Per intelligenza artificiale (AI)[1], come si vedrà, si intende la scienza che si propone di ideare, progettare e realizzare “macchine” (strumenti o tecnologie) dotati di un’intelligenza assimilabile a quella degli uomini, ed è frutto dell’intelligenza umana. E’ costituita da algoritmi di apprendimento automatico alimentati da una miriade di dati per generare testi, immagini, video, codici. La nota Chat GPT[2] e altri modelli linguistici (large language model - Llm) sono intelligenze artificiali “generative”[3], vale a dire che producono risposte quasi umane a semplici domande, in quanto hanno appreso una miriade di dati da testi scritti e/o parlati (con problemi connessi, peraltro, al rispetto del diritto di autore); queste intelligenze potrebbero anche definirsi “macchine che pensano”.

Il c.d. fintech è legato all’utilizzo di algoritmi che assumono il ruolo di creazione, distribuzione e anche disintermediazione di quello che costituisce e sempre più costituirà un vero e proprio ecosistema[4].

L’intelligenza artificiale, che non è “ragionante”[5], si passi il termine, viene impiegata per migliorare l’efficienza operativa, ottimizzando la gestione del rischio e la personalizzazione dei servizi finanziari, con applicazioni che spaziano dalla contrattazione automatizzata (smart contract) alla valutazione del merito creditizio (credit scoring). Nel contempo, l’uso di sistemi basati sull’intelligenza artificiale fa emergere rischi legati alla trasparenza degli algoritmi, alla protezione dei dati personali e alle possibili discriminazioni nei processi decisionali. Si palesa, quindi, l’importanza di un quadro normativo pur in fieri adeguato che bilanci l’innovazione, inarrestabile, e la tutela dei diritti fondamentali, irrinunciabile, con la supervisione di un controllo umano [6] costante ai fini del superiore interesse della tutela della persona nella consapevolezza dei valori preminenti del sistema.

Ci si chiede se esistano normative specifiche per il mondo digitale applicato al campo dei rapporti contrattuali bancari e finanziari[7]?

La risposta è solo parzialmente positiva, nel senso che il legislatore ha adottato alcuni corpi normativi per dare una disciplina compiuta a certi fenomeni come, ad esempio, al commercio elettronico, ai servizi di pagamento[8], alle criptovalute (Reg. UE 2023/1114 - MiCA), al crowdfunding (Reg. UE 2020/1503), alla blockchain (Regolamento MiCA). Per altri tipologie di operatività, già presenti nella pratica corrente, ancora mancano provvedimenti normativi di larga estensione, ma non per questo possono essere trascurati: in uno Stato di civil law, vi sono sempre - quantomeno - un codice civile e delle normative di Vigilanza[9], oltre a strumenti di soft law.

Il Consiglio dell’UE, dopo l’approvazione da parte del Parlamento nel marzo 2024, ha approvato in via definitiva la c.d. legge sull’intelligenza artificiale (AI act) in data 21 maggio 2024 che sarà applicabile progressivamente: dopo 6 mesi, le pratiche vietate, dopo 12 mesi le regole sui modelli generali[10], dopo 24 mesi sui sistemi ad alto rischio. Il principio generale che emerge è quello secondo cui l’AI va regolamentata ma deve sottostare alla supervisione umana; a ciò va aggiunto che questa tecnologia va spiegata in modo che l’utente finale possa comprendere come è stata valutata la sua posizione. I modelli devono, poi, essere imparziali (fairness) ad evitare discriminazioni di sorta per i clienti o potenziali clienti.

Gli standard di attuazione della legge sull’AI, una volta pubblicati nella Gazzetta ufficiale dell’UE, conferiranno una presunzione legale di conformità ai sistemi di AI sviluppati in coerenza ad esse.

L’ESMA, da parte sua, in un Public statement del maggio 2024, ha chiarito che l’AI deve operare all’interno dei principi della MIFID 2 e nel rispetto della priorità del miglior interesse per il cliente. Occorre notare che un tema contiguo che andrebbe meglio focalizzato di quanto avviene è quello riconducibile alla sostenibilità dell’AI in termini ESG, specialmente con riferimento all’impatto ambientale delle enormi masse di energia che è richiesta.

 

La valutazione del merito creditizio

 

La valutazione del merito creditizio[11],  inizialmente disciplinato nell’art. 35 duodecies del T.U.F con riferimento alle scelte di investimento da parte dei gestori di OICR [12], per lungo tempo, è stato un tema scarsamente focalizzato sia del Legislatore che dal Regolatore (Bankitalia). Esiste, peraltro, un principio riconosciuto, quello della sana e prudente gestione dell’intermediario presente nell’art. 5 T.U.B, vero e proprio faro di tutta la disciplina di settore.

Nel glossario on line offerto dalla Banca d’Italia si legge che l’espressione “credit scoring” designa “un sistema automatizzato adottato dalle banche e dagli intermediari finanziari per valutare le richieste di finanziamento della clientela (in genere per la concessione del credito al consumo). Esso si basa su sistemi automatizzati che prevedono l’applicazione di metodi o modelli statistici per valutare il rischio creditizio, e i cui risultati sono espressi in forma di giudizi sintetici, indicatori numerici o punteggi, associati all’interessato, diretti a fornire una rappresentazione, in termini predittivi o probabilistici, del suo profilo di rischio, affidabilità o puntualità nei pagamenti” [13]. Si tratta, quindi, di un metodo statistico che consente di valutare l’affidabilità creditizia e la solvibilità di una persona [14] (assegnandole un punteggio). Nondimeno, pur senza darne una compiuta definizione, ne trattano gli artt. 124-bis  e 120-undecies T.U.B [15], ma con riferimento ai soli crediti ai consumatori. Mancavano, tuttavia, e ancora in buona parte mancano, specifiche e puntuali indicazioni normative e operative, quantomeno in termini di regole, metodologie e tecniche.

I modelli maggiormente utilizzati sono quelli “a regressione logistica” oltre a quelli “a regressione lineare” e “ad analisi discriminante”.

Il ricorso ai big data (si pensi all’uso degli stessi anche in chiave predittiva) e all’utilizzo dell’intelligenza artificiale[16] oltre  allo sviluppo generalizzato e progressivo del fintech hanno reso sempre più attuale l’esigenza di un impianto normativo ad hoc. Restando all’ambito finanziario, inteso nella accezione più ampia, l’AI è applicabile all’ambito del credito, a scopi di marketing, come prevenzione e perseguimento di frodi, per la gestione dei rischi (risk management) e a fini reputazionali. In ogni caso, gli amministratori di una società, nella predisposizione del bilancio, devono valutare i crediti secondo il valore di presumibile realizzo ex art. 2426, n. 8, c.c., tenendo conto di fatti successivi alla chiusura che incidono sul merito creditizio (principi OIC 15 e OIC 29)[17].

La legge n. 132/2025

Composto da 26 articoli, il d.d.l. n. 1146/2025 individua principi regolatori che riequilibrino il delicato rapporto tra le opportunità offerte da questa nuova tecnologia e i rischi legati al suo utilizzo improprio. Le norme intervengono in cinque ambiti:

1. adozione di una strategia nazionale;
2. regolazione dei doveri delle autorità nazionali;
3. promozione dell’innovazione;
4. tutela del diritto di autore;
5. tutela penale.

