Fintech e Diritto

Il 10 maggio 2018 si è tenuta l’Inaugurazione del Corso di Alta Formazione per gli Amministratori e gli Organi di controllo delle imprese bancarie, organizzato dall’Associazione Bancaria Italiana e da ABI servizi, che, quest’anno, è dedicata al tema “Fintech e diritto”.

L’incontro ha rappresentato l’occasione per esaminare gli ultimi sviluppi in materia del binomio finanza e tecnologia, ed è stato presieduto da Giovanni Sabatini (Direttore generale ABI). Ha coinvolto esperti del settore ed i rappresentanti delle Autorità, in particolare: Antonio Patuelli (Presidente ABI), Paolo Ciocca (commissario Consob), Giovanni Pitruzzella (Presidente Autorità garante della concorrenza e del mercato), ed Antonello Soro (Presidente autorità per la protezione dei dati personali).

Ha aperto i lavori Giovanni Sabatini, Direttore generale ABI, che ha innanzitutto illustrato la centralità del tema Fintech, segnalando che negli ultimi diciotto mesi varie autorità hanno prestato attenzione all’applicazione della tecnologia ai servizi finanziari. Il Corso di Alta Formazione nasce dall’esigenza di accostare al fatto economico una cornice giuridica e regolamentare che assicuri la certezza del diritto.

Successivamente, è intervenuto il Presidente dell’associazione, Antonio Patuelli, che ha sottolineato come ad oggi finanza e tecnologia siano in continua evoluzione, e questo comporta lo sviluppo di potenzialità e nuove libertà senza più confini fisici in quanto si configura un mercato unico globale e sempre più aperto, dove le dimensioni sono allargate all’infinito. Ma per sussistere, il mercato, oltre che aperto deve essere garantito, cioè inquadrato in norme e controlli che assicurino la certezza del diritto e limitino gli abusi ed i fatti illeciti. Soprattutto, a fronte del fatto che le tecnologie oggi permettono un grande scambio di dati, a prescindere da quale sia la consapevolezza delle parti. I processi di digitalizzazione forniscono infiniti spazi di libertà ed efficienza nel mercato, ma questi sono pari alle possibilità di illeciti. Efficienza e garantismo devono dunque camminare insieme, altrimenti viene meno la certezza del diritto e si aprono spazi ad atti illeciti (quali il riciclaggio di denaro, le esportazioni di capitali, il finanziamento al terrorismo tramite la finanza ombra etc.). Fintech ed il diritto sono strettamente e indissolubilmente collegati tra loro. Ad oggi il diritto segue le scoperte, ma l’esigenza è che sia tempestivo ed efficace con norme generali ed astratte per contrastare le nuove forme di reato e garantire la legalità anche negli spazi virtuali. Quello che è rilevante segnalare è che vi sono numerose norme generali ed astratte che sono nate in un contesto anteriore all’evoluzione digitale e che possono già applicarsi. Ad esempio, vanno applicate agli atti giuridici nella rete le norme di diritto penale che non sono legate alla materialità. La Costituzione italiana, all’art 15, disciplina i principi di libertà e segretezza della corrispondenza come principi inviolabili. Le banche, che in Italia ed in Europa sono all’avanguardia in tema di innovazione tecnologica, sono intenzionate a proseguire il percorso di legalità nelle innovazioni presenti e future.

