Responsabilità algoritmica nel credito
Un imprenditore con vent’anni di storia creditizia pulita riceve un rifiuto. L’istruttore di filiale non sa spiegargli perché. Non è reticente: non ha gli strumenti per farlo. Il modello ha prodotto un output, l’output è stato accettato, il processo si è chiuso. Fine.
Questo non è un caso limite. Sta diventando la procedura ordinaria. E il punto non è che l’algoritmo abbia torto o ragione — il punto è che nessuno, in quella filiale, è più in grado di rispondere nel merito. Il dibattito pubblico si concentra sulla velocità, sull’efficienza, sulla riduzione dei costi istruttori. Tutto reale. Ma il problema strutturale — quello che riguarda non solo i richiedenti ma gli stessi intermediari — viene sistematicamente eluso: progressivamente, nessuno dentro la banca sarà più in grado di spiegare davvero perché l’algoritmo abbia deciso in un certo modo.
Non è una previsione allarmistica. È una dinamica già osservabile negli istituti che hanno adottato modelli di scoring di terza generazione. Il personale formato sui vecchi processi va in pensione. I nuovi analisti imparano a leggere gli output, non a costruirli. Il modello diventa infrastruttura — come l’elettricità: la si usa, non la si capisce.
Il problema è che l’elettricità non decide chi ottiene credito.
L’obbligo che la legge non ha ancora smesso di pretendere
Il Testo Unico Bancario non è stato scritto pensando agli algoritmi. Ma i principi che contiene sono abbastanza generali da sopravvivergli.
L’art. 5 TUB impone la sana e prudente gestione come criterio guida dell’attività bancaria — e le Autorità di Vigilanza sono chiamate a verificarne il rispetto. L’art. 124-bis estende l’obbligo di valutazione del merito creditizio ai consumatori in modo esplicito. L’art. 120-undecies aggiunge una lista di requisiti che, letti oggi, suonano quasi come una checklist per l’audit di un sistema di IA: le informazioni utilizzate devono essere pertinenti, necessarie, sufficienti, proporzionate, opportunamente verificate.
Non sono aggettivi decorativi. Sono criteri giuridicamente azionabili.
La Cassazione ha chiarito nel 2021 — sentenza n. 18610 — che la concessione del credito bancario non è un affare privato. Ha una dimensione pubblicistica. Ha obblighi che non si trasferiscono a un server remoto.
Il punto è questo: la legge pretende ancora che qualcuno, dentro l’intermediario, sia in grado di rispondere della decisione. Non di citare il punteggio. Di rispondere.
| Fonte normativa | Contenuto | Implicazione per il richiedente |
|---|---|---|
| Art. 5 TUB | Sana e prudente gestione | L’intermediario non può delegare la responsabilità decisionale a un sistema automatizzato |
| Art. 124-bis TUB | Valutazione del merito creditizio del consumatore | Le informazioni usate devono essere adeguate e verificabili |
| Art. 120-undecies TUB | Requisiti informativi sulla situazione economica | I dati devono essere pertinenti, necessari, sufficienti e proporzionati |
| Cass. n. 18610/2021 | La concessione del credito non è un affare privato | L’intermediario risponde della decisione nel merito, non solo del processo |
| AI Act (Reg. UE) | Sistemi di scoring = alto rischio | Obbligo di supervisione umana, diritto alla spiegazione, documentazione, ricorso |
Tre rischi che il settore tende a sottovalutare
Il dibattito italiano sulla responsabilità algoritmica nel credito ruota quasi sempre attorno agli stessi nodi: privacy, discriminazione, obblighi informativi. Sono tutti reali. Ma c’è una gerarchia di urgenza che raramente viene dichiarata.
Il rischio di discriminazione algoritmica è quello più citato — e probabilmente quello con il presidio normativo più solido. Un modello addestrato su dati storici incorpora i bias del passato. Se il credito è stato sistematicamente negato a certe categorie geografiche o settoriali, il modello tenderà a replicare quel pattern. L’AI Act lo classifica come sistema ad alto rischio proprio per questo. Ma almeno qui il problema è riconoscibile: si può testare, si può misurare, si può correggere.
Il rischio di opacità interna è più insidioso, perché non ha un titolare. Chi ha comprato il modello non l’ha costruito. Chi lo usa non lo conosce nel dettaglio. Chi potrebbe controllarlo non ha gli strumenti. Il risultato è una catena di responsabilità diffusa che in caso di contenzioso produce esattamente quello che la giurisprudenza non tollera: nessuno che sappia rispondere nel merito.
Il rischio di compliance formale senza sostanza è il più sottovalutato. Gli intermediari stanno costruendo documentazione, processi, audit trail — tutto quello che l’AI Act richiede. Ma documentare un sistema opaco non lo rende trasparente. Produce una conformità di facciata che regge ai controlli ordinari e si sfalda sotto un contenzioso serio.