In particolare, “I sistemi e i modelli di Intelligenza artificiale devono essere sviluppati ed applicati nel rispetto dell’autonomia e del potere decisionale dell’uomo e non pregiudicare lo svolgimento con metodo democratico della vita istituzionale e politica” (c.d. principio antropocentrico già previsto nell’art. 4 dell’AI act) [18].

L’art. 13 dispone che “l’utilizzo di sistemi di intelligenza artificiale nelle professioni intellettuali sia finalizzato al solo esercizio delle attività strumentali e di supporto all’attività professionale e con prevalenza del lavoro intellettuale oggetto della prestazione d’opera”.

L’art. 15 prevede in particolare che “nei casi di impiego dei sistemi di intelligenza artificiale nell’attività giudiziaria sia sempre riservata al magistrato ogni decisione sull’interpretazione e sull’applicazione della legge, sulla valutazione dei fatti e delle prove e sull’adozione dei provvedimenti”.

Il Governo è delegato, infine, a preparare “sistemi di AI” per l’utilizzo di dati, algoritmi e metodi matematici per l’addestramento del sistema. Si attendono, quindi, le disposizioni attuative.

L’innovazione tecnologica che, con l’uso dell’intelligenza artificiale impone di ridelineare i contorni della responsabilità della banca che decide di servirsi di strumenti tecnologici in grado di compiere valutazioni e svolgere operazioni sulla base di algoritmi capaci di autoapprendimento, è un tema ancora da riempire di contenuti se solo si pensi alle responsabilità imputabili all’intermediario per malfunzionamento dei sistemi o errori nelle valutazioni prognostiche (è il caso degli algoritmi predittivi) così come su tutta la fase di training preliminare allo sviluppo dei meccanismi di auto apprendimento. Più strade si prospettano, in astratto: dalla più rigorosa responsabilità oggettiva (che però è una eccezione nel nostro ordinamento) [19], alla più ragionevole inversione dell’onere della prova in favore del soggetto danneggiato, all’accountability dei soggetti, sino all’ipotesi di rendere obbligatoria un’assicurazione contro i danni per tutta la catena che interviene. Quello che, comunque, sembra acquisito è che l’AI vada utilizzata solo in funzione di (strumento di) supporto all’argomentazione giuridico/economica delle decisioni che verranno assunte. 

Allo stato, è pacifico che l’AI non sia (ancora) un soggetto giuridico ancorché possa determinare una relazione giuridicamente rilevante. L’AI act non contiene disposizioni in tema di responsabilità né prevede espressamente il risarcimento per i danni causati da un output di un sistema di AI. E’ vero che può trovare applicazione la Direttiva sulla responsabilità per danno da prodotto difettoso (vedi infra) ma è anche vero che – inizialmente era prevista una proposta di direttiva in tema di responsabilità da intelligenza artificiale (la COM 2022), proposta poi ritirata nel corso del 2025. In questo modo, viene meno un aggancio testuale per applicare la responsabilità extracontrattuale. Che succede in caso di sistemi di AI conformi alle norme armonizzate? Trova spazio la disciplina generale (codicistica) sulla responsabilità civile?

Il 20 marzo 2025 il Senato ha approvato il  disegno di legge n. 1146/2025 recante “Disposizioni e delega al Governo in materia di intelligenza artificiale”. In particolare, l’art. 13 del D.d.l, rubricato “Disposizioni in materia di professioni intellettuali”, affronta il complesso tema dell’utilizzo dell’intelligenza artificiale nell’ambito delle professioni intellettuali. Sul punto la norma stabilisce che “L’utilizzo di sistemi di intelligenza artificiale nelle professioni intellettuali è finalizzato al solo esercizio delle attività strumentali e di supporto all’attività professionale e con prevalenza del lavoro intellettuale oggetto della prestazione d’opera”.

Finalmente, è stata approvata la legge n. 132/2025 (prima legge organica sull’intelligenza artificiale) che è entrata in vigore il 10 ottobre 2025. Tuttavia, prevedendo questa legge deleghe al Governo (artt. 16 e 24) all’emanazione di ulteriori norme, quali algoritmi e metodi matematici per l’addestramento di sistemi di AI, non può dirsi consolidato il quadro normativo. In ogni caso, la citata legge distribuisce la responsabilità in modo differenziato (multivilello) sul produttore (provider) ma coinvolge anche l’utilizzatore (deployer) in caso di uso improprio dello strumento. Il primo, in particolare, risponde della conformità e della sicurezza (secondo il principio della compliance by design) potendo avvalersi della liberazione ai sensi dell’art. 118 del codice del consumo, il secondo del controllo delle decisioni e dell’utilizzo improprio non rispettando le istruzioni operative, con l’avvertenza che il deployer diventa provider (ex art. 25 dell’AI act) se apporta modifiche al sistema sostituendosi a questi nella filiera delle responsabilità.

                                                                                                                                 

La Direttiva sulla responsabilità per danno da prodotti difettosi                 

 

La nuova Direttiva UE 2024/2853 (c.d. Direttiva PLD), applicabile dal 9 dicembre 2026, per quanto qui può interessare, estende la definizione di “prodotto” ai files di fabbricazione digitale e ai softwares; le piattaforme on line (che non si capisce bene se e quando assumeranno una qualche veste giuridica autonoma) potranno essere ritenute responsabili di un prodotto difettoso venduto sulla loro piattaforma.

Per quanto attiene l’onere della prova (ora disciplinato dall’art. 120 del codice del consumo), viene introdotta una importantissima disciplina speciale e di favore: se il consumatore danneggiato avesse difficoltà eccessive per dimostrare la difettosità del prodotto o il nesso causale intercorrente tra la difettosità ed il danno subito, il giudice può alleggerire l’onere a suo carico (in quanto attore) nel senso di rendere ammissibile e sufficiente la sola probabilità che il prodotto sia difettoso o che la sua difettosità sia una probabile causa del danno (c.d. principio probabilistico che fa pensare al “più probabile che non”, già accettato a livello giurisprudenziale, ma non per questo certamente vero). Si tratta di vedere, quindi, come questa novità che può irrompere nel campo delle presunzioni legali verrà recepita in Italia intervenendo nei settori di pertinenza, a partire dal commercio elettronico e per innestarsi nel codice del consumo che affronta il tema negli artt. 114 e ss. (Titolo II Parte IV) secondo i principi della Direttiva 1985/374 [20].

L’AI act e i rapporti bancari. ll credit scoring

Per intelligenza artificiale - termine coniato a metà del secolo scorso - si intende la scienza che si propone di ideare, progettare e realizzare macchine (strumenti o tecnologie) dotati di un’intelligenza assimilabile a quella degli uomini. Tutto si basa su un sistema induttivo-deduttivo in cui la macchina apprende dall’esperienza, e che prende il nome di machine learning e trova una delle principali applicazioni nel credit scoring[21].

La valutazione del merito creditizio[22], paradossalmente disciplinato nell’art. 35-duodecies T.U.F. con riferimento alle scelte di investimento da parte dei gestori di OICR[23], per lungo tempo, è stato un tema poco focalizzato sia del Legislatore che dalla banca d’Italia. Esiste, peraltro, un principio base riconosciuto, quello della sana e prudente gestione dell’intermediario, presente nell’art. 5 T.U.B., vero e proprio faro di tutta la disciplina di settore. Peraltro, a quanto risulta, in passato, ci si è focalizzati più sul fine (la sana e prudente gestione) che sul mezzo (i sistemi di credit scoring).