Segue l’intervento di Paolo Ciocca (Commissario CONSOB). Secondo quest’ultimo, nel delineare il rapporto tra Fintech e diritto nel campo dei servizi finanziari, è necessario attraversare tre tappe: 1) l’incrocio tra mercato dei dati e mercato finanziario; 2) le sfide regolamentari europee; 3) le conseguenze ed attese che si presentano per la vigilanza finanziaria. In primo luogo, è opportuno chiarire che Fintech è molte cose diverse fra loro. Fintech comprende nuove tecnologie applicate al mondo della finanza, tecniche di big data analysis, robot advice per la consulenza, sistemi di contrattazione automatica, chatbox che interagiscono con i clienti, sistemi di blockchain e smart contracts. Fintech è anche più di questo, è la progressiva convergenza del mondo dei dati con il mondo della finanza. Un mondo quest’ultimo sicuramente conosciuto; meno conosciuto invece risulta essere il mondo dei dati. Per comprenderlo, bisogna rendersi conto innanzitutto che siamo all’interno di una vera rivoluzione. Con lo sviluppo di Internet of Things e della Industry 4.0, entro 10 anni avremo macchine intelligenti che apprenderanno da e comunicheranno con altre macchine; ci saranno 150 miliardi di sensori connessi tra di loro. La quantità di dati disponibili raddoppierà ogni 12 ore (oggi, questo avviene ogni 10 mesi). Al momento, circa 5 miliardi di persone hanno un dispositivo cellulare. La quantità di dati prodotti e scambiati in un anno è pari a circa 6 Zetabyte. Tra un anno, sarà di oltre 1 Yottabyte. L’intelligenza artificiale interviene su questi dati, ed è capace di correggersi in autonomia per migliorare continuamente. Il 20% delle notizie disponibili è prodotto automaticamente, il 70% delle operazioni finanziarie è già automatizzato. L’avvento della tecnologia quantistica determinerà un salto fondamentale nella capacità di calcolo con effetti dirompenti in termini di capacità di elaborare i dati. Non è un caso che l’Unione Europea abbia investito 1 miliardo di euro su un progetto di ricerca flagship proprio su questo aspetto. Nell’analizzare le caratteristiche del mercato dei dati, si può poi osservare che questo è composto da un numero notevole di elementi puntuali che coscientemente o meno forniamo online in ogni momento della nostra vita: dai like inviati su determinate piattaforme, alle informazioni inviate dai geo-localizzatori. Queste informazioni vengono ulteriormente analizzate per produrne di nuove, ad esempio per prevedere comportamenti futuri individuali o collettivi. I dati stessi e le loro analisi sono quindi oggetto di uno scambio economico nel mercato. Il mercato dei dati è altresì caratterizzato da asimmetrie informative, riguardanti la percezione del valore economico del dato, spesso fornito gratuitamente in maniera più o meno consapevole dal consumatore o investitore. La differenza rispetto ad altri mercati sta nell’oggetto di questo mercato: il valore del bene scambiato (il dato) dipende dal contenuto informativo dello stesso. Il valore ha una scala di variazione quasi infinita. Inoltre, il valore per effetto dell’asimmetria informativa può essere percepito molto diversamente da parte dei due contraenti. Al proposito, la regolazione si prende in carico la protezione della parte più debole: il cosiddetto empowerment dell’utente finale è tra i fondamenti della disciplina europea. Nel mercato dei capitali, la valutazione dei beni e servizi è assolutamente allineata grazie al progressivo intervento della regolazione. A fronte di queste differenze, vi è una importante caratteristica che è comune ai due mercati: la fiducia. In entrambi i mercati, la fiducia nel valore della moneta o dell’investimento o nel corretto uso del dato personale è un elemento indispensabile affinché gli attori possano partecipare correttamente alle dinamiche dei mercati stessi. La fiducia è un impegno primario per gli intermediari dei due mercati. La mancanza di fiducia crea un effetto esiziale e definitivo sia per i partecipanti sia per il mercato stesso. Tuttavia, nel mercato dei dati, ed a differenza del mercato dei capitali, manca un quadro regolamentare globale di principi generali. Mentre il mercato internazionale dei capitali e la sua comunità hanno creato un sistema di backstop in caso di crisi del sistema, altrettanto non può dirsi nel mercato dei dati. Il mondo della rete viene visto come altamente vulnerabile agli attacchi. Un secondo punto attiene poi alle sfide ed opportunità nel contesto dell’UE. Molte sono le novità in materia di intersezione tra dati e finanza. Ad esempio, la General Data Protection Regulation è di prossima entrata in vigore. Qui, vengono ristabiliti alcuni principi generali e fondamentali, quali la definizione delle finalità, la minimizzazione dei dati, la limitazione