L’IA incontra le banche fra opportunità e rischi

Il tema dell’avvento dell’era dell’Intelligenza Artificiale è usualmente approcciato valorizzando, da un lato, la straordinaria potenza dell’IA, tale da innestare – come avvenuto con l’energia elettrica – una nuova rivoluzione industriale e, dall’altro, ventilando il pericoloso effetto di sostituzione rispetto alle risorse umane.  Secondo uno studio del FMI[1] toccherà prima alle economie avanzate incentrate su attività cognitive intensive; in queste economie circa il 60% dei posti di lavoro è esposto all’IA, metà negativamente, mentre il resto potrebbe trarne vantaggio. Nelle economie di mercato emergenti l’esposizione complessiva è del 40% e nei Paesi a basso reddito del 26%.

L’intelligenza artificiale mostra un grande potere, ma anche grandi rischi[2], che possono definirsi:

• Bias: dati e algoritmi possono riflettere pregiudizi; se i set di dati utilizzati dagli algoritmi di intelligenza artificiale sono incompleti o distorti, possono portare a decisioni di parte, ad esempio nella concessione di finanziamenti, o discriminanti;

• Darkness: iI processo decisionale degli algoritmi di IA può risultare opaco. L’IA deve essere, invece, spiegabile e occorrono metodi che forniscano informazioni per aiutare a capire come funziona;

• Governance: è necessario stabilire la responsabilità per la decisione presa (o suggerita) dall’algoritmo di IA;

• Fake news: nuove minacce possono emergere dai progressi nelle tecnologie di intelligenza artificiale; è noto che l’apprendimento automatico può essere utilizzato per generare dati, audio e video sintetici allo scopo di diffondere notizie false.

Le regole in arrivo. Mentre i principali paesi impegnati nello sviluppo dell’IA, quali Cina e USA^[3], non sono inclini ad una regolamentazione, l’Unione Europea per prima al mondo sta predisponendo una propria normativa, che sarà applicata progressivamente, entro 24 mesi. L’impostazione è chiara: in assenza di una supremazia tecnologica, l’UE gioca la carta della supremazia regolamentare^[4]. L’accordo sulla normativa è stato raggiunto tra Parlamento e Consiglio europeo; in data 13 marzo 2024 il Parlamento ha approvato una Risoluzione legislativa sulla proposta di regolamento che stabilisce regole armonizzate sull’Intelligenza Artificiale, senza ostacolarne la libera circolazione, ma in conformità ai valori dell’Unione^[5]. Le pratiche di IA manipolative o ingannevoli sono vietate e per i sistemi ad alto rischio sono previsti requisiti specifici, a partire dalla sorveglianza umana.

In Italia sono in corso i lavori per uno schema di disegno di legge in materia di Intelligenza artificiale; oltre ai principi generali, alla strategia nazionale e al tema delle autorità competenti, disposizioni di settore riguardano la ricerca e la sperimentazione in ambito sanitario, la materia del lavoro, le professioni, la pubblica amministrazione e la giustizia.

Riferimenti al settore finanziario sono rinvenibili, quindi, solo nella proposta di regolamento europeo. In sintesi, però i richiami si limitano a fare rinvio alla generale normativa europea in materia di servizi finanziari per la conservazione della documentazione tecnica e dei log generati automaticamente da sistemi di IA ad alto rischio. Sono poi definiti, tra gli altri, quali sistemi IA ad alto rischio quelli destinati a valutare l’affidabilità creditizia delle persone fisiche o a stabilire il loro merito di credito, a eccezione di quelli utilizzati allo scopo di individuare frodi finanziarie.

Se ne deduce che la prospettiva per le banche e per gli altri intermediari è che le regole in materia di IA saranno inserite nel solco della disciplina di vigilanza prudenziale. In questa direzione va segnalato il parere del 29 dicembre 2021 della Banca centrale europea alla proposta di Regolamento che mostra come alla BCE prema specificare il suo ruolo come autorità di vigilanza bancaria, tanto che ha chiesto di chiarire di non essere designata come autorità di vigilanza del mercato.

Inoltre, la BCE sottolinea come taluni obblighi del Regolamento sono da considerarsi integrativi rispetto alle disposizioni della Capital Requirements Directive (CRD) in tema di governance interna e di gestione del rischio (nonché del controllo sugli accordi di esternalizzazione), tanto che si riserva di emanare in proposito “aspettative di vigilanza”. Ancora più precisa è l’indicazione secondo cui i sistemi IA ad alto rischio destinati alla valutazione del merito creditizio vanno analizzati nell’ambito del processo di revisione e valutazione prudenziale (SREP) disciplinato dalla CRD. Quindi, questa è la strada.