Nel glossario on line offerto dalla Banca d’Italia sul suo sito istituzionale si legge che l’espressione “credit scoring” designa “un sistema automatizzato adottato dalle banche e dagli intermediari finanziari per valutare le richieste di finanziamento della clientela (in genere per la concessione del credito al consumo). Esso si basa su sistemi automatizzati che prevedono l’applicazione di metodi o modelli statistici per valutare il rischio creditizio, e i cui risultati sono espressi in forma di giudizi sintetici, indicatori numerici o punteggi, associati all’interessato, diretti a fornire una rappresentazione, in termini predittivi o probabilistici, del suo profilo di rischio, affidabilità o puntualità nei pagamenti”[24]. L’utilizzo riguarda la fase dell’istruttoria della pratica di affidamento ma anche solo l’attribuzione preventiva di un rating, oppure l’applicazione di un tasso di interesse e si focalizza in una funzione di tipo prognostico[25]. Un punto a favore, secondo una certa prospettiva, è la neutralità stante l’assenza di pregiudizi che condizionano le valutazioni umane, per altro verso, l’assenza di elementi qualitativi può essere percepita come un limite. In ogni caso, il pericolo che si cela è pensare che l’algoritmo possa neutralizzare il rischio. E il diritto sarà chiamato a ricordare che nessun modello – per quanto sofisticato – può sostituire la responsabilità.

Mancavano, tuttavia, e ancora in buona parte mancano, specifiche e puntuali regole, metodologie, tecniche. Sicuramente mancano formule matematiche o indicatori generalmente condivisi che possano con certezza certificare una corretta previsione a priori di buon grado di merito creditizio.

Il ricorso ai big data (si pensi all’uso degli stessi anche in chiave predittiva) e all’utilizzo dell’intelligenza artificiale, lo sviluppo generalizzato e progressivo del fintech hanno reso sempre più attuale l’esigenza di un impianto normativo ad hoc. Resta aperta, sullo sfondo, la tematica della concessione abusiva del credito se riconducibile all’utilizzo di decisioni automatizzate. Nelle more della piena operatività dell’AI act, la Commissione europea ha pubblicato il Codice di Condotta per i fornitori di modelli di AI per finalità generali (in vigore dal 2 agosto 2025), strumento di soft law, la cui adesione è su base volontaria, incentrato su tre principi cardine: a. la trasparenza intesa come informazioni da rendere sulle modalità di funzionamento e sulla conformità normativa, b. la tutela del diritto di autore e, infine, c. gli obblighi di sicurezza e di protezione cui saranno tenuti i fornitori di modelli di AI maggiormente avanzati che potrebbero generare rischi sistemici. A seguire, la Commissione ha pubblicato anche le Linee guida sull’ambito di applicazione degli obblighi relativi ai modelli di AI per finalità generali: si tratta di obblighi generali dettati per tutti i fornitori di modelli di AI.

Il contesto normativo primario

Le Direttive sul credito ai consumatori (48/2008 e 17/2014) hanno posto l’obbligo di valutare approfonditamente il merito creditizio sulla base di un “set informativo” adeguato.

Il T.U.B. ha recepito tale esigenza con gli artt. 124-bis (per il credito al consumo)[26] e 120-undecies (per il credito immobiliare ai consumatori)[27]: in queste due norme, si esplicita l’obbligo, per l’intermediario, di valutazione (“approfondita” secondo l’art. 18, Direttiva UE 17/2014) di tipo prospettico del merito creditizio del cliente. La normativa secondaria[28] impone ai finanziatori di applicare procedure, metodologie e tecniche previste ai fini della sana e prudente gestione con un chiaro riferimento alla disciplina prudenziale che, quindi, sembrerebbero di per sé già esaustive. Il tutto in armonia con gli Orientamenti dell’EBA pro tempore applicabili[29].

Il GDPR (Reg. UE 679/2016) sulla tutela dei dati personali, contiene almeno cinque norme fondamentali ai fini specifici che ci riguardano:

1. a) sul trattamento dei dati[30] che deve essere lecito, corretto e trasparente [31]. Il finanziatore raccoglie solo dati esatti, adeguati, pertinenti e limitati a quanto necessario e li conserva per un periodo non superiore al conseguimento delle finalità (art. 5): è il c.d. principio di minimizzazione dei dati;
2. b) il soggetto interessato (cliente) deve essere edotto dell’esistenza di un processo decisionale automatizzato (che si estende anche alla profilazione del soggetto) e sulla logica su cui è basato l’algoritmo (art. 13): è il c.d. principio di trasparenza [32];
3. c) in caso di trattamenti interamente automatizzati, il soggetto interessato deve poter rifiutare di soggiacere ad una decisione che non preveda il coinvolgimento dell’uomo, anche quando l’attribuzione del giudizio (scoring) e la decisione sia affidato dal finanziatore ad un soggetto terzo (art. 22): è il c.d. diritto di contestazione) [33];
4. d) inoltre, dovrebbe essere garantito il diritto alla spiegazione (explainability) per la decisione conseguita (cfr. “Considerando” n. 71); ma non esiste, in concreto, una norma specifica che lo sancisca ed occorre comunque bilanciare il dovere di dare spiegazioni generali sul funzionamento dei sistemi di AI con la tutela del segreto industriale o commerciale[34] la cui opacità è in re ipsa[35]. Questo bilanciamento di interessi (di cui parla il GDPR al “Considerando” n. 4) dovrebbe portare ad un concetto più di “cointelligenza”, si passi il neologismo, che di intelligenza, umana o artificiale che sia;
5. e) infine, l’art. 82 garantisce al danneggiato il diritto al risarcimento (ancorché sia richiesto un livello minimo di gravità del danno).

La Direttiva CCD2, recepita in Italia con decorrenza novembre 2026, all’art. 18 comma 8, stabilisce che qualora la valutazione del merito creditizio comporti il ricorso al trattamento automatizzato di dati personali, gli Stati membri assicurano che il consumatore abbia il diritto di chiedere e ottenere dal creditore l'intervento umano, che consiste nel diritto:

1. a) di chiedere ed ottenere dal creditore una spiegazione chiara e comprensibile della valutazione del merito creditizio, compresi la logica e i rischi derivanti dal trattamento automatizzato dei dati personali nonché la rilevanza e gli effetti sulla decisione;
2. b) di esprimere la propria opinione al creditore;
3. c) di chiedere un riesame della valutazione del merito creditizio e della decisione relativa alla concessione del credito da parte del creditore.

La giurisprudenza della Corte di Giustizia dell’UE

Un breve excursus di tre decisioni ci illumina sulla posizione Comunitaria.

