- La proposta della Commissione europea
Dalla crisi del 2008, gli istituti bancari guardano con sempre maggiore attenzione all’utilizzo di sistemi di intelligenza artificiale per ottimizzare i propri prodotti, servizi e valutazioni in merito all’affidabilità creditizia dei propri clienti. Hanno così trovato sempre maggiore sviluppo le tecniche algoritmiche di machine learning applicate al c.d. credit scoring [1].
Lo sviluppo e l’applicazione di tali sistemi – è noto – pone tutta una serie di problematiche di tutela del consumatore, soprattutto per quanto riguarda la sicurezza e la protezione dei diritti fondamentali. Sino ad ora la tutela è stata per lo più affidata a principi fondamentali di ampio respiro (proporzionalità, integrità del mercato, neutralità tecnologica); ma non basta più.
Il regolatore (europeo) è chiamato a dare una risposta in modo specifico e puntuale. Si è quindi cominciato a chiedersi come definire un quadro etico-giuridico sostenibile all’interno del quale queste tecnologie possano operare, interrogandosi sul “tipo” di dato da utilizzare e cercando un (difficile) equilibrio tra tecniche di profilazione performanti e un trattamento legittimo dei dati.
Ad aprile 2021 la Commissione europea si è così determinata a stabilire un quadro giuridico europeo completo, presentando una proposta per un nuovo regolamento sull’intelligenza artificiale (il c.d. AI Act) fondata sul risk-based approach e progettata secondo la logica delle norme europee esistenti sui prodotti di sicurezza.
Con specifico riferimento al settore bancario, la Commissione ha deciso di considerare gli algoritmi applicati al credit scoring (delle persone fisiche) quali strumenti non vietati ex se, bensì utilizzabili, a patto che rispettino determinate condizioni. Ha così individuato tra i sistemi AI c.d. «ad alto rischio», quelli utilizzati per valutare l’affidabilità creditizia delle persone fisiche, in quanto dirimenti in termini di accesso e godimento a servizi privati essenziali e/o servizi e benefici pubblici (cfr. AI Act: considerando n. 37; All. III par. 5 lett. b).
A tale categoricizzazione consegue tutta una serie di numerosi (e onerosi) adempimenti previsti dalla normativa, ai quali gli istituti di credito dovranno sottostare per utilizzare questo tipo di tecnologia. Se quindi il testo della proposta venisse confermato, le banche presenterebbero l’obbligo (diretto ed immediato) di garantire il rispetto di una serie di requisiti previsti dal regolamento in termini di “qualità” dei set di dati utilizzati (documentazione tecnica, conservazione, trasparenza, sorveglianza, robustezza, accuratezza e rappresentatività), nonché di sottoporre ogni nuovo progetto di AI da immettere sul mercato (considerato ad alto rischio) ad una preventiva valutazione di conformità.
- Il parere della Banca centrale europea
Data l’importanza della normativa “in cantiere” e il possibile impatto sul sistema bancario, la Banca centrale europea (Bce) è stata inviata dal Consiglio dell’Unione europea ad esprimersi sulla proposta della Commissione.
La Bce ha così pubblicato nel mese di dicembre 2021 un parere sulla proposta, che può dirsi sostanzialmente favorevole in termini di “proposito” normativo, non mancando però di sottolineare talune perplessità.
In particolare, in una prima parte di carattere più generale, la Bce, da una parte, raccomanda l’istituzione di un’autorità europea indipendente ah hoc tesa a garantire l’applicazione armonizzata del regolamento in tutto il mercato unico, dall’altra, si preoccupa di coniugare i termini della proposta con le normative vigenti in tema bancario, premurandosi di chiedere alla Commissione di chiarire le sue stesse competenze in tema di vigilanza prudenziale e sorveglianza del mercato bancario in tema di AI.
In una seconda parte, dedicata alla particolare tematica del credit scoring, la Bce esprime dubbi riguardo una definizione, a suo dire, troppo “ampia” di AI, che, così come formulata, comporterebbe l’assoggettamento ai requisiti minimi trasversali imposti ai sistemi di AI ad alto rischio della stragrande maggioranza dell’attività di scoring applicata dalle banche, mettendo così in seria difficoltà il sistema bancario nel suo insieme.
In questo senso, la Bce suggerisce alla Commissione una importante modifica: non classificare ex se come sistemi ad alto rischio i sistemi di AI utilizzati per valutare il merito di credito delle persone fisiche quando gli stessi operano «sotto la supervisione umana», purché l’approccio della AI sulla valutazione del merito creditizio del cliente possa considerarsi «minima».
Prosegue proponendo alla Commissione di collaborare nel dettare delle «specifiche comuni in materia», al fine di chiarire in modo più dettagliato quando un sistema di AI destinato ad essere utilizzato per valutare il merito creditizio delle persone fisiche possa considerarsi effettivamente ad alto rischio.
