di Vincenzo Giovanni DRAGONE
La valutazione del merito creditizio costituisce – come noto – uno dei capisaldi del rapporto banca-cliente e, nei tempi più recenti, ha visto una progressiva introduzione di nuove tecnologie di machine learning e intelligenza artificiale per il calcolo e attribuzione di rating.
Nell’operatività, i sistemi di credit risk scoring automatizzato sono utilizzati tanto dalle banche quanto dai sistemi di informazioni creditizie (tra i quali figurano, Schufa, Crif ed Experian) per la raccolta e l’analisi, tramite sistemi algoritmici, di un’ampia congerie di dati del cliente, anche con approccio prognostico circa i comportamenti futuri.
Tra i dati trattati da codesti sistemi si annoverano quelli socio-demografici, quelli delle agenzie di credito e financo le tendenze comportamentali.
Parallelamente, si sta progressivamente affermando l’uso di big data e dati psicometrici, tratti da questionari appositamente progettati per valutare le conoscenze, le abitudini di consumo, i comportamenti e le caratteristiche personali(1). L’elaborazione di tali informazioni conduce alla determinazione di un punteggio di rischio (“score”), che viene raffrontato con soglie prestabilite (note come “cut-off”) rappresentanti i limiti entro i quali la richiesta di credito viene approvata o respinta in relazione al rischio stimato.
L’ampiezza della base di dati personali necessari al funzionamento degli algoritmi decisionali, oltre che i criteri adottati da tali sistemi, hanno inevitabilmente posto dottrina e giurisprudenza innanzi a delicate questioni inerenti all’effettivo rispetto delle cautele e garanzie contenute nella disciplina generale e in quella bancaria.
La materia trova la sua disciplina nella normativa settoriale nazionale (cfr. artt. 124 e 125 TUB) ed europea (da ultimo, la Direttiva 2023/2225 sul credito al consumo), unitamente a quella generale sulla protezione dei dati di cui al GDPR, la quale integra una serie di condizioni e limiti puntuali all’utilizzo di tali strumenti: l’obiettivo del regolatore è quello di instradare dette evoluzioni tecnologiche nel solco delle garanzie introdotte dal GDPR in tema di trasparenza dei criteri adottati nella valutazione del merito di credito e di non discriminazione della clientela(2).
1. Trasparenza e Finalità Legittima: le Basi Giuridiche del Trattamento dei Dati Creditizi
Pertanto, nella combinazione degli interessi, da un lato quello all’accrescimento della qualità, predittività e velocità del processo di credit risk scoring per mezzo di predetti sistemi(3), e, dall’altro, quello di salvaguardia dei diritti fondamentali degli interessati, particolare attenzione è stata riservata dai regulators a due requisiti fondamentali: la necessarietà dell’adozione di standard armonizzati nell’utilizzo dei dati nell’ambito della credit evaluation(4) (= non discriminazione) e la corretta erogazione di adeguate informazioni precontrattuali(= trasparenza).
La Corte di Giustizia UE ha inoltre sancito il diritto del cliente di chiedere informazioni, da rendersi in maniera chiara e comprensibile, sulle logiche e sui criteri sottostanti agli algoritmi utilizzati per la concessione o meno del credito(5).
Altra questione di rilievo è quella dell’individuazione della corretta base giuridica cui poggerebbe detta operatività.
In proposito, l’uso da parte degli istituti bancari di modelli interni di tal specie trova le sue basi legali in primisnel rapporto contrattuale instaurato con il cliente (ex art. 6, lett. b, del GDPR), cui va associata la necessità di adempiere a un obbligo legale (ex art. 6, lett. c, GDPR) inerente al necessario presidio sui rischi di credito cui le banche sono chiamate in osservanza della disciplina creditizia. A ciò si aggiunga l’interesse legittimo del medesimo titolare (art. 6, lett. f, GDPR) a verificare con strumenti evoluti, durante l’intera durata del rapporto di affidamento, la permanenza del merito creditizio dei clienti, onde assicurare la stabilità dell’intermediario (e, in una prospettiva più ampia, del sistema tutto) nonché degli stessi clienti affidatari avverso ipotesi insolvenza o sovraindebitamento.
Ciò detto, va comunque sottolineata l’importanza di procedere in ogni caso a una preliminare valutazione d’impatto (“DPIA”) ex art. 35 GDPR, onde valutare in concreto i rischi per la protezione dei dati personali legati ai trattamenti effettati dagli specifici sistemi automatizzati, e un Legitimate Interest Assessment (“LIA”)(6), atto a verificare nel merito la sussistenza di un corretto bilanciamento tra l’interesse perseguito dalla banca rispetto ai diritti riconosciuti agli interessati, soppesando l’effettiva prevalenza del primo sui secondi.