La Corte di Giustizia dell’UE, con sentenza resa nella causa C-203/22, in data 27 febbraio 2025[36], si è pronunciata sulla valutazione automatizzata del merito creditizio (credit scoring), con particolare riferimento al diritto dell’interessato ad una spiegazione sulla logica sottesa alla decisione circa la concessione o meno del credito, che gli consenta di comprendere e contestare la decisione automatizzata. Secondo la Corte, il titolare del trattamento deve descrivere la procedura e i principi concretamente applicati nella valutazione circa il merito creditizio del cliente, in modo tale che l’interessato possa comprendere quali dei suoi dati personali sono stati utilizzati, e in che modo, nel processo decisionale automatizzato (come quello di credit scoring): ad esempio, informando l’interessato se, e come, una variazione dei dati personali presi in considerazione avrebbe condotto a un risultato diverso; la semplice comunicazione di un algoritmo non sarebbe, invece, una spiegazione sufficientemente concisa e comprensibile. Più in particolare, l’art. 15, par. 1, lett. h), Reg. UE 2016/679 deve essere interpretato nel senso che, in caso di processo decisionale automatizzato, compresa la profilazione, ai sensi dell’art. 22, par. 1, di tale Regolamento, l’interessato può pretendere dal titolare del trattamento, a titolo di “informazioni significative sulla logica utilizzata”, che quest’ultimo gli spieghi, mediante informazioni pertinenti e in forma concisa, trasparente, comprensibile e facilmente accessibile, la procedura e i principi concretamente applicati per utilizzare, con mezzi automatizzati, i dati personali relativi a tale interessato al fine di ottenerne un risultato determinato, come un profilo di solvibilità.

La sentenza 7 dicembre 2023 della Corte sul caso C-634/21 del 2023, c.d. causa “Schufa holding”[37], ha chiarito che la creazione di un valore di probabilità creditizia attraverso l’AI costituisce una “decisione automatizzata individuale” riferita a persone fisiche ai sensi dell’art. 22, par. 1, GDPR e rientra nella definizione di “profilazione” secondo l’art. 4, par. 4, del medesimo. Ciò comporta che tali processi di decisione automatizzata vadano gestiti con particolare attenzione per garantire che non violino i diritti dei titolari dei dati. E’ importante sottolineare che il criterio adottato dalla Corte, per la sua valenza interpretativa, diventa vincolante per gli operatori, come se si trattasse di una interpretazione autentica. Non solo: l’utilizzo dei sistemi di credit scoring è lecito quando consentano di accertare il grado di probabilità di fare fronte ai futuri impegni di pagamento.

Da ultimo, la Corte, nel caso C-755/22 del 2024, sentenza dell’11 gennaio 2024, ha stabilito che le sanzioni per la mancata valutazione della solvibilità possano essere applicate anche ai crediti interamente rimborsati, e che tali sanzioni debbano essere proporzionate, potendo anche annullare gli accordi di credito, rendendo infruttifero il prestito. In tal senso vi era già la sentenza 10 giugno 2021 “Portfolio Investment” nella Causa C-303/2020).

Gli interventi delle varie Autorithies

La BCE ha adottato, nel 2018, le linee guida per gli enti creditizi fintech in modo che il metodo utilizzato dalle fintech banks per la verifica del merito creditizio va preventivamente autorizzato. Il modello di credit scoring adottato è quindi posto alla base dell’autorizzazione allo svolgimento dell’attività e deve essere rispettato da tutti i soggetti che intervengono nella filiera del processo, anche se esterni. Il tema, quindi, si concentra sul fatto se il credit scoring algoritmico[38] agisca come supporto all’interno dell’attività di valutazione o piuttosto come decisione finale.

L’EBA ha emanato, nel 2020, un Report con riferimento all’utilizzo dei big data e delle advanced analytics ponendo 4 “pilastri”[39] e 5 “principi”[40] e, sempre nel medesimo anno, gli “Orientamenti in materia di concessione e monitoraggio dei prestiti” - guidelines on loan and monitoring - LOM[41], non vincolanti ma soggetti al principio del comply or explain[42]. Unitamente vengono imposti adeguati dispositivi di governance per l’elaborazione dei dati e l’utilizzo dei modelli. In particolare, il paragrafo n. 41 stabilisce “nelle loro politiche e procedure relative al rischio di credito riguardanti l’assunzione di decisioni sul credito e la valutazione del merito creditizio gli enti dovrebbero inoltre specificare l’uso di eventuali modelli automatizzati nella valutazione del merito creditizio e nei processi decisionali in materia di credito in modo che sia adeguato all’entità, alla natura e alla complessità della linea di credito e ai tipi di mutuatari. In particolare, gli enti dovrebbero definire adeguati dispositivi di governance per l’elaborazione e l’uso di tali modelli e per la gestione del rischio di modello ad essi associato”[43]. Il successivo paragrafo n. 54 si occupa dei modelli per la valutazione del merito creditizio e l’assunzione di decisioni sul credito imponendo politiche, procedure, misure, meccanismi di controllo finalizzati a prevenire distorsioni e assicurare la qualità dei dati, tracciabilità, verificabilità, robustezza e resilienza degli stessi, test retrospettivi delle prestazioni offerte dai modelli[44].

La banca d’Italia ha adottato questo documento con “nota” del 20 luglio 2021 quale “orientamenti di vigilanza” concernenti i presidi di governance e le valutazioni del rischio di credito inquadrabili nell’ambito della circ. Bankitalia n. 285/2013 e della CRD[45] e - in aggiunta - ha avviato un sistema di “facilitatori di innovazione” che si articola in Sandbox regolamentare, Canale fintech e Milano Hub. Successivamente, la banca d’Italia pubblicato un Occasional paper sul ricorso all’intelligenza artificiale nel processo di credit scoring[46].

Infine, il citato AI act (Reg. UE 2024/1689) stabilisce “regole armonizzate sull’intelligenza artificiale”, applicabili a fornitori (cioè coloro che mettono sul mercato modelli di AI), utilizzatori e distributori (deployer)[47], e salda i principi normativi con i citati interventi dei Vigilatori. Inoltre, l’AI act vieta agli Stati membri di imporre restrizioni alla libera circolazione, commercializzazione e utilizzo di prodotti e servizi basati sull’AI. Sembra, quindi, vi sia un approccio di favore all’utilizzo della AI - in particolare per la valutazione del merito di credito - pur all’interno di una cornice dettata da requisiti minimi obbligatori e approvata preventivamente da un giudizio di compliance. Infine, in data 4 febbraio 2025, la Commissione UE in ottica chiarificatrice, ha approvato le linee guida sulle pratiche di AI vietate ai sensi dell’art. 5 dell’AI act; con riferimento al credit scoring, le linee guida chiariscono che il divieto si applica solo ai sistemi di AI che valutano o classificano le persone fisiche generando un punteggio sociale in modo generalizzato e senza giustificazione sicché in presenza di una adeguata compliance rispettosa del diritto dell’Unione e con scopi giustificati, il divieto viene meno. In altri termini: esiste un divieto generalizzato, ma non assoluto, superabile solo adottando solidi meccanismi di conformità che giustificano l’eccezione.

L’utilizzo della AI non deve mai - peraltro - diventare una scorciatoia rispetto alla corretta attività professionale: e questo può essere visto come un ulteriore principio di base.

Le responsabilità delle banche per l’utilizzo dell’IA

Il primo tema sta nel livello della diligenza richiesta (art. 1176, comma 2, c.c., in generale, ma anche art. 21 T.U.F. per i servizi di investimento): la parte debole va protetta per non incorrere in forme di responsabilità civile, contrattuale e/o extracontrattuale. La protezione opera su due livelli:

1. Informazioni da rendere al cliente, anche in fase precontrattuale, per consentire scelte consapevoli[48],
2. Trasparenza nei rapporti contrattuali (sia in termini documentali che comportamentali).