Non solo, sempre con riferimento al credit scoring applicato alle persone fisiche, invita la Commissione a fornire, ex ante, indicazioni più chiare per accertare la correttezza delle informazioni raccolte (sia in merito alle modalità di raccolta che ai possibili effetti discriminatori verso gli utenti), nonché, ex post, a definire gli strumenti di monitoraggio della correttezza di tali criteri anche durante la durata del rapporto.
La Bce offre poi alla Commissione la propria collaborazione riguardo tutta una serie di attività cruciali per la regolamentazione della AI con riferimento al sistema bancario, tra le quali: l’aggiornamento dell’elenco dei sistemi di intelligenza artificiale ad alto rischio inclusi nell’allegato III e l’identificazione di ulteriori rischi potenziali dei sistemi di AI che possono comportare un rischio di danno alla salute e alla sicurezza, o un rischio di impatto negativo sui diritti fondamentali.
Infine, la Bce conclude formulando delle vere e proprie proposte di revisione con riferimento ad alcuni considerando ed articoli della proposta della Commissione, premurandosi quindi di dare effettiva “sostanza” alle considerazioni previamente descritte.
- Considerazioni conclusive
Una specifica regolamentazione in tema di intelligenza artificiale è prossima all’introduzione e il sistema bancario ne sarà protagonista.
In attesa dei relativi sviluppi, è interessante rilevare come la Commissione europea abbia sentito la necessità di affermare che di questo tipo di regolamentazione (AI Act) si gioveranno non solo gli utenti del sistema bancario, ai quali verrà garantita maggiore tutela, ma anche gli stessi istituti bancari, in termini di aumento della fiducia degli utenti, maggiore certezza del diritto e armonizzazione delle regole. Quasi come se la Commissione volesse consigliare agli istituti bancari di vedere in questa regolamentazione un’opportunità per valorizzare lo sviluppo di prodotti bancari virtuosi, non più performanti in termini predittivo-digitali “ad ogni costo”, bensì rispettosi delle esigenze e dei diritti del singolo consumatore.
In questo senso c’è da attendersi che, nel prossimo futuro, la progettazione e lo sviluppo di algoritmi virtuosi e compliant con la regolamentazione in materia, orienterà l’evoluzione del credit scoring bancario e, in termini generali, lo stesso mercato del credito.
Quanto al parere della Bce, non fa che confermare l’importanza che la normativa assumerà con riferimento al sistema bancario.
Al riguardo, è interessante infatti osservare come la Bce si premuri anzitutto di sottolineare la necessità di definire con maggiore certezza (e armonia) i contorni della regolamentazione, così da evitare un effetto dirompente sugli enti creditizi. Si pensi, al riguardo, alle considerazioni sulla stessa definizione di AI (ritenuta eccessivamente generica), nonché sul proposito di definire con più accuratezza – e così, per certi versi, “arginare” – l’inclusione nell’allegato III della proposta dei metodi di valutazione del merito creditizio delle persone fisiche tra i sistemi di AI ad alto rischio.
Tutto ciò, peraltro, senza che la Bce faccia mistero alcuno riguardo la sua intenzione di recitare in tema di regolamentazione (al fianco della Commissione) un ruolo di rilievo nella definizione di tutte le specifiche che riguardano l’AI applicata al sistema bancario.
Dal parere espresso, dunque, la Bce sembra “consacrare” sia l’importanza della normativa ex se, sia la sua possibile prospettiva applicativa, volendo per questo motivo giocarvi un ruolo da protagonista; concetto, questo, di per sé affatto scontato, trattandosi comunque di una istituzione tecnica di vigilanza, di certo non avvezza prima facie a propositi normativi.
La proposta di AI Act della Commissione si trova adesso alla “prima lettura” di Parlamento europeo e Consiglio dell’Unione europea, secondo le forme e modalità del procedimento legislativo ordinario di codecisione. Sarà di grande interessare monitorare il progredire della normativa, verificando quante e quali modifiche verranno proposte dalle due istituzioni detentrici del potere legislativo. Il sistema bancario in primis dovrà farsi trovare pronto e compliant.
© Photo by Christian Lue on Unsplash
___________________
[1] Il credit scoring è una procedura automatizzata eseguita al momento dell’istruttoria adottata dalle banche per valutare le richieste di finanziamento della clientela (in genere per la concessione del credito al consumo). Si basa su sistemi automatizzati che prevedono l’applicazione di metodi o modelli statistici per valutare il rischio creditizio e i cui risultati sono espressi in forma di giudizi sintetici (indicatori numerici o punteggi) associati all’interessato, diretti a fornire una rappresentazione, in termini predittivi o probabilistici, del suo profilo di rischio e affidabilità nei pagamenti.