Perché anche le banche

Il driver di fondo per le banche nel procedere verso un diffuso utilizzo dell’IA non è dissimile rispetto ad altri settori. Entrano in ballo, in primo luogo, l’esigenza di mantenere un adeguato livello di competitività nel mercato e l’obiettivo di assecondare la clientela che richiede servizi semplici e veloci, preferibilmente personalizzati. L’IA funge allo scopo automatizzando e velocizzando ulteriormente l’operatività (potendo anche ridurre i margini di errore) e contribuendo ad elaborare programmi di fidelizzazione, anche attraverso nuovi servizi su misura per specifiche tipologie di utenti, in modo da favorire la customer retention. In sintesi, l’opzione di partenza è utilizzare l’IA per personalizzare maggiormente l’approccio al cliente, senza escludere (possibilmente) la relazione umana.

Ma c’è molto di più. Le previsioni per il business e le analisi strategiche e gestionali possono basarsi algoritmi di machine learning volti a costruire modelli previsionali tali da fornire indicazioni tempestive e preziose per la gestione aziendale. L’IA per dare i risultati auspicati, certi e precisi, deve basarsi su una   mole adeguata di dati affidabili e sotto questo profilo le banche sicuramente mostrano un punto di forza sia con riguardo alla completa e corretta registrazione dei fatti aziendali, sia in relazione alle tendenze di utilizzo dei servizi da parte dei singoli clienti.

A che punto sono

Dall’ultima rilevazione della CIPA disponibile^[6] l’IA figura tra le tecnologie utilizzate nel maggior numero di ambiti (accanto a DLT- Blockchain, Robotic Process Automation e Open API). I settori in cui l’IA è maggiormente utilizzata sono: contact center/help desk; secutity-fraud management; credito; servizi di investimento; gestione della regolamentazione.  In una precedente indagine più risalente, ma dedicata all’adozione dell’IA^[7], risultava che già larga parte del sistema bancario aveva adottato l’IA, ma solo in aree di carattere operativo (rapporti con la clientela e servizi tipici, oltre che alla Cyber security).

Molto più recente è l’indagine Fintech della Banca d’Italia[8] secondo la quale l’IA rientra tra le più utilizzate tecnologie di riferimento preceduta solo dalle piattaforme web-mobile; i principali progetti basati largamente sull’IA hanno interessato i processi di back office e le interazioni con la clientela (attraverso i chatbot). L’IA (accanto alla Robotic Process Automation) viene progressivamente impiegata in tutte le fasi del processo del credito, non solo per la fase di screening ma anche per quella di monitoring automatizzando il calcolo dello score creditizio della clientela. L’IA trova infine spazio nella gestione documentale e per garantire la coerenza dei pareri di compliance emessi. Non mancano progetti che includono metodi per migliorare il pricing dei prodotti e dei servizi finanziari.

Se ne desume che – considerata anche la naturale progressione delle innovazioni tecnologiche – ormai il sistema bancario sta procedendo diffusamente alla transizione verso l’AI; del resto, la stessa indagine della CIPA prevedeva che, oltre il 2023, la gran parte delle banche avrebbe utilizzato soluzioni IA based ad un livello alto o medio. Ma soprattutto la previsione indica un trend di crescita che interessa anche i processi di governo, la gestione dei rischi, la determinazione del patrimonio di vigilanza, la compliance. Diventa, quindi, più che opportuno valutare l’impatto dell’IA tenuto conto delle specifiche caratteristiche regolamentari e tecniche delle banche.

I principi giuridici. In attesa della regolamentazione il problema di fondo dell’IA è emerso con chiarezza sul piano giuridico.  Mentre nell’algoritmo di stampo tradizionale le istruzioni sono stabilite con una sequenza ben definita e non ambigua tanto da produrre un risultato determinato, nel caso dell’intelligenza artificiale con meccanismo di machine learning è l’algoritmo stesso che elabora ulteriori criteri di inferenza e, quindi, sviluppa un apprendimento automatico che porta alle decisioni.

Ne deriva l’esigenza di affermare tre principi:

1. il principio di conoscibilità da parte dei terzi dell’esistenza di processi decisionali automatizzati;
2. il principio di non esclusività della decisione algoritmica, secondo cui nel processo decisionale deve esservi un intervento umano al quale va riferita la decisione e la responsabilità;
3. il principio di non discriminazione algoritmica, con la garanzia che le inesattezze dei dati siano rettificate e il rischio di errori tecnici sia minimizzato; inoltre va assicurata la sicurezza dei dati personali per garantire i diritti dell’interessato e impedire effetti discriminatori.

A questo punto l’attenzione si sposta sul tema della responsabilità sotto il duplice aspetto di dominare il processo dell’IA rispettando i principi giuridici e le future regole, evitando di subirlo, e di dover rispondere legalmente nel caso in cui l’utilizzo dell’IA porti a risultati sbagliati a danno della banca o di terzi. E quindi, più in concreto, il tema dell’IA nelle banche è quello complesso, ma tutto sommato tradizionale, della governance, dell’organizzazione, dei controlli, della gestione dei rischi.

IA, gestione dei rischi e vigilanza prudenziale

Come noto, il controllo dei rischi costituisce un caposaldo della vigilanza prudenziale, inevitabile, quindi, l’incontro con le capacità predittive dell’IA.