Le violazioni sono rilevabili d’ufficio (art. 127 T.U.B.) e comportano, quanto meno, il risarcimento del danno subito (si pensi al rifiuto ingiustificato di credito o alla illegittima segnalazione negativa alla centrale dei rischi o ad altre banche dati).

Più in particolare, l’uso dell’IA impone di riconsiderare i contorni della responsabilità della banca specie in relazione ai vizi di processo o alla non conformità dell’algoritmo; si pensi agli algoritmi basati sull’autoapprendimento o sulla loro alimentazione parziale, indirizzata, strumentale, o agli algoritmi predittivi[49]. A seconda dei casi, gli algoritmi suggeriscono o sconsigliano o decidono di attuare decisioni sinora riservate esclusivamente alla valutazione umana. Quali soluzioni? Si può pensare ad un rigido sistema di responsabilità oggettiva (eccezionale nel nostro sistema giuridico), ad un più comprensibile sistema incentrato sull’esercizio di attività pericolose (art. 2050 c.c.)[50], ad uno di mera inversione dell’onere della prova (art. 23, comma 6, T.U.F.) più o meno associati ad un obbligo di assicurazione danni estesa a tutti i soggetti che intervengono nella catena operativa. Tutto va ricondotto alla Proposta di Direttiva riguardante la responsabilità da Intelligenza artificiale, tradottasi nel già citato Reg. UE 2024/1688 a regime tra il febbraio 2025 (la prima parte) e l’agosto 2027 (ultima parte) che andrebbe armonizzata con l’altra Proposta di Direttiva sulla responsabilità del danno da prodotto.

Il principio generale che si può trarre - allo stato - è quello secondo cui l’AI va regolamentata, non va scoraggiata, e non deve essere vista con troppo sospetto, ma deve sottostare alla supervisione umana. Questa tecnologia va poi spiegata in modo che l’utente finale possa comprendere come è stata valutata la sua posizione.

I modelli devono, poi, essere imparziali (fairness) ad evitare discriminazioni di sorta per i clienti o potenziali clienti. Il Regolamento è basato sul principio del risk oriented con misure graduate in funzione del livello di rischio connesso all’utilizzo dell’AI. Vi sono tecnologie considerate “inaccettabili” e utilizzi definiti “alto rischio” (tra cui rientrano i sistemi di credit scoring delle persone fisiche) che vanno accompagnati da presidi indirizzati a minimizzare i potenziali danni e tracciare gli eventi. L’approccio basato sul rischio (risk based) è imperniato sulla distinzione tra sistemi di AI che determinano, come detto, un rischio inaccettabile[51], che sono vietati, sistemi ad alto rischio, sistemi a rischio limitato, specificamente nell’ambito della trasparenza, e sistemi a rischio minimo.

Al fine di determinare in che misura il Regolamento AI possa effettivamente prevenire o mitigare i rischi creati dai sistemi di AI, si rende necessario analizzare proprio la definizione di “alto rischio” contenuta nel Regolamento stesso. Ai sensi degli artt. 6 e 7 del Regolamento AI, infatti, la classificazione di un particolare sistema di AI come “ad alto rischio” dipende principalmente dal suo uso previsto e dal suo potenziale di rischio per la salute e la sicurezza, nonché dal suo potenziale impatto negativo sui diritti fondamentali delle persone. In effetti, l’attenzione alla protezione delle persone è chiaramente indicata nel “Considerando” n. 7 del Reg. AI e permea la maggior parte delle sue disposizioni. Oltre ai sistemi di AI “ad alto rischio” che rientrano nelle condizioni di cui sopra, l’art. 6, par. 2, stabilisce che i sistemi di cui all’Allegato III sono considerati ad alto rischio. Al momento, gli unici sistemi elencati in tale allegato relativi ai servizi finanziari sono quelli:

(i) destinati a essere utilizzati per valutare il merito creditizio delle persone fisiche o stabilire il loro punteggio di credito, ad eccezione dei sistemi di AI utilizzati allo scopo di rilevare frodi finanziarie;

a essere utilizzati per la valutazione del rischio e la determinazione del prezzo in relazione alle persone fisiche nel caso di assicurazioni sulla vita e sulla salute e

(ii) destinati. I sistemi di IA ad alto rischio, che includono quelli utilizzati nel credit scoring e nei processi occupazionali, sono soggetti a “obblighi estesi”, tra cui le valutazioni del rischio, i requisiti di trasparenza e la supervisione umana (irrinunciabile, artt. 9 -16 Regolamento AI).

I sistemi di IA [52] sono, quindi, strumenti formidabili che valorizzano le competenze della persona. Pertanto, un risultato generato da un applicativo di AI è imputabile a tutta la filiera che interviene in una determinata decisione. Non solo all’utilizzatore finale (comunque responsabile verso il danneggiato), ma anche a chi ha ideato l’applicativo, a chi lo ha alimentato (“addestrato” o “allenato” in gergo), a chi lo ha commercializzato e a chi lo ha integrato nel processo decisionale. Ai fini dell’imputazione della responsabilità rientra - infine - chi ha preso la decisione di attribuire la decisione all’applicativo di AI, vale a dire ad un automatismo. Quindi, se il risultato finale di un automatismo non può essere imputato esclusivamente all’utilizzatore finale, la responsabilità sarà di tipo organizzativa e preventiva, vale a dire: a. organizzativa, perché si giunge a un determinato risultato solo a seguito di un meccanismo e ad una connessione di soggetti ed eventi complessi, b. preventiva, perché prima di decidere se automatizzare un processo o meno, devono essere assicurate idonee condizioni di affidabilità e di controllo umano [53].

Le specifiche implicazioni contrattuali

Quando la banca (o l’intermediario) decide di avvalersi di meccanismi di AI per gestire il rischio, acquisiti da terzi, quindi o in proprietà intellettuale o in licenza d’uso, bisogna contrattualizzare quantomeno i seguenti aspetti:

1. la responsabilità per l’attribuzione del rischio suddivisa tra il realizzatore, il fornitore [54] e l’utente finale con possibili clausole di condivisione; ma il principio base è quello della responsabilità della banca in ordine alla qualità dei dati trattati, della logica dei modelli che utilizza e delle decisioni che assume, anche quando influenzate dall’AI; la responsabilità – in assenza di una norma specifica a livello civilistico – è riconducibile alla mancata verifica dell’output algoritmico da parte dell’intervento umano (art. 14 – “sorveglianza umana”) stante il vincolo “antropocentrico” (human-centric) che ispira l’intera materia:
2. la spiegabilità (comprensibilità) degli algoritmi in modo che anche l’utente finale possa argomentare il perché di una decisione assunta sulla base delle indicazioni dell’algoritmo;
3. l’assenza di bias algoritmici (distorsioni) che possano considerarsi discriminatori [55];
4. la manutenzione (aggiornamento) dell’algoritmo;
5. la conformità dell’algoritmo rispetto ai principi europei tra cui, ad esempio, le finalità di utilizzo;
6. le modalità di indennizzo in caso di danni arrecati a terzi;

