Merito creditizio, l’AI riscrive le regole: le norme che ci tutelano

L’uso crescente di tecnologie avanzate solleva, dunque, questioni etiche e giuridiche, soprattutto in relazione alla protezione dei dati personali e alla trasparenza dei processi decisionali, sempre più legati al ricorso agli algoritmi.

Garantire che le informazioni dei clienti siano gestite in modo corretto e sicuro, infatti, non solo tutela i diritti individuali, ma contribuisce anche a creare un sistema finanziario più equo e sostenibile[1].

Principi di protezione dei dati e ruolo delle banche dati

Il trattamento dei dati personali nel contesto dell’accesso al credito è regolato dai principi fondamentali sanciti dal Regolamento Generale sulla Protezione dei Dati o GDPR (d’ora in avanti il “Regolamento”), che mirano ad assicurare un equilibrio tra l’uso di detti dati per erogare “prestiti responsabili” e il rispetto dei diritti fondamentali dell’individuo.

Volendo ripercorrere, sinteticamente, i principi fondamentali di protezione dei dati nel contesto bancario e di accesso al credito, i driver per bilanciare le esigenze di erogazione di “responsible lending” da un lato e di tutela dell’interessato dall’altro, sono i seguenti:

• il trattamento dei dati deve avere una base giuridica valida, come l’adempimento di obblighi contrattuali o di obblighi normativi. La trasparenza richiede che i clienti siano chiaramente informati sull’uso dei loro dati, attraverso informative accessibili e dettagliate.
• I dati raccolti devono essere utilizzati solo per scopi specifici ed espliciti, come la valutazione della solvibilità. Inoltre, devono essere trattate solo le informazioni strettamente necessarie, evitando l’elaborazione di dati superflui o sensibili, come quelli relativi alla salute.
• Gli istituti di credito devono verificare che le informazioni siano accurate e aggiornate, prevenendo decisioni errate basate su dati obsoleti, che potrebbero avere impatti sulla possibilità di ottenere un finanziamento. Garantire una retention limitata dei dati, inoltre, consente ai clienti di poter “riabilitare” la propria storia creditizia, in modo da risultare nuovamente affidabili dopo un periodo di inadempienza.

Le due categorie di banche dati

In tale contesto, le banche dati (pubbliche e private) sono strumenti essenziali per valutare il merito creditizio, offrendo una base solida per le decisioni finanziarie. Questi sistemi si dividono in due categorie principali:

• Centrale dei Rischi Bankit (CR): la CR, gestita dalla Banca d’Italia, raccoglie dati sulle esposizioni creditizie superiori a 30.000 euro e fornisce un quadro completo della situazione debitoria di un cliente, evidenziando eventuali sofferenze o gravi inadempienze.
• Sistemi di Informazioni Creditizie (SIC): i SIC, gestiti da operatori privati, integrano le informazioni della CR con dettagli aggiuntivi su prestiti di importo inferiore, ritardi nei pagamenti e richieste di credito respinte. Questi dati consentono di costruire un profilo di rischio più dettagliato, migliorando l’accuratezza delle valutazioni.

Entrambe le tipologie di banche dati hanno uno scopo precipuo: conoscere la “storia creditizia” recente dei clienti, monitorarne l’andamento e consentire agli istituti di credito di poter evitare la concessione di prestiti irresponsabili, mettendo a repentaglio la situazione finanziaria dell’individuo e, in generale, la floridità dell’intero sistema finanziario.

La gestione accurata di queste informazioni risulta, pertanto, cruciale nel settore del credito: errori o aggiornamenti tardivi possono avere conseguenze gravi, impedendo ai clienti di accedere al credito o imponendo condizioni sfavorevoli, di cui non beneficerebbero neanche gli stessi intermediari.

Credit scoring e decisioni automatizzate

Nell’ambito dei processi di concessione del credito si è assistito, nel corso degli anni, ad una graduale “vaporizzazione” degli indici di solvibilità.

Quelli che un tempo erano i principali indicatori nella valutazione del merito di credito (es. garanzie reali), oggi sono precedute (o addirittura sostituite) dal credit scoring.

Il credit scoring si basa su dati storici come il comportamento di pagamento, l’utilizzo del credito e la durata della storia creditizia. Tuttavia, le recenti evoluzioni tecnologiche hanno rivoluzionato questo campo mediante l’introduzione di algoritmi di AI, che consentono di analizzare enormi volumi di dati per identificare pattern complessi e personalizzare i profili di credito. Il risultato finale corrisponde ad un punteggio, che si traduce nel rischio finanziario associato a un richiedente credito.