e la sicurezza nella conservazione. Questi principi sono ora attuabili direttamente ed ugualmente in 28 paesi. La GDPR in questo senso rappresenta sul mercato dei dati un cambio dello scenario con effetto globale ben oltre i confini regionali europei. Inoltre, la Payment Service Directive 2 è entrata in vigore a inizio 2018. In merito, verrà permesso l’accesso a terze parti, autorizzato dal risparmiatore, al complesso dei dati finanziari. In altri termini, a soggetti già presenti sul mercato dei dati od a nuovi soggetti saranno accessibili quei dati che oggi sono patrimonio esclusivo degli intermediari finanziari. La disponibilità di questi dati, correlata alle altre informazioni disponibili, permette una piena profilazione del singolo utente, consumatore o risparmiatore. Da questo incrocio, emerge per gli intermediari una sfida od un’opportunità. Nel momento in cui nuovi attori si affacciano sul mercato, chi da sempre ha offerto sicurezza, cioè fiducia nelle sue varie forme, vede nel GDPR l’opportunità di verificare e aggiornare il proprio patrimonio informativo. Questo vale sia per gli intermediari bancari e finanziari classici, ma anche per la consulenza finanziaria, che proprio grazie all’accesso ai dati dei risparmiatori può sviluppare in questo campo nuove forme di intermediazione indipendente. La condizione perché questa occasione venga colta è un approccio orizzontale al proprio patrimonio informativo. Vedere la GDPR esclusivamente in termini di compliance può rivelarsi un errore. La GDPR è per l’incumbent un’opportunità di recuperare il terreno perso nella gestione dei dati in proprio possesso. Punto terzo: la rivoluzione in atto abbraccia tutti i campi della finanza, le strutture di mercato, gli intermediari, gli investitori e consulenti. Ed abbraccia tutte le funzioni connesse alle diverse fasi di investimento: la profilazione in fase di offerta, la consulenza, la gestione della contrattazione, la customer relation, le funzioni di controllo, la corporate governance. Quale ruolo deve svolgere un’autorità di vigilanza in questo contesto di cambiamento? L’obiettivo strategico deve essere il mantenere saldi gli ancoraggi ai principi economici che sono alla base dell’azione di vigilanza: la correttezza delle azioni, la trasparenza delle condizioni, l’allineamento informativo delle parti, la lotta agli abusi. Il tutto in un quadro regolatorio definito a livello regionale e globale. La Consob deve quindi concorrere pro-attivamente alla definizione del quadro regolatorio, ai suoi diversi livelli, con attenzione al corretto sviluppo del mercato, tenendo anche in considerazione l’accesso di nuovi entranti ed il level playing field con gli incumbents. Allo stesso tempo, la commissione deve stare là dove l’investitore incontra l’offerente di un servizio o di un prodotto finanziario, per verificare la corretta informazione. In questo, la commissione ha strumenti di product governance e product intervention, all’interno del campo dell’enforcement. Purtroppo, è forte la tentazione di approfittare di una presunta novità per mascherare invece una nuova frode. Sono quindi necessarie anche collaborazioni istituzionali, volte a realizzare una convergenza di azioni tra le varie autorità indipendenti e l’autorità giudiziaria. Infine occorre sviluppare soluzioni di regtech, per fornire all’autorità strumenti operativi per svolgere la propria azione di vigilanza anche nel nuovo contesto. Sono soluzioni tecnologiche, e lo sviluppo di questi strumenti deve essere l’occasione per svolgere anche un ruolo di sistema, a raccolta delle migliori forze del paese, ad esempio nella ricerca operativa in campo tecnologico. Questa azione è essenziale in un mondo che vede l’innovazione emergere in maniera libera e decentrata dal mondo Tech, con il settore Fin che verifica successivamente il trasferimento delle tecnologie ai modelli business. In questo senso, le autorità possono concorrere a posizionare il sistema nazionale nel panorama competitivo globale. L’innovazione tecnologica sarà infatti il fondamento della nuova piazza finanziaria. Come in ogni momento di passaggio, la vita ci presenta opportunità e sfide. La sfida di oggi è determinante per la comunità finanziaria. I mercati, come li conosciamo oggi, non saranno più gli stessi. E ciò avverrà in un arco di tempo molto breve. Qui sorge la responsabilità dei regolatori indipendenti. Anche le innovazioni, i prodotti e le piattaforme più complesse ed innovative da ultimo rispondono alle leggi economiche che sono alla base dello scambio. Compito del regolatore è comprendere senza pregiudizi gli elementi di innovazione, e di permettere una crescita collettiva della conoscenza, perché questa si rifletta positivamente in mercati più ampi liquidi e trasparenti.