2. I sistemi di informazioni creditizie (SIC) e la sentenza Schufa: decisioni automatizzate e liceità del trattamento
Diversa è, invece, la situazione che riguarda i sistemi di informazioni creditizie (“SIC”), i quali elaborano lo score attingendo, in via mediata, ai dati provenienti dai titolari del trattamento (= gli intermediari aderenti).
Nella prassi, anche i SIC hanno rinvenuto la liceità del trattamento sulla base dell’art. 6, lett. f, del GDPR secondo cui “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali (…)”. Tuttavia, la recente sentenza “Schufa” della Corte di Giustizia UE (C-634/21) ha portato a ripensare tale impostazione.
In particolare, la questione sottoposta alla Corte verteva sulla qualificazione o meno del calcolo automatizzato di un punteggio di affidabilità creditizia da parte del SIC tedesco Schufa come una “decisione totalmente automatizzata” ai sensi dell’art. 22 del Regolamento GDPR, e ciò ai fini dell’applicazione delle basi giuridiche ivi previste (= esecuzione di contratto o per consenso espresso dell’interessato, non per legittimo interesse).
Nella fattispecie, la Corte ha stabilito, anche sulla base del considerando 71 del GDPR, che la nozione di “decisione” deve ricomprendere non solo gli atti che producono effetti giuridici diretti, ma anche quelli strumentali (e automatizzati) che influiscono in misura rilevante sulla posizione personale dell’individuo, sancendo quindi la piena applicabilità dell’art. 22 del Regolamento.
Inoltre, la Corte ha precisato che la mera presenza formale di un intervento umano a valle del processo algoritmico non è idonea ad escludere la qualificazione di decisone come “totalmente automatizzata”, essendo necessario che tale intervento influisca effettivamente sull’esito del procedimento(7).
La pronuncia in parola ha pertanto escluso l’utilizzo dell’interesse legittimo quale base giuridica dei SIC operanti il credit risk scoring per mezzo di decisioni automatizzate. Si noti poi che le basi giuridiche alternative previste dall’art. 22 GDPR risultano – de facto – inapplicabili, in quanto la terzietà dei SIC rispetto al rapporto contrattuale intercorrente tra titolare/banca e l’interessato/cliente esclude l’utilizzo tanto della finalità contrattuale quanto quella del consenso.
Viene quindi da chiedersi come raccordare i principi sanciti dalla Corte con le norme nazionali di cui “Codice di condotta per i sistemi informativi gestiti da soggetti privati” (i SIC), approvato dal Garante per la protezione dei dati personali nel 2019 (nel prosieguo, “Codice”).
In proposito, il Codice riconosce il legittimo interesse quale base giuridica generale per l’operatività di tali soggetti (art. 6), ammettendo anche il trattamento dei dati degli interessati mediante “decisioni automatizzate di scoring” a determinate condizioni e “fermo restando che i gestori non adottano ai sensi del Regolamento alcuna decisione che può incidere su diritti e libertà degli interessati” (art. 10).
Orbene, proprio in considerazione della recente sentenza “Schufa”, la quale – come visto – ha di fatto assimilato le decisioni automatizzate a condotte in grado di incidere sulle libertà e diritti degli interessati, si evidenzia l’insufficienza del criterio del legittimo interesse quale fondamento accolto del Codice (anche) per i casi di decisioni automatizzate.
Ad avviso di chi scrive, è auspicabile quindi un intervento di aggiornamento del Codice, volto a ripristinarne la coerenza con i principi comunitari.
3. AI Act e Credit Risk Scoring: requisiti per i sistemi ad alto rischio e supervisione umana
A tutte le considerazioni che precedono si aggiungano le implicazioni conseguenti all’entrata in vigore del Regolamento europeo 2024/1689 (“AI Act”), il quale, qualificando i sistemi di credit risk scoring basati sull’intelligenza artificiale come “ad alto rischio”, introduce ulteriori e precisi obblighi di governance degli stessi, quali l’apposizione del marchio CE, lo svolgimento di una specifica valutazione di impatto (cd. “FRIA”) e l’obbligo di registrazione(8).