Rischi algoritmici nel credito — analisi comparataRiferimenti: Regolamento UE 2024/1689 (AI Act), artt. 9, 10, 13; TUB art. 5 (D.Lgs. 385/1993)
Tipo di rischio Descrizione Presidio normativo Urgenza Discriminazione algoritmica Il modello replica i bias storici presenti nei dati di addestramento AI Act art. 10 — requisiti sui dati di training Alta — misurabile e contestabile Opacità interna Nessuno dentro l’intermediario è in grado di spiegare la singola decisione AI Act art. 13 — trasparenza; TUB art. 5 Critica — non ha un titolare Compliance formale Documentazione prodotta senza comprensione reale del modello sottostante AI Act art. 9 — sistema di gestione del rischio Sottovalutata — regge ai controlli ordinari
L’AI Act non risolve il problema. Lo rende più urgente.
Il regolamento europeo sull’intelligenza artificiale classifica i sistemi di valutazione del merito creditizio come sistemi ad alto rischio. L’applicazione è progressiva fino al 2027, ma gli obblighi sostanziali sono già definiti: valutazione di conformità preventiva, documentazione tecnica, supervisione umana obbligatoria, diritto alla spiegazione per il richiedente.
Quest’ultimo punto merita attenzione specifica. Il diritto alla spiegazione non significa ricevere un documento. Significa che l’intermediario deve essere in grado di ricostruire, in termini comprensibili, quali variabili hanno inciso sulla decisione e con quale peso. Non il punteggio finale — il percorso che ci ha portato lì.
Per i modelli black-box di ultima generazione, questo è tecnicamente problematico. Per quelli basati su reti neurali profonde, è sostanzialmente impossibile senza strumenti di XAI dedicati — e anche con quegli strumenti, le spiegazioni sono approssimazioni, non descrizioni esatte del processo computazionale.
La retorica dell’oggettività algoritmica produce un effetto paradossale: trasforma decisioni profondamente discrezionali — perché la scelta delle variabili, dei pesi, dei dati di addestramento è sempre una scelta umana — in processi percepiti come neutrali soltanto perché mediati da un sistema matematico. È un’illusione di oggettività. E costruire compliance su un’illusione è un rischio che il settore non ha ancora prezzato correttamente.
Cosa cambia, concretamente, per chi chiede credito
Per un’impresa o un privato che si confronta con una decisione algoritmica, il quadro normativo attuale offre strumenti reali — spesso poco conosciuti.
Il diritto a una spiegazione sostanziale, non formale. Il diritto a una revisione umana della decisione automatizzata. La possibilità di contestare una valutazione fondata su dati inesatti o non pertinenti. E, su un orizzonte che la giurisprudenza europea sta cominciando a esplorare, il diritto al risarcimento per discriminazione algoritmica documentata.
Nessuno di questi strumenti funziona se il richiedente non sa che esistono. Ed è per questo che la dimensione informativa — non solo quella tecnica — resta il nodo irrisolto di questa trasformazione.
Il credito algoritmico non è un problema futuro. È un problema presente con una regolamentazione che arriva in ritardo, intermediari che costruiscono conformità senza sempre costruire comprensione, e richiedenti che non sanno cosa possono pretendere.
La domanda rilevante non è se l’algoritmo sia più accurato di un analista umano. Su questo, i dati sono spesso a favore del modello. La domanda è: quando sbaglia — e sbaglia — chi risponde?
Per ora, la risposta onesta è: dipende da quanto riesce a dimostrare il richiedente, e da quanto l’intermediario riesce a nascondersi dietro la complessità tecnica del sistema.
Non è una risposta accettabile. Non dovrebbe esserlo nemmeno per il settore.
Per responsabilità algoritmica nel credito si intende l’insieme degli obblighi giuridici che rimangono in capo all’intermediario bancario o finanziario anche quando la decisione di concessione o rifiuto del credito è prodotta — in tutto o in parte — da un sistema di intelligenza artificiale. La legge italiana ed europea non consente di trasferire questa responsabilità al modello: chi ha scelto il sistema, chi lo ha configurato e chi ha utilizzato il suo output per decidere risponde nel merito della decisione.
Il Regolamento UE 2024/1689 (AI Act) è in vigore dal 2024 con applicazione progressiva fino al 2027. I sistemi di valutazione del merito creditizio sono classificati come sistemi ad alto rischio: gli obblighi sostanziali — documentazione tecnica, supervisione umana, diritto alla spiegazione, meccanismi di ricorso — sono già definiti e si applicano agli intermediari italiani secondo le scadenze previste dal regolamento.
Sì. Il diritto alla spiegazione è sancito sia dal GDPR (art. 22, per le decisioni automatizzate) sia dall’AI Act per i sistemi ad alto rischio. Non è sufficiente ricevere un punteggio: l’intermediario deve essere in grado di indicare quali variabili hanno inciso sulla decisione e con quale peso. È inoltre possibile richiedere una revisione umana della valutazione automatizzata.
L’opacità algoritmica — definita nella letteratura tecnica come opacity drift — è la progressiva perdita di capacità, all’interno dell’intermediario, di spiegare le singole decisioni prodotte dal modello. Il personale formato sui vecchi processi va in pensione, i nuovi analisti imparano a leggere gli output senza conoscere il modello. Il rischio è duplice: normativo, perché l’AI Act impone la spiegabilità; legale, perché in caso di contenzioso nessuno dentro l’istituto è in grado di rispondere nel merito.
Elaborato a partire da un contributo originale di Ophelia Consulting — curatela editoriale GrifoNews.