La parola viene poi presa da Giovanni Pitruzzella, Presidente dell’AGCM. Quest’ultimo ha sottolineato innanzitutto come sia in atto una grande trasformazione che cambierà in modo importante la fisionomia della nostra economia. Viene ricordato che l’AGCM ha sottoscritto un protocollo d’intesa per l’istituzione di un comitato di coordinamento per Fintech, voluto dal Ministero dell’Economia e delle Finanze. Al protocollo aderiscono varie autorità (Consob, IVASS, Agenzia delle Entrate, Garante per la Protezione dei Dati Personali). Il comitato dovrebbe favorire l’elaborazione di una visione complessiva e condivisa su Fintech. Stante la situazione di cambiamento sul piano finanziario-tecnologico, è fondamentale avviare una sinergia tra le varie istituzioni, elaborando una visione comune per guidare la competitività del paese e garantire la certezza del diritto. Le banche e gli intermediari finanziari sono sempre stati avvezzi all’innovazione tecnologica, ma questa volta ci troviamo di fronte alla quarta rivoluzione industriale, basata sul digitale e che attraversa trasversalmente tutti i settori economici. La velocità di questo cambiamento può essere rappresentata con l’esempio dello smartphone, nato nel 2007, che ha cambiato radicalmente il modo di funzionamento di settori economici fondamentali. Stiamo assistendo ad una crescita esponenziale del numero di soggetti che operano nel settore bancario. Ora abbiamo società nuove che operano nel Fintech, che sviluppano nuove forme di attività e nuovi meccanismi di rapporto con le banche e col consumatore. Definire il fenomeno del Fintech è comunque difficile: Fintech include tutte quelle realtà che attraverso nuove tecnologie rendono più efficaci i servizi finanziari, o creano nuovi o più sofisticati prodotti e servizi (pagamenti digitali, gestione automatizzata di conti correnti, Crowd funding, prestiti peer to peer, cripto valute). In questo modo però è la stessa catena del valore che tende a frantumarsi, perché gli operatori si focalizzano solo su alcuni segmenti della filiera, ossia i pagamenti. Tutto ciò presenta comunque un’opportunità per l’economia, per i consumatori che possono avere servizi di alta qualità a più basso costo, per le imprese che potranno accedere ad una più vasta gamma di fonti di finanziamento, per gli stessi intermediari tradizionali che attraverso il ricorso alla tecnologia potranno rafforzare la loro efficienza. Ma le sfide, dal punto di vista delle banche e delle istituzioni pubbliche, sono diverse, anche perché il quadro normativo si sta evolvendo per favorire questo tipo di attività (si pensi alla Payment Service Directive, recepita in Italia nel 2018, che già prevede la possibilità di accesso al conto corrente a terzi oltre la banca – ossia, il cliente può autorizzare un terzo ad accedere al proprio conto senza che la banca possa intervenire). Per le autorità di concorrenza, ci sono due problemi opposti. Da un lato, gli operatori tradizionali potrebbero bloccare l’innovazione (l’incumbent blocca l’innovazione che produce vantaggi in termini di progresso sociale). Su questo l’autorità di concorrenza deve vigilare, anche quando il problema si realizza attraverso dei processi di acquisizioni che bloccano l’innovazione. Una fattispecie su cui c’è ancora impreparazione, poiché gli interventi antitrust sulle concentrazioni sono di solito basati sui fatturati. Ma le concentrazioni nel mondo digitale sono concentrazioni che si sviluppano in chiave preventiva. Si pensi alle acquisizioni da parte dei giganti del tech mondiale. Bisognerebbe rivedere la normativa, in modo da permettere alle autorità di concorrenza di intervenire anche sulla base del valore economico dell’operazione, al di la delle soglie di fatturato. Altro tema poi riguarda il fatto che i nuovi servizi finanziari non vengono solo prodotti ed erogati da start up che interagiscono con le banche o da banche che sviluppano queste innovazioni; sullo sfondo ci sono le Big Four, i giganti tech del web, (ossia Amazon Facebook Google Apple, che diventano Big Six con Alipay e Microsoft nel settore del credito). Qui abbiamo dei soggetti che hanno un potere di mercato notevole in determinate aree, e che fanno leva su questo potere per occupare anche altri settori. Questo può realizzarsi attraverso gli effetti di rete, dove con l’aumentare dei soggetti che operano su lati diversi della piattaforma aumenta lo stesso valore di quest’ultima. Ciò si aggiunge agli aspetti che caratterizzano il mondo dei Big Data. Oggi il potere di mercato si definisce non solo in termini di quote di mercato detenute, ma anche in base alla capacità di ottenere masse di dati enormi. Ebbene, occorre evitare che chi ha grande potere di mercato -  per quanto detto sugli effetti di