26.06.2023 Icon

Il credit scoring bancario 2.0: nuove sfide alla luce dell’AI Act

Il sistema bancario tra i protagonisti della nuova normativa

In data 14 giugno il Parlamento europeo ha adottato la sua posizione negoziale sulla legge sull’Intelligenza Artificiale (AI Act) con 499 voti a favore, 28 contrari e 93 astensioni ed è pronto, dunque, ad avviare i colloqui con i governi UE sul testo definitivo del nuovo regolamento.

La nuova normativa mira a garantire che l’IA sviluppata e utilizzata in Europa sia conforme con i diritti e i valori dell’UE, ad esempio in materia di supervisione umana, sicurezza, privacy, trasparenza, non discriminazione e benessere sociale. A tal proposito, uno dei temi presi in considerazione dalla Commissione Europea è la gestione delle problematiche dovute all’utilizzo dell’IA nel credit scoring bancario. In particolare, l’IA consente agli istituti finanziari di analizzare grandi quantità di dati in modo rapido e efficiente, permettendo valutazioni molto più accurate e predittive della capacità di pagamento dei clienti, poiché essa considera non soltanto fattori finanziari, come transazioni bancarie, ma anche altri fattori diversi, come comportamenti di spesa, attività sui social media e dati provenienti da altre fonti, offrendo perciò una visione a 360 gradi della situazione finanziaria di un individuo. E non solo, l’IA può anche apprendere ulteriori abilità con il tempo, raffinando continuamente i modelli di credit scoring in base ai cambiamenti di dati e tendenze.

Il suo utilizzo, dunque, può portare a decisioni di prestito più rapide e personalizzate, consentendo alle banche di offrire prodotti finanziari sempre “aggiornati” e modellati sulle esigenze dei propri clienti. Tuttavia, lo sviluppo di tali sistemi pone una serie di problematiche di tutela delle persone e dei loro diritti fondamentali, soprattutto per quanto riguarda questioni etiche come la trasparenza, l’equità e la protezione dei dati. Finora, la tutela è stata affidata a principi di portata molto generale e ampia (privacy e riservatezza, trasparenza del mercato, simmetria informativa, lotta ai monopoli, diritti del consumatore, ecc.), ma ciò, con l’avvento dell’IA, non è più sufficiente.

A tale proposito, il legislatore europeo è intervenuto per definire un quadro etico-ragionevole all’interno del quale queste nuove tecnologie possono operare, cercando al contempo un bilanciamento (complesso) tra sviluppo tecnologico e dignità umana. La bozza dell’AI Act è strutturata sul c.d. risk based approach che ricalca la ratio delle norme europee già esistenti in materia di protezione dei dati. In tale prospettiva, il testo considera gli algoritmi applicati al credit scoring di persone fisiche come servizi privati essenziali e benefici pubblici (AI Act: considerando n. 37; All. III, par. 5, lett. b) e tuttavia li ha al contempo classificati come sistemi IA “ad alto rischio”, ovvero utilizzabili a patto che vengano soddisfatti determinati presidi di sicurezza e accountability.

Le nuove particolari misure

Alla luce della bozza, il regime applicabile si traduce in una compliance stringente imposta a chi voglia avvalersi della tecnologia avanzata. La proposta prevede che debba essere strutturato un sistema costantemente aggiornato di gestione del rischio che provveda a identificare i rischi prevedibili, a stimare i rischi nascenti da usi conformi o non conformi, a valutare altri eventuali rischi derivanti dai dati analizzati e adottare le misure di gestione necessarie.

Il legislatore individua anche dei riferimenti qualitativi a cui devono conformarsi le misure. Occorre innanzitutto garantire, per quanto possibile, l’eliminazione o la riduzione delle minacce e occorre fornire informazioni adeguate agli utenti sulla stima dei rischi potenzialmente nascenti dall’uso di sistemi di IA.

Inoltre, va istituito un sistema di governance dei dati, prevedendo che i dati impiegati per l’addestramento di modelli rispondano ad alcuni requisiti di qualità. E’ altresì necessario che i fornitori redigano la documentazione tecnica del sistema IA, conservino i log generati autonomamente da questo e effettuino una procedura di valutazione sulla conformità prima della sua entrata in servizio. Una volta terminata quest’ultima, in caso di esito positivo, dovranno apporre la marcatura CE sui sistemi e dovranno essere disponibili a dimostrarne la conformità in caso di richiesta da parte di un’autorità nazionale competente. In caso di non conformità devono invece informare le autorità nazionali competenti dell’esito negativo ed anche qualora identifichino un qualsiasi malfunzionamento.