Il tema dell’IA confluisce nell’ambito della regolamentazione di vigilanza sotto il cappello del rischio informatico (IT) per inadeguatezza di infrastrutture tecniche, suscettibile di comprometterne l’integrità o la sicurezza. Come tale ricade, in primo luogo, nella responsabilità dell’organo di supervisione strategica quale profilo ad alta intensità tecnologica e, quindi, nella competenza dell’organo di gestione che deve assicurare la completezza, adeguatezza e funzionalità del sistema informativo. E a quest’ultimo le Disposizioni di vigilanza per le banche dedicano grande attenzione[9] precisandone le responsabilità per la funzione ITC e per quella di controllo dei rischi. 

Secondo le informazioni disponibili la tendenza ampiamente prevalente nelle banche italiane è quella di avere già predisposto controlli di secondo e terzo livello per il controllo degli algoritmi, principalmente in capo all’area Audit, mentre solo una minor parte non ha ancora formalizzato i meccanismi di controllo. In genere la frequenza dei controlli sugli algoritmi e sulla performance dell’IA è su base continuativa. In tutto il settore finanziario (e non solo) è, comunque, sicuramente diffusa la consapevolezza dell’assoluto rilievo dei controlli ex ante, nella fase di sviluppo degli algoritmi.

Nel Data Office si ridefiniscono i ruoli e nascono figure nuove per gestire le soluzioni IA e per fare da tramite verso le funzioni di business; si affiancano necessariamente specialisti in compliance e nell’etica. Ma oltre all’emergere di nuove figure collegate all’introduzione dell’IA, è inevitabile anche dover procedere ad una diffusa opera di formazione per tutto il personale.

IA e antiriciclaggio

Sulle potenzialità dell’IA nella prospettiva della compliance valga l’esempio della disciplina antiriciclaggio che prevede, già da molti anni, l’utilizzo di procedure informatiche per individuare le operazioni sospette o anomale nonché per la profilazione dei rischi di riciclaggio. Le prescrizioni della Banca d’Italia consentono, infatti, di avvalersi di algoritmi predefiniti e procedure informatiche, in grado di assegnare in automatico la classe di rischio; va da sé che la banca deve essere in grado, ove necessario, di modificare con l’intervento umano i punteggi calcolati dai sistemi informatizzati^[10].

Qualche conclusione

Il tema dell’IA tende a diventare per le banche pervasivo come sta già avvenendo per quello dell’ESG[11]. Data per acquisita la necessaria prudenza in un passaggio tecnologico tanto incisivo (che certo non mancherà al sistema bancario), le prospettive di utilizzo dell’IA per le banche spaziano dalla funzione strategica a quella di gestione, dalle attività di business a quelle di supporto, fino a quelle di gestione dei rischi e dei controlli. Anche senza voler enfatizzare troppo, gli sviluppi saranno coinvolgenti e, al momento, anche non prevedibili nella loro portata. E, dunque, anche le banche minori che non si sono ancora avvicinate all’IA non sembra proprio che ne potranno fare a lungo a meno.

---

[1] International Monetary Fund, Gen-AI: Artificial Intelligence and the Future of Work, gennaio 2024.

[2] Massimo Doria, Intelligenza artificiale e diritto: una rivoluzione? – La prospettiva della Banca d’Italia, LUMSA, Roma 14 aprile 2023.

[3] Il 30 ottobre 2023 il Presidente Biden ha firmato un executive order con linee guida per le piattaforme che utilizzano applicazioni basate su IA (https://www.whitehouse.gov/briefing-room/statements-releases/2023/10/30/fact-sheet-president-biden-issues-executiveorder-on-safe-secure-and-trustworthy-artificial-intelligence/). La Cina punta, invece, su standard tecnici.

[4] Valerio Francola, Primi passi verso la regolamentazione dell’intelligenza artificiale, Mondoperaio 1/2024.

[5] L’assemblea Generale dell’ONU ha approvato in data 21 marzo 2024 una risoluzione sulla promozione di una IA “safe, secure and trustworthy”, nel rispetto del principio “same rights, online and offline”.

[6] CIPA e ABI, Rilevazione sull’IT nel settore bancario italiano. Profili economici e organizzativi, ottobre 2023.

[7] CIPA e ABI, Rilevazione sull’IT nel settore bancario italiano. Profili tecnologici e di sicurezza. L’Intelligenza Artificiale in banca: stato dell’arte e prospettive, aprile 2021.

[8] Banca d’Italia, Indagine Fintech nel sistema finanziario italiano, aprile 2024.

[9]  Banca d’Italia, Disposizioni di vigilanza per le banche, Parte Prima – Recepimento in Italia della CRD IV – Titolo IV, Governo societario, controlli interni e gestione dei rischi – Capitolo 4, Il sistema informativo.

[10] Fulvio Berghella, Intelligenza artificiale, i principi generali di liceità. Quali vincoli nelle applicazioni antiriciclaggio?  Bancaria 12/2023.

[11] Luigi Donato, La lunga marcia dei fattori ESG. Tra regolamentazione e mercato. Bancaria 3/2022.