rete - abusi della sua posizione dominante a discapito di industrie tradizionali. In sintesi, è necessario muoversi sui due menzionati fronti: preservare l’innovazione, ed evitare gli abusi. Si pensi in Europa al caso Google, dove la Commissione ha sanzionato l’impresa statunitense perché questa faceva leva sul quasi monopolio detenuto nel settore dei motori di ricerca generalisti per valorizzare un motore di ricerca specializzato, ossia Google Shopping. Questi fenomeni sono enormemente frequenti nel mondo di oggi, e quindi serve essere attrezzati e nutrire una maggiore fiducia verso le autorità antitrust. Abbiamo poi un altro fronte, che riguarda la tutela del consumatore. E’ un aspetto diverso dal settore della tutela della concorrenza ma che è altrettanto importante. Al riguardo, va detto che i mercati dei dati e dei capitali sono diversi, ma sono accomunati – come anche evidenziato da Ciocca - dall’importanza dell’elemento della fiducia. La fiducia è alla base di un sistema bancario e finanziario che funzioni. Il problema è che oggi il mercato non produce solo vantaggi, ma nel mercato per la ricerca del profitto è insita la frode e l’inganno, attraverso lo sfruttamento delle debolezze psicologiche del consumatore e delle asimmetrie informative. In altri termini, sussistono possibilità di sfruttamento del consumatore, e da ciò deriva la necessità di intervento dell’autorità a tutela del consumatore. L’AGCM si distingue nel panorama delle autorità per il perseguimento di obiettivi di tutela sia della concorrenza che del consumatore, in particolare nel settore del web. Insomma, Fintech significa accumulare quantità di dati. Il tema dei Big data è centrale nelle attività delle autorità antitrust. Le economie dei Big Data tuttavia alterano la funzione propria della definizione del mercato rilevante. Questi soggetti passano da un settore all’altro, facendo si che il mercato rilevante diventi sempre meno rilevante. Bisogna in ultima istanza tenere in considerazione un’area molto più estesa. Il tema dei Big Data è correlato direttamente alle problematiche sul trattamento dei dati personali e sulle pratiche commerciali scorrette. Per affrontare questi temi, al riguardo, le autorità devono operare sinergicamente senza barriere. C’è un’interferenza tra normative diverse in Italia e va superata attraverso grandi doti di equilibrio. A tutto ciò si aggiunga che il fenomeno Fintech concerne anche i dati delle imprese. La nuova frontiera riguarda allora l’uso di algoritmi per realizzare collusioni in cui non c’è l’uomo; in altre parole, la collusione viene fatta dall’algoritmo (ad esempio, nel settore della vendita di biglietti aerei). In conclusione, è certo che il settore bancario ha subito negli ultimi tempi notevoli perdite in tema di redditività. E’ il grande problema del settore, ossia come mantenere margini di rendimento di fronte alle trasformazioni che ci sono state. In questo senso, Fintech rappresenta una sfida ulteriore.

Successivamente, è intervenuto Antonello Soro, Presidente dell’Autorità per la protezione dei dati personali, sostenendo che la rivoluzione digitale è stata a lungo sottostimata e lasciata all’esclusiva responsabilità dei gestori delle piattaforme digitali. Ormai si è sviluppato un nuovo potere fondato sull’uso intensivo dei dati, che circolano a velocità inarrestabili e che comporta una diffusione delle informazioni tale da creare una conseguente straordinaria capacità nella ricerca e nello stoccaggio delle stesse informazioni. L’economia che è cresciuta in questi anni è quella fondata sui dati, ma la protezione dei dati è stata inizialmente considerata residuale, marginale e per questo – forse – ci si è mossi in ritardo. Si auspica che, come in tutte le grandi rivoluzioni, ci sarà un momento nel quale, passata la fase di affannoso inseguimento da parte del diritto, si riuscirà a trovare il modo di governare tale innovazione. Ormai, moltissime nuove imprese sono entrate in questo panorama e sono diventate le protagoniste di questa nuova esperienza. Fra queste, i principali, e sui quali va posta l’attenzione, sono i big tech che, grazie ad una disponibilità gigantesca di dati (e quindi di potenza di calcolo), hanno un enorme vantaggio competitivo rispetto agli intermediari tradizionali. Essi sono infatti i più forti detentori del potere di profilazione che ad oggi costituisce la risorsa strategica essenziale e decisiva per lo svolgimento delle attività nel settore Fintech. Le tecniche dei big data favoriscono la personalizzazione dei servizi favorendo una stima più accurata dei fattori di rischio e delle esigenze dei consumatori, ma, allo stesso tempo, queste stesse tecniche possono avere degli effetti negativi (ad esempio, per i consumatori con profili