Prospettive attuali e future        

Si avverte l’esigenza di nuove regole per la prevenzione dei rischi e tutela effettiva del cliente in attesa di una regolamentazione più compiuta che si condenserà in:

1. a. nuovo Regolamento sull’intelligenza artificiale (AI act), che distingue tra sistemi di AI con rischio limitato e sistemi di AI “ad alto rischio”, i quali abbisognano di particolari processi di compliance, a supporto della loro conformità normativa;
2. b. nuova Direttiva sul credito al consumo 2023/2225 - CCD 2[56] che abroga la Direttiva 2008/48;
3. c. nuova Direttiva sulla responsabilità del danno da prodotto difettoso (approvata dal Consiglio d’Europa a ottobre 2024, ma entrerà in vigore due anni dopo la pubblicazione sulla GUCE);
4. d. integrazione dei parametri ESG nei modelli di scoring algoritmico in modo da renderli “sostenibili”[57] con specifica menzione all’interno della “dichiarazione (o rendicontazione) non finanziaria” che le società sono tenute a rendere ed il cui ambito applicativo si è esteso con la Direttiva UE 2022/2464 (Corporate sustainability reporting directive), recepita in Italia con il D.Lgs. 6 settembre 2024, n. 125 che ha - tra l’altro - introdotto la figura del revisore della sostenibilità. L’8 gennaio 2025 l’EBA ha emanato le nuove linee guida sulla gestione dei rischi ambientali, sociali e di governo che promuovono l’adozione di “metodologie comuni” per identificare e qualificare i rischi ESG nei portafogli di credito, ponendo un’enfasi particolare sui “rischi ambientali e climatici” (fisici e di transizione). Queste metodologie stanno orientando le banche verso la raccolta sistematica di dati ESG da imprese clienti, lo sviluppo di scoring ESG interni e l’uso di indicatori ESG nei processi di valutazione del merito creditizio. Ad un primo esame, le PMI risultano penalizzate dalla scarsa disponibilità di dati ESG strutturati e standardizzati.

Lo scopo evidente di queste 4 discipline, tutte ancora più o meno “in fieri”, è quello di alleggerire l’onere della prova per i danneggiati, in particolare sul nesso di causa e introdurre una presunzione relativa (o addirittura un eventuale regime di responsabilità oggettiva) associato ad una copertura assicurativa a favore dei soggetti danneggiati, auspicabilmente obbligatoria.

Nel quadro sopra delineato si comprende come l’intelligenza artificiale rivoluzioni il settore bancario (e finanziario) segnando una via senza ritorno. Assume massimo rilievo la figura del Chief data officer (CDO) che diventa un punto di riferimento nella definizione delle strategie aziendali con particolare riferimento - per quanto specificamente attiene al tema trattato - il “disegno” degli algoritmi, la loro alimentazione, il loro utilizzo, ed il sistema dei controlli sugli stessi.

 

[1] In generale si rinvia ai recenti contributi di (a cura di) Proto, Intelligenza artificiale e rapporti bancari, Pacini Giuridica 2024, da Ammanati e Greco, Il credit scoring “intelligente”: esperienze e nuove regole in Rivista di diritto bancario, 2023, fasc. III, sezione prima, Rossi, Intelligenza artificiale, Laterza, 2024. Vedi anche, Banca d’Italia, Autori vari, Questioni di economia e finanza, n. 721, ottobre 2022, Intelligenza Artificiale nel credit scoring. Analisi di alcune esperienze nel sistema finanziario italiano nonché il sito www.agendadigitale.eu. Lo studio evidenzia come l'utilizzo di modelli e di tecnologia AI-ML (intelligenza artificiale-machine learning) nel credit scoring sia ancora limitato in Italia, seppure in crescita; esso è al momento finalizzato a sostenere i processi decisionali, la cui responsabilità rimane comunque in capo agli analisti.

[2] Chat generative pre-trained transformer, ma anche Gemini, Copilot, Claude.

[3] Il Garante europeo per la protezione dei dati ha pubblicato nel giugno 2024 i primi orientamenti su come garantire la compliance data protection in caso di ricorso a sistemi di intelligenza artificiale generativa, per ciò intendendo la creazione automatica di contenuti. In tema v. Bankitalia, Quaderno n. 935, aprile 2025 - Un sistema di intelligenza artificiale generativa “multifase” per rispondere a quesiti sulla normativa bancaria. L’intelligenza artificiale generativa rappresenta una delle manifestazioni più dirompenti dell’evoluzione tecnologica. A differenza dell’AI “tradizionale”, che si limita a classificare e analizzare dati esistenti, l’AI generativa è in grado di produrre contenuti originali e complessi, come testi, immagini, codici e persino musica, a partire da semplici istruzioni in linguaggio naturale, note come prompt. Tuttavia, l’uso dell’AI generativa non è esente da rischi: inesattezze (note come “allucinazioni” che non sono propriamente imputabili all’AI, mentre le deepfake sono intenzionali ed imputabili all’uomo), violazioni del diritto d’autore e questioni legate alla tutela della privacy e alla sicurezza dei dati sono solo alcune delle sfide che andranno affrontate dalle imprese e dai professionisti; occorre gestirne le naturali criticità. In particolare, l’European data protection supervisor ha emanato il 28 ottobre 2025 delle linee guida volte ad assicurare la protezione dei dati personali nell’ambito dell’utilizzo dei sistemi di intelligenza artificiale generativa nell’ottica di rispettare gli obblighi previsti dal Regolamento dell’Unione 2018/1725 (libera circolazione dei dati). Un problema da non sottovalutare è che gli applicativi di AI sono fatti per dare risposte e non prevedono di rispondere “non so” forzando – necessariamente – diverse conclusioni. E’ la loro progettazione che costringe a dare una risposta che, essendo basata su criteri probabilistici, ben può essere in tutto o in parte sbagliata o fuorviante. Tocca all’ecosistema nel quale operano a dover vigilare e, all’occorrenza, intervenire, per correggere questo vizio genetico, al momento non correggibile. Servono, comunque, idonee misure di governance sia per la progettazione che per l’utilizzo.

[4] Paracampo, Fintech tra algoritmi, trasparenza e algo-governance, in Diritto della banca e del mercato finanziario, 2019, 215, (per algo-governance si allude alla regolamentazione degli algoritmi).

[5] Un sistema automatico non pensa ma si comporta come se pensasse sulla scorta di elaborazioni statistiche e, inoltre, non conosce l’etica (così come i diritti umani), anche se un’etica l’hanno le persone che lo producono, che lo diffondono e che lo utilizzano; risponde solo ad un algoritmo secondo un principio di neutralità asettica che esclude ogni discrezionalità e ogni giudizio morale. In tema, v. Bankitalia, collana “Mercati, infrastrutture, sistemi di pagamento”, Studio n. 58, maggio 2025, sull’etica dell’intelligenza artificiale nel settore finanziario. Circa il fatto che la disciplina lasci poco o nullo spazio per l’utilizzo dei “soft data” (informazioni qualitative di tipo soggettivo) e dei “black box” (sistemi di cui è ignoto il funzionamento, imparziali ma potenzialmente a rischio di bias) per la valutazione del merito creditizio si veda Natoli, Intelligenza artificiale e credit scoring in Il diritto della banca e dei mercati finanziari, fasc. 4/2025.