Inoltre, il Regolamento prevede che i sistemi ad alto rischio siano sviluppati in maniera tale da poter assicurare la supervisione dell’essere umano, chiamato a monitorarne il funzionamento, interpretarne correttamente gli output e, se del caso, decidere di “ignorare, annullare o ribaltare” le indicazioni fornite dal software (v. art. 14). La previsione dell’AI Act allude, in particolare, alla possibilità di disinnescare l’operatività dell’algoritmo ogni qualvolta gli esiti prodotti risultino incorretti, discriminatori, distorti o comunque non accettabili secondo il “common sense” umano(9), riportando così tutto il costrutto tecnologico nell’alveo dell’approccio umanocentrico sul quale poggia il plesso normativo.
4. Supervisione Umana e Etica del Credito: verso un Modello Ibrido e Responsabile
In definitiva, si può concludere che, secondo l’AI Act, le evoluzioni della tecnologia non possono determinare l’abdicazione da parte dell’uomo al proprio ruolo di valutatore di ultima istanza, né possono compromettere le ragioni di un sano e corretto accesso al credito, connotato – vieppiù – da indefettibili valori etici. Peraltro, non sfugga come tali principi riecheggino e trovino piena coerenza con le conclusioni della sentenza Schufa suvvista.
La partita si giocherà, evidentemente, sul piano della portata ed effettività dell’intervento umano nella sfera dell’operatività automatizzata.
Intervento di Vincenzo Giovanni DRAGONE | Group Data Protection Officer – Gruppo Bancario ICCREA
(Si ringrazia la collaborazione del dott. Luca Palmieri)
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Cfr. M. Rabitti, Intelligenza artificiale e credit scoring, in M. Rescigno, L’impresa nell’era dell’intelligenza artificiale: un’evoluzione tranquilla o non sarà più lo stesso? Milano, Giuffrè, 2023.
(2) Si vedano gli artt. 5, 6 e 13 GDPR, i quali enunciano i principi fondamentali di liceità, correttezza, trasparenza e informazione nel trattamento dei dati personali; poi, gli artt. 15 e 22, recanti il diritto a non essere sottoposti a decisioni basate unicamente su trattamenti automatizzati che incidano significativamente sulla loro persona; rileva altresì l’art. 21, che consente agli interessati di opporsi al trattamento, garantendo tutela contro possibili discriminazioni o arbitrii derivanti dall’uso di algoritmi decisionali; nonché l’art. 25, circa l’obbligo di integrare la protezione dei dati fin dalla progettazione dei sistemi (cd. “privacy by design”).
(3) Per approfondimenti, cfr. A. Mendola, “Intelligent” automation in credit scoring system, in Actualidad Juridica Iberoamericana, n. 20, febbraio, 2024.
(4) Cfr. EBA, Guidelines on loan origination and monitoring, EBA/GL/2020/06; Dir. (UE) 2023/2225 sul credito al consumo.
(5) Cfr. CGUE, 27 febbraio 2025, C-203/22. La Corte ha stabilito l’obbligo per il titolare del trattamento di fornire informazioni relative alla “logica utilizzata” dagli algoritmi, e ciò anche al fine di garantire l’effettivo esercizio dei diritti previsti dall’articolo 15, lett. h, e dall’art. 22, paragrafo 3 del GDPR. La sentenza precisa che non risulterebbe sufficiente una mera comunicazione circa il funzionamento dell’algoritmo in formula matematica, di difficile comprensione per la quasi totalità degli interessati.
(6) Lo strumento rappresentato dalla LIA discende dalle best practices tracciate dal dal Working party 29, nella “Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC” del 9 aprile 2014, e dall’Information Commissioner’s Office nella “Guidance on legitimate interests”.
(7) Per un’analisi più estesa, si rinvia a C. Silvano, La nozione di “decisione completamente automatizzata” sotto la lente della Corte di Giustizia: il caso Schufa, in Rivista Interdisciplinare sul Diritto della Amministrazioni Pubbliche, fascicolo 4/2024. Inoltre, Pietrella, S. Racioppi, Il credit scoring e la protezione dei dati personali: commento alle sentenze della Corte di giustizia dell’Unione europea del 7 dicembre 2023, in Rivista italiana di informatica e diritto, periodico internazionale del CNR-IGSG, n.1 2024
(8) Si veda, tra gli altri, C. Novelli, L’Artificial Intelligence Act Europeo: alcune questioni di implementazione, in Federalismi, gennaio 2024.
(9) Per approfondimenti, v. University of Southern California, New test reveals AI still lacks common sense, su Science Daily. 18 novembre 2020, e i più recenti studi presso il Massachusetts Institute of Technology, tra i quali si segnala F. Ilievski, Human-Centric AI with Common Sense, 2024, Ed. Springer.