di rischio più elevati e per le imprese che hanno una limitata attività online). Inoltre, è opportuno considerare che le previsioni effettuate dai big data possono essere errate per errori o preconcetti insiti negli algoritmi (questi infatti non sono neutri bensì sono un prodotto in forma matematica di una conoscenza che detiene colui che li ha progettati). La profilazione può portare, di conseguenza, ad una decisione erronea che produrrebbe impatti negativi sui singoli individui: i consumatori sono incentivati a migliorare online il proprio rating score e le imprese a manometterlo (es. reputazione di un ristorante). Ma se si incide nel rapporto tra assicurato/assicuratore e debitore/creditore la violazione è fortissima e con effetti dirompenti. Occorre chiedersi quali siano le incognite sul profilo dati personali, in particolare riguardo ai meccanismi di funzionamento dei market place (canali di intermediazione diretta) dove gli operatori Fintech effettuano attività di ranking scoring del profilo di rischio, del grado di solvibilità, dell’adeguatezza, orientando le scelte sia degli investitori che degli utenti, senza tuttavia assumersi alcun rischio. Si configura da un lato il problema relativo alla completezza ed alla attendibilità della fonte di dati utilizzata, e dall’altro il problema della correttezza dell’utilizzo della loro elaborazione e della trasparenza delle operazioni. Il rischio che si configurino comportamenti fraudolenti della clientela aumenta con lo sviluppo degli algoritmi (e per il singolo consumatore è difficile intuire la logica sottostante). I gestori del potere di profilazione sono quelli che, avendo accumulato la quantità più elevata di dati al mondo, hanno la possibilità di investire nel settore digitale. Non vanno dimenticati i rischi di frode in questo settore, anche in relazione a quelli che possono essere comportamenti scorretti e fraudolenti della clientela e dei terzi a danno dei fornitori di servizi Fintech (ad es., le autenticazioni con falsa identità e l’indebito impossessamento di dati). Altri profili che vanno considerati, trattando l’intensità della digitalizzazione dell’attività finanziaria, sono quelli legati alla cyber security che potrebbe incidere in termini di compromissione della continuità operativa di un’impresa. I dati personali degli utenti sono suscettibili di essere trasferiti verso terzi fornitori di servizi (cloud computing) e, in merito, va richiamato il recente caso Cambridge analytics. Soro si chiede se un simile scandalo si potrebbe verificare in ambito di servizi Fintech. Cosa potrebbe produrre la vulnerabilità di un sistema per sua natura tendenzialmente già vulnerabile? Altre criticità riguardano il grado di robustezza delle procedure digitali di identificazione dei clienti e le procedure finalizzate ad una adeguata conoscenza delle forme attraverso le quali viene protetto il sistema, che è sempre più interconnesso. Guardando al mercato in cui operano gli operatori Fintech, occorre rilevare la piena applicabilità delle regole dell’Unione Europea sulla protezione dei dati personali (GDPR): regole uniformi, liceità, trasparenza e correttezza dei dati applicabili a tutti i fornitori di servizi che ne fanno un uso, indipendentemente dal fatto che si tratti di istituzioni finanziarie o attività non regolamentate. Viene così garantito ai cittadini dell’Unione un livello di tutela omogeneo che costituisce il modello fondato sul primato della persona verso il quale anche gli altri ordinamenti vanno via via convergendo (e tra questi si vuole fare riferimento nello specifico al Canada, all’Australia, al Giappone e all’India, in quanto questi paesi hanno fatto proprio un sistema di regole ispirato al modello europeo). La tutela dei dati è fondamentale al fine di proteggere la persona, ma il sistema stesso è oggetto di una nuova regolazione, perché va configurata una nuova regola europea in modo che Fintech e gli operatori tradizionali possano svolgere le loro attività su base paritaria e sia tutelato il principio di neutralità tecnologica e responsabilizzazione dei gestori mediante un approccio di protezione del rischio. Non occorre ripensare la disciplina sulla raccolta e sulla elaborazione di dati personali, ma è necessario cominciare ad applicare quella esistente! Infatti, il nuovo quadro giuridico europeo e quello in materia di cyber security e di identificazione elettronica forniscono una cornice normativa adeguata a fronteggiare i rischi emergenti. Di grande rilevanza è il principio dell’accountability in forza del quale anche gli operatori Fintech devono giustificare l’uso di determinate categorie di informazioni, assicurare che esse siano adeguate e non eccedenti le finalità del loro impiego e, anche, che queste