A prescindere da come venga utilizzato il punteggio generato – se direttamente da una “macchina” per prendere una decisione unicamente automatizzata o se dalla Banca per influenzare la decisione finale – la recente sentenza “Schufa” della Corte di Giustizia UE ha stabilito che il credit scoring vada configurato come una decisione automatizzata ai sensi dell’art. 22 del Regolamento, ogniqualvolta incida significativamente sui diritti degli interessati. In tali casi, gli istituti di credito devono garantire che i clienti abbiano il diritto di contestare la decisione, di ricevere una spiegazione chiara delle logiche utilizzate e di ottenere su richiesta un intervento umano.

Inoltre, l’introduzione dell’AI Act ha ulteriormente regolamentato l’uso del credit scoring nel settore finanziario, classificandolo come sistema ad alto rischio.

Ciò comporterà, a partire dal 2026 (anno di applicazione dell’AI Act per i sistemi “high risk”) l’implementazione di misure aggiuntive, come la supervisione umana, il tracciamento delle operazioni, la prevenzione di discriminazioni e il monitoraggio continuo dei sistemi utilizzati.

La direttiva CCD2 e la legge sull’oblio oncologico

La disciplina sulla valutazione del merito di credito è destinata ad ulteriori evoluzioni. Nell’ottobre 2023 è stata approvata la nuova Direttiva sui Crediti al Consumo (CCD2), che l’Italia dovrà recepire entro il 2026 e che rappresenta un passo avanti significativo nella tutela dei consumatori, introducendo nuove regole per la valutazione del merito creditizio.

Essa prevede la necessità di analisi ancor più approfondite e cristallizza, per la prima volta a livello settoriale, la possibilità di ricorrere a sistemi di intelligenza artificiale, il divieto generalizzato di utilizzare dati sensibili (rectius “particolari”), come informazioni sulla salute, nonché l’obbligo di garantire l’accuratezza e l’aggiornamento delle informazioni, soprattutto laddove la valutazione avvenga con l’ausilio di algoritmi.

La Direttiva, inoltre, rafforza le previsioni dell’art. 22 del Regolamento sulla Protezione dei Dati, rimarcando la necessità di un “assessment” umano in tutti i casi in cui un consumatore richieda una rivalutazione del suo profilo di rischio, dopo il rifiuto di una domanda di credito avvenuto per effetto di una decisione interamente automatizzata.

Alcune previsioni garantiste della CCD2 sono state in qualche modo anticipate dalla “Legge italiana sull’oblio oncologico”, che ha introdotto importanti tutele nei confronti dei pazienti guariti da patologie oncologiche, ovvero il diritto di non fornire informazioni sul loro passato medico durante la stipula di contratti bancari (superati 10 anni dalla guarigione).

In questo senso va rilevato, tuttavia, che la CCD2 pone un divieto assoluto di utilizzo dei dati relativi alla salute nelle valutazioni del merito creditizio, mentre la disciplina italiana sull’oblio oncologico pone un divieto relativo, ovvero prevede la possibilità di richiedere tale categoria di dati nei contratti bancari per un tempo limitato.

Ne consegue che, al momento del recepimento italiano della CCD2, sarà necessario rivedere la legge sull’oblio oncologico limitatamente a tali disposizioni.

Prospettive sul futuro del credito

L’evoluzione tecnologica sta rivoluzionando il settore bancario, ma comporta sfide significative in termini di tutela dei diritti individuali.

Un sistema finanziario equo deve saper bilanciare innovazione e responsabilità, garantendo che l’uso dei dati personali per scopi primari come quello della concessione di credito alla collettività, sia sempre rispettoso e trasparente.

Il futuro del credito dipenderà dalla capacità di integrare tecnologie avanzate con un approccio etico, creando un sistema che promuova un’innovazione votata all’equità e alla sostenibilità.

Note

[1] Per approfondire i contenuti del presente articolo si rinvia a V. NOTARANGELO, La protezione dei dati degli interessati nell’accesso al credito: la valutazione del merito creditizio tra normativa e decisioni algoritmiche, in “Il GDPR in ambito assicurativo – parte seconda” a cura di R. FLOREANI, S. PETRUSSI, 2025, Giuffrè Editore.