[6] Allo stato, peraltro, il livello di questo intervento non è ben definito; opportuno sarebbe – ma forse ci si arriverà – caratterizzare questo intervento come decisivo o, quantomeno, significativo.

[7] Capobianco, Intelligenza artificiale e rapporti bancari, in Rivista di diritto bancario, 2024, fasc. 4, sezione prima.

[8] Direttiva UE 2015/2366 del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno.

[9] Ed al contributo di ABF e ACF, tutti non vincolanti ma non per questo poco rilevanti.

[10] In particolare, le norme di governance per i modelli di AI sono operative dal 2 agosto 2025, cosi come quelle riguardanti i modelli di AI per finalità generali.

[11] Che costituisce l’altra faccia della medaglia del rating. Entrambi hanno la stessa finalista ma diversi sono gli elementi analizzati per fornire il giudizio. In dottrina, v. Gaggero e Valenza, Le moderne tecniche di credit scoring tra GDPR, disciplina di settore e AI Act in Rivista di diritto bancario, 2024, fasc. 3, sezione prima. Gli Autori, richiamando la crisi dei mutui subprime che ha confermato l'importanza che riveste la valutazione del cd. “merito creditizio” in ambito bancario, collegano il quadro normativo alla non completa copertura dell’intera materia. In particolare, evidenziano che tale attività, basata sulla raccolta e l’elaborazione di dati, non è stata però compiutamente disciplinata dal legislatore, cosicché assumono un ruolo centrale le regole e i principi del GDPR. Quest’ultimo, tuttavia, non risolve efficacemente alcune problematiche, relative principalmente all’uso dei nuovi sistemi di credit scoring basati sull'AI. Sebbene tali criticità sembrino essere state meglio affrontate dalla CCD II (in corso di adozione) e dall’AI act, resta sullo sfondo la difficoltà di individuare una base giuridica adeguata per utilizzare i sistemi innovativi di valutazione del merito creditizio in modo conforme a quanto previsto dall’art. 22 del GDPR, che in linea di principio, vieta i processi decisionali automatizzati. Sussistono, infatti, alcuni dubbi sulla possibilità di ricorrere legittimamente a tali sistemi basandosi sul consenso dell'interessato o avvalendosi dell'eccezione al divieto rappresentata dalla necessarietà del trattamento per la conclusione o l’esecuzione del contratto. In tale contesto, appare pertanto necessaria l'adozione di una legge che autorizzi l'utilizzo di questi sistemi, prevedendo al contempo misure idonee a tutelare i diritti, le libertà e i legittimi interessi degli interessati.

[12] Sempre nel T.U.F, all’art. 67 ter, viene disciplinata la, diversa, negoziazione algoritmica nell’ottica dei controlli da adottare in caso di suo utilizzo. Ma siamo in un ambito ben diverso.

[13] La Banca d’Italia ha pubblicato lo Studio n. 1476, del febbraio 2025, incentrato sul tema della valutazione del merito creditizio tramite sistemi di intelligenza artificiale o tramite il tradizionale rapporto bancario basato sulle relazioni banca-impresa, ovvero sulla rilevanza dell’interazione tra questi due approcci per l’offerta di credito delle banche italiane e per le scelte di investimento e occupazione delle imprese, prima e durante la crisi pandemica.

[14] Così si legge in www.agendadigitale.eu.

[15] Quest’ultimo che recepisce l’art. 4 n. 17 della Direttiva 2014/17 secondo cui si tratta di una valutazione delle prospettive che le obbligazioni derivanti dal contratto di credito vengano – nel futuro – rispettate, nell’ottica del principio del c.d. prestito responsabile.

[16] Sul punto, Natoli, Intelligenza artificiale e credit scoring in Diritto della banca e del mercato finanziario, 2025, fasc. 4.

[17] Trib. Milano, sezione imprese, 18 aprile 2025, estensore Simonetti in www.ilcaso.it.

[18] Questa norma dovrebbe essere riformulata se verrà approvato il digital omnibus package secondo cui i dati personali saranno trattati dal GDPR mentre quelli non personali dal Data Act (2023/2854).

[19] Occorrerebbe applicare, molto analogicamente, l’art. 1228 c.c. – responsabilità dell’ausiliario - intendendo lo strumento di AI un ausiliario di chi se ne avvale.

[20] In particolare, la Direttiva 1985/374 definisce il prodotto difettoso all’art. 6 ed il codice del consumo all’art. 117.

[21] Score può essere tradotto come punteggio, voto, risultato.  E’ un approccio basato su reti neurali secondo cui l’apprendimento può avvenire senza l’utilizzo di un algoritmo. Sul tema v. Trapani, Credit scoring e intelligenza artificiale. Rischi della verifica “intelligente” e tutela del cliente in Rivista di diritto dell’impresa, fasc. 2/2024; l’Autore sottolinea come nella normativa attuale non esistano regole per la “verifica intelligente” dei soggetti, ancorchè la criticità possa essere superata tramite il coordinamento tra le disposizioni sulla privacy e quelle, ancorché settoriali, sul credito al consumo.

[22] Che costituisce l’altra faccia della medaglia del rating.

[23] Sempre nel T.U.F., all’art. 67-ter, viene disciplinata la (diversa) negoziazione algoritmica nell’ottica dei controlli da adottare in caso di suo utilizzo.

[24] Banca d’Italia, Studio n. 1476, febbraio 2025.

[25] Proto (a cura di), Intelligenza artificiale e rapporti bancari, Pisa, 2024, 27. Secondo l’Autore, Bartolini, è nella funzione prognostica che si ritrova il meccanismo di AI in senso stretto. Gli algoritmi sono ampiamente utilizzati nei processi decisionali bancari e trovano applicazione sia nello scoring creditizio, sia nella determinazione del pricing dei prestiti sia nella gestione automatizzata del rischio. Il tema giuridico che si pone riguarda la trasparenza e la verificabilità delle decisioni automatizzate. Se il mercato si affida in modo massivo a modelli opachi o difficilmente verificabili, il rischio non rimane circoscritto al singolo intermediario posto che un errore di modello può propagarsi simultaneamente su larga scala, incidendo sull’intero sistema finanziario.

[26] “Prima della conclusione del contratto di credito, il finanziatore valuta il merito creditizio del consumatore sulla base di informazioni adeguate, se del caso fornite dal consumatore stesso e, ove necessario, ottenute consultando una banca dati pertinente”. La formulazione è stata modificata a seguito del D. Lgs. n. 212 del 31 dicembre 2025 nel modo seguente: ”prima della conclusione del contratto di credito, il finanziatore svolge una valutazione approfondita del merito creditizio del consumatore. Ferme le finalità di sana e prudente gestione previste dalla normativa prudenziale ove applicabile ai finanziatori, il finanziatore effettua la valutazione anche nell’interesse del consumatore per evitare pratiche irresponsabili in materia di concessioni di prestiti e sovraindebitamento, e tiene conto dei fattori pertinenti per verificare le prospettive di adempimento da parte del consumatore degli obblighi stabiliti dal contratto di credito”.

[27] “Prima della conclusione del contratto di credito, il finanziatore svolge una valutazione approfondita del merito creditizio del consumatore, tenendo conto dei fattori pertinenti per verificare le prospettive di adempimento da parte del consumatore degli obblighi stabiliti nel contratto di credito. La valutazione del merito creditizio è effettuata sulla base delle informazioni sulla situazione economica e finanziaria del consumatore necessarie, sufficienti e proporzionate e opportunamente verificate”.

[28] D.M. 29 settembre 2016, n. 380, in particolare l’art. 6.

[29] La prima versione, per il credito immobiliare ai consumatori, è quella del 19 agosto 2015.

[30] La definizione di dato personale e di trattamento è disciplinata dall’art. 4, punti 1 e 2 del GDPR.  

[31] Il trattamento dei dati deve rispettare i requisiti di liceità, proporzionalità e necessarietà delineati dal Garante della Privacy.

[32] Affinché il consenso possa ritenersi validamente espresso ai sensi del GDPR, che ne impone la forma “libera e specifica”, è imposta la preventiva conoscibilità, da parte dell’interessato, dello schema logico seguito dall’algoritmo per giungere alla decisione. Di conseguenza, non può considerarsi validamente prestato il consenso alla valutazione interamente automatizzata del merito creditizio da parte di chi richiede un prestito, qualora questi non sia posto nella condizione di conoscere anticipatamente il funzionamento dell’algoritmo impiegato.

[33] Nella causa C-634-22 (vedi infra) si è stabilito l’assoggettamento delle operazioni di calcolo automatizzato di un tasso di probabilità relativo alla capacità di una persona fisica di onorare futuri impegni di pagamento al regime previsto dall’art. 22 del GDPR, con la conseguente necessità che ricorra uno dei casi in cui tale disposizione autorizzi l’adozione di una decisione basata esclusivamente su un trattamento automatizzato, che il titolare del trattamento adempia gli obblighi di informazione supplementari previsti in tal caso e, parimenti, che all’interessato sia riconosciuto il diritto di ottenere dal titolare, tra l’altro, informazioni significative sulla logica utilizzata, l’importanza e le conseguenze del trattamento.

[34] Cosi, le conclusioni dell’Avvocato Generale De La Tour nella causa C-203/22 davanti alla Corte di Giustizia in un caso di credit scoring.

[35] Affrontare l’opacità degli algoritmi e promuovere la trasparenza non è solo una questione di conformità normativa, ma è fondamentale per costruire fiducia e garantire che l’AI rimanga un alleato dell’intelligenza umana, rispettando i diritti e le aspettative degli interessati.

[36] In Foro it., 2025, IV, 169.

[37] Il “punteggio Schufa” è quella attribuito da una impostante agenzia di credito tedesca.

[38] Il credit scoring algoritmico condensa in sé molti profili di preoccupazione sollevati nei confronti dell’IA, soprattutto con riguardo alla tutela della persona (Proto, op. cit., 27). Vedi anche Ciraolo, Le valutazioni automatizzate del merito creditizio nel quadro normativo europeo. Quale futuro per il credit scoring algoritmico in Rivista di diritto bancario, 2025, fascicolo I, sezione prima, ove l’autore sottolinea la necessità di un bilanciamento (non agevole) tra esigenze contrapposte (tutela dei diritti della persona e buon funzionamento del mercato del credito). Vedi anche Rocco di Torrepadula, L’uso del credit scoring algoritmico nella valutazione del merito creditizio in Banca borsa e titoli di credito, 2025, I, 213 e ss. ove si esplora il rapporto tra il credit scoring algoritmico e il procedimento di valutazione del merito creditizio, al fine di comprendere se il primo possa sostituirsi al secondo, con conseguente sacrificio della componente valutativa umana. La risposta da darsi, per l’Autore, è negativa.

[39] Corretta gestione dei dati, esistenza di una infrastruttura tecnologica idonea, adozione di misure organizzative e struttura di governance appropriate, adozione di una metodologia di raccolta e analisi dei dati.

[40] L’etica, la spiegabilità degli algoritmi, l’equità, la tracciabilità e la verificabilità dei criteri delle scelte adottate, la protezione dei dati.

[41] In vigore dal 30 giugno 2022.

[42] Se non ci si adegua occorre spiegare il perché e la motivazione diventa la prova di resistenza nei confronti del Vigilatore.

[43] Per rischio di modello si intende la possibilità di subire perdite o danni a causa di decisioni sbagliate connesse all’utilizzo di un modello errato.

[44] Proto, cit., 122-124.

[45] Direttiva 2013/36 UE.

[46] Questioni di economia e finanza, n. 721 dell’ottobre 2022.

[47] Il provider e il deployer costituiscono solo due delle diverse figure individuate dal Regolamento e alle quali corrispondono obblighi e requisiti diversi, in genere più stringenti per il primo.

[48] Da cui discende, in caso di mancato rispetto, una responsabilità precontrattuale da negozio lecito.

[49] Da associare a modelli utilizzati per velocizzare le decisioni nonostante la grande quantità di dati elaborati (big data analiytics).

[50] In realtà, sembra sbagliato ritenere che l’utilizzo dell’AI sia equiparabile ad attività pericolosa posto che il pericolo sta in come è alimentata la base dati su cui opera l’AI e le conseguenze che attribuiscono ai sui output. Nondimeno, il disposto dell’art. 2050 c.c. ben può leggersi in termini di responsabilità per colpa (e non oggettiva) aprendo così la prospettiva della applicazione sia in ambito giuridico (l’avvocato, il notaio, il commercialista ecc.) sia, anche,al di fuori come in ambito medico.

[51] Questa parte è già in vigore dal febbraio 2025.

[52] Tra cui la forma “agentica” che costituisce l’ultima frontiera in termini di novità: agisce proattivamente e non solo reattivamente proponendo ragionamenti in forma conversazionale con intervento molto limitato da parte dell’uomo.

[53] Saia, La responsabilità “organizzativa” nei sistemi di Ai in IusLetter.com.

[54] Qualsiasi “fornitore” (anche non UE) che mette a disposizione sul mercato europeo un modello di AI di uso generale (GPAI), anche gratuitamente o tramite API, è soggetto agli obblighi dell’AI act, così come chi modifica significativamente un modello open-source può diventare “fornitore” e quindi soggetto agli obblighi.

[55] I dati con cui la “macchina” viene alimentata (“allenata” in gergo) devono essere bene analizzati affinché le risposte non abbiano effetti discriminatori. Sicché l’alimentazione dei dati dovrebbe essere fornita da un pool di soggetti diversi per provenienza, cultura, sesso, religione, orientamento politico, età ecc. Si cela, quindi, un rischio operativo di nuova generazione. L’EBA, Special topic – artificial intelligence e AiAct: implications for the EU banking sector, 2025, torna più volte su questo problema.

[56] In corso di adozione. Sul tema v. Falcone, Prime riflessioni sulla Direttiva CCD II: le informazioni e la valutazione del merito creditizio, in Diritto della banca e del mercato finanziario, fasc. 4, 2024.In realtà, la nuova Direttiva non contiene un vero e proprio obbligo di astensione dal concedere credito ove il cliente appaia non meritevole (Santagata, La concessione abusiva del credito al consumo, 2020,10).

[57] In funzione del fatto che le imprese “virtuose”, cioè quelle concretamente sensibili alla transizione ESG, dovrebbero essere anche meno esposte al rischio di default.