siano aggiornate. I consumatori, oltre a dover dare il consenso esplicito, hanno diritto ad essere informati in anticipo in modo chiaro e accessibile di tutti i possibili usi dei loro dati soprattutto se questi sono destinati ad essere usati per la profilazione, ed in questo caso dovranno essere informati con una spiegazione intellegibile sulla logica sottostante il processo decisionale che ha portato a sviluppare il loro profilo e le conseguenze che ne derivano. Il GDPR afferma che una decisione che produce effetti significativi su una persona qualora sia stata fondata unicamente su un processo automatizzato non potrà essere presa là dove un cittadino faccia opposizione (a meno che non vi sia stato un intervento dell’uomo nella decisione in esame). Gli utenti dei servizi Fintech potranno esercitare in ogni momento il diritto di accesso ai loro dati. Il regolamento richiederà maggiore trasparenza anche da parte delle piattaforme online, ed una crescente attenzione alla qualità dei dati ed alla correttezza del loro uso al fine di garantire una più consapevole valutazione dei servizi ed al fine di favorire la concorrenza dei servizi Fintech, oltre che accrescere il controllo dei consumatori sui dati che li riguardano. Il tema della sicurezza riguarda la tutela in chiave proattiva sulla minimizzazione del rischio: mitigare i pericoli di distruzione o perdita od accesso non autorizzato ai dati. Per questo vengono previsti strumenti di tutela preventivi. Un discorso a parte, ma importante, è quello che riguarda la PSD2 che nasce con l’idea di introdurre specifiche garanzie tenendo ferma la piena applicabilità delle regole riguardo i dati personali per tutti i prestatori di servizi. In particolare, i principi che suscitano preoccupazione sono quelli concernenti i nuovi operatori non bancari (Third Party Providers) che, se autorizzati dal cliente, si inseriscono nel rapporto. Resta ferma la necessità di verificare la legittimità dell’accesso e la non eccedenza dei dati (va tenuto presente che per questi operatori non è obbligatoria la stipulazione di un contratto). Viene, quindi, ridefinito l’accesso ai dati da parte dei TPP per identificare basi giuridiche più adeguate per il trattamento dei dati. Soro ricorda che in merito erano state fatte delle segnalazioni, ma quello che è necessario è un approccio condiviso a livello sovranazionale. Inoltre, in questo contesto, è molto rilevante il fattore reputazionale (si vedano in merito le vicende sopra richiamate - Cambridge analytics), che può rappresentare un importante incentivo per far sì che gli operatori Fintech si adoperino per mostrare come sia centrale agire nel rispetto delle regole, e garantire le stesse cautele di altri operatori tradizionali. Anche perché in caso di uso improprio dei dati, così come in caso di data breach nascosto, si genera una caduta verticale della fiducia (e non solo) con effetti di crisi rapidi, veloci e penalizzanti. Soro afferma che l’intenzione è quella di spingere per codici di condotta volti a facilitare la corretta applicazione delle nuove regole proprie di questo settore. Bisogna guardare al codice del settore di informazione creditizia che propone strumenti concreti. Conclude il suo intervento sottolineando l’importanza di coniugare innovazione, mercato e libertà.

Giovanni Sabatini, sottolineando come ora ci si dovrà interrogare su come conciliare GDPR e PSD2 e rimarcando altresì la necessità di un approccio multidisciplinare in un mondo di fenomeni interconnessi, ha poi passato la parola a Salvatore Rossi, Direttore Generale della Banca d’Italia e Presidente dell’IVASS. Quest’ultimo ha chiuso i lavori ricordando come il tema “Fintech e diritto”, oggetto del corso, sia centrale sia per il futuro delle banche che per quello dei regolatori. L’industria finanziaria è storicamente tra le più aperte all’innovazione tecnologica. Infatti, va segnalato che a lungo ha investito su tecnologie dell’informazione e delle comunicazioni (tendenza che è stata poi interrotta dalla crisi finanziaria). Ad oggi, basti pensare alle tecnologie di pagamento per comprendere come le piattaforme di negoziazione elettronica hanno preso il sopravvento sugli operatori, per tali intendendosi gli operatori umani, nei mercati organizzati. Fintech è diventata la parola che coglie l’idea di radicale cambiamento, che ha e può avere molteplici significati. Fintech è qualunque applicazione delle tecnologie digitali alla finanza. Fintech, come detto, è l’incontro fra il mondo della finanza e quello dei dati, là dove il mondo della finanza è ancora riconoscibile, mentre il mondo dei dati è cambiato in maniera radicale al punto da non essere più riconoscibile (volendo citare alcune di queste applicazioni digitali alla finanza vanno