Nelle logiche di trasparenza esaminate in precedenza, il legislatore prevede, in aggiunta, che siano fornite all’utente tutta una serie di informazioni, quali ad esempio le finalità del sistema ed i rischi connessi al suo utilizzo. Ebbene, queste informazioni hanno anche lo scopo di consentire all’utente una valutazione di impatto sulla protezione dei dati a norma dell’articolo 35 del Regolamento UE 2016/679. Va infatti tenuto presente che l’impiego di sistemi di IA nel credit scoring deve essere tale da prevenire effetti di bias, come eventuali discriminazioni basate sull’origine razziale, sulle disabilità, sull’età o sull’orientamento sessuale, e deve altresì evitare nuove forme di discriminazione non connesse direttamente con l’accesso al credito. Le persone fisiche che chiedono o ricevono prestazioni e servizi di questo tipo si trovano generalmente in una posizione vulnerabile, tale per cui i sistemi di IA, se utilizzati per determinare la negazione o la revoca di tali servizi, possono avere un impatto significativo sul sostentamento delle persone e violare i loro diritti fondamentali, quali il diritto alla protezione sociale, alla non discriminazione e alla dignità umana. Per questi motivi le banche e gli istituti finanziari devono adeguarsi a queste nuove regole, conformandosi al regolamento e implementando misure adeguate.

Trasparenza, equità e responsabilità sono i principi cardine dell’AI Act.

Cosa ne pensa la Bce? Le perplessità della Banca centrale europea

Il Consiglio europeo, data l’importanza della nuova normativa, ha invitato il principale istituto finanziario europeo ad esprimersi sulla nuova proposta. La Bce ha perciò pubblicato a dicembre 2021 un parere, sostanzialmente favorevole, seppure con alcune perplessità.

In prima battuta, la Bce si limita a raccomandare l’istituzione di un’autorità indipendente che possa garantire l’applicazione del regolamento in tutto il mercato unico europeo, inoltre richiede che i termini della nuova proposta siano armonizzati con le normative bancarie già in vigore.

 Successivamente, la Bce sembra dubbiosa riguardo alla definizione di IA presente nel regolamento, giudicata troppo generica e ampia, tale definizione comporterebbe l’asservimento della maggior parte dell’attività di credit scoring bancario a quei requisiti imposti ai sistemi di IA considerati ad alto rischio, mettendo così in grossa difficoltà l’intero mercato bancario. A questo proposito, la Bce suggerisce un’importante modifica: non inserire nel novero dei sistemi di IA ad alto rischio quei sistemi operanti “sotto la supervisione umana” e il cui apporto sulla valutazione del merito creditizio del cliente possa considerarsi “minimo”. Inoltre, propone alla Commissione una collaborazione nel dettare delle specifiche comuni in materia al fine di chiarire in modo più preciso quando un sistema IA utilizzato nel credit scoring di persone fisiche possa essere considerato effettivamente ad alto rischio.

Conclusioni

In attesa dei successivi sviluppi, è interessante notare come la Commissione europea abbia sentito la necessità di sottolineare come dell’AI Act si gioveranno non solo gli utenti del sistema bancario, ai quali verrà garantita maggiore tutela, ma anche gli stessi istituti bancari, in termini di aumento della fiducia degli utenti, maggiore certezza del diritto e armonizzazione delle regole. La Commissione sembra consigliare agli istituti bancari di vedere in questa regolamentazione un’opportunità per valorizzare lo sviluppo di prodotti virtuosi, non più solo performanti in termini predittivo-digitali, bensì rispettosi delle esigenze e dei diritti del cliente. In questo senso c’è da aspettarsi che, nel prossimo futuro, la progettazione e lo sviluppo di algoritmi virtuosi e compliant con la nuova normativa, orienterà l’evoluzione del credit scoring bancario.

Autore Gaia Anna Lenoci

Stage

Milano

g.lenoci@lascalaw.com

Desideri approfondire il tema Information Technology ?

Contattaci subito