skip to Main Content

IA e negoziazioni bancarie: la gestione dei dati nella valutazione del merito creditizio. Intervista al Prof. Massimo Proto

 

Massimo Proto, Ordinario di Diritto privato, è di ruolo presso l’Università