nuove categorie di rischi, come la discriminazione algoritmica o la manipolazione dei dati utilizzati per addestrare i modelli stessi. È essenziale garantire che l’utilizzo dell’IA sia etico e trasparente. Da un lato, non possiamo permettere che questa tecnologia – anche in maniera fortuita – generi contenuti dannosi; dall’altro, dobbiamo essere in grado di capire come questi sistemi prendono le decisioni, mantenendo un ruolo attivo della componente umana nelle scelte. L’impatto della diffusione dell’IA deve essere ancora valutato e dipenderà – come recentemente sottolineato dalla BCE – da come saranno affrontate le sfide legate ai dati, allo sviluppo dei modelli e alla loro diffusione, sia a livello di singola istituzione, sia di sistema finanziario nel suo complesso” (cfr. “Le interconnessioni tra Intelligenza Artificiale, Cloud e Cyber nel settore finanziario”, intervento della Dott.ssa Alessandra Perrazzelli – Vice Direttrice Generale della Banca d’Italia – in occasione dello “Cetif Summit. Innovation Trends in Finance 2024: Journey to AI, Cloud e Cyber” di Milano del 5 giugno 2024).
[5] Banca d’Italia ha fornito supporto al Dipartimento Innovazione della Presidenza del Consiglio dei Ministri per i lavori riguardanti il regolamento comunitario in materia di intelligenza artificiale (Artificial Intelligence Act), così da assicurarne il raccordo con la normativa finanziaria nazionale ed arginare il pericolo di nuove categorie di rischio, la cui gestione è necessaria per mantenere la stabilità finanziaria. Successivamente, nel dicembre 2023, è stato raggiunto l’accordo politico tra Presidenza del Consiglio dei ministri e Parlamento. Dopodiché all’esito dei negoziati tra Parlamento, Consiglio e Commissione europea, il 9 dicembre 2023 è stato raggiunto un accordo politico provvisorio, con l’obiettivo di approvare in via definitiva la nuova normativa entro la conclusione dell’attuale legislatura europea. Tale accordo, infine, in data 2 febbraio 2024 è stato approvato anche dal Comitato dei rappresentanti permanenti degli Stati membri presso la UE. Pertanto, allo stato, non rimane che attendere l’approvazione formale del Consiglio e del Parlamento Europeo.
[6] Banca d’Italia, Relazione sulla gestione e sulle attività (anno 2023), Roma, 31 maggio 2024.
[7] Le banche meno significative (LSI – Less Significant Institutions) sono quelle di piccole e medie dimensioni vigilate direttamente dalle ANC, sotto la supervisione della BCE.
[8] Banca d’Italia, Relazione sulla gestione e sulle attività (anno 2023), Roma, 31 maggio 2024.
[9] Di questi 177 PSP, 49 sono gruppi bancari, 84 sono istituti di credito individuali, 35 sono istituti di pagamento e 9, invece, sono istituti di moneta elettronica.
[10] I TPP sono intermediari che offrono servizi di informazione sui conti e disposizione di ordini di pagamento.
[11] Si tratta della soluzione che i PSP sono tenuti ad attivare per garantire l’accesso delle terze parti ai conti on-line in caso di malfunzionamento o indisponibilità dell’interfaccia dedicata. La Banca d’Italia ha facoltà di emanare, al ricorrere di determinati requisiti, un provvedimento che esonera i PSP da questo obbligo, qualora questi dimostrino che le interfacce siano state ampiamente utilizzate in esercizio dai TPP, per almeno tre mesi prima dell’istanza di esenzione.