ricordate: il crowd-funding, il peer-to-peer lending, l’automated scoring, la blockchain etc). Ormai si affidano alcune decisioni all’intelligenza artificiale che, mentre da un lato è sempre più efficace, dall’altro è sempre più allarmante. Gli operatori finanziari tradizionali hanno, in questi anni, faticato talvolta a capire la necessità stringente di adeguarsi in fretta ai tumultuosi sviluppi della tecnologia, ed hanno quindi accumulato ritardi anche nei confronti degli stessi clienti. Tuttavia, non si tratta di una moda, e lo hanno capito anche gli operatori che ormai offrono servizi di home banking. Il contatto umano resiste per cose che è difficile trattare in modo automatico come, ad esempio, la concessione di un credito. A questo riguardo, occorre segnalare che la sigla Fintech in origine era stata coniata per designare piattaforme creditizie peer to peer gestite da algoritmo automatico in grado di utilizzare sapientemente i big data. E, come noto, sui big data si fondano i big techs! Le grandi banche europee sono più preoccupate dei big data, che sono oligopolio dei big tech, che non delle piccole piattaforme di peer to peer credit che si potrebbero comprare. Quello del peer to peer è un algoritmo ben strutturato: è più efficiente di un uomo a decidere sul merito di credito di chiunque, ed il prossimo passo sarà il salto tecnologico di quando l’algoritmo in questione sarà in grado di riprogrammarsi autonomamente in cicli rapidissimi ed in maniera ancora più “opaca”. Non sappiamo ancora chi prevarrà. Occorre fare un cenno alla PSD2, la nuova direttiva europea sui pagamenti, che impone alle banche per ragioni di concorrenza di far accedere ai conti (e quindi ai dati) dei propri clienti i payment initiation providers, cioè le nuove imprese che avviano il pagamento direttamente dal conto dell’acquirente. Quello che è centrale è capire cosa vogliono essere le banche nel nuovo scenario: anche se noi tradizionalmente siamo soliti concepirle come intermediari tradizionali, esse sono anche banche d’investimento o gestori di attività d’investimento. La redditività delle banche retail è soggetta ad una duplice pressione: dalla tecnologia (e dal mercato) e dalle regole. Dopo la crisi finanziaria scatenata dall’avventurismo di molte grandi banche americane si è formata una corrente di pensiero e di azione volta a costringere tutte le banche ad avere dei cuscinetti di capitale propri e di disporre di una liquidità molto più alta di prima, che però ha comportato un innalzamento dei costi. Il rischio è quello che Fintech possa rafforzare lo shadow banking. Ne deriva l’importanza fondamentale delle regole cui assoggettare questi operatori. Le regole sono importanti per promuovere l’innovazione da parte di nuove imprese, la cui chiave del successo e la possibilità di sottrarre quote di mercato agli incumbent sta nella fiducia che riescono a conquistarsi presso i consumatori abituati ad avere a che fare con imprese che soggiacciono a schemi normativi precisi e soggetti a vigilanza. I nuovi fenomeni vanno sottoposti ad una forma di regolamentazione, ma senza ostacolare il progresso tecnologico. La futura evoluzione tecnologica, in particolare l’intelligenza artificiale, renderà il concetto stesso di vigilanza sfuggente. Vigilanza su chi e su che cosa? Occorre fare una riflessione in merito. Dall’altro lato, la regolamentazione non dovrà essere troppo rigida altrimenti risulterebbe complessa la compliance con le norme. Se le piccole società Fintech si comportassero come le banche, la loro vivacità innovativa si attenuerebbe. Negli Stati Uniti, dove questo fenomeno è nato, vi è una regolamentazione frammentata, per Stati, e nel complesso restrittiva; nell’Unione Europea, vi sono regole e standard tecnici, ed il Regno Unito ha avuto un atteggiamento benevolo, istituendo sandboxes per un tempo definito in cui godere di parziali deroghe al quadro normativo (comunque nell’Europa continentale l’atteggiamento delle istituzioni è stato in media meno entusiasta che nel Regno Unito). In Italia, è stato istituito il Comitato di coordinamento per il Fintech presso il Ministero dell’Economia e delle Finanze, al quale partecipano anche Banca d’Italia e l’IVASS insieme ad altre autorità; la Banca d’Itala ha aperto sul suo sito web un canale interamente dedicato al Fintech, e l’IVASS ha creato un sandbox dedicato alla tecnologia blockchain. Lo snodo cruciale è rappresentato dal licencing, l’autorizzazione che le autorità di supervisione rilasciano alle imprese che vogliono operare nel settore finanziario.

Al termine degli interventi, il Direttore generale dell’ABI, Giovanni Sabatini, ha preso la parola per chiudere i lavori di giornata ringraziando i relatori ed i presenti per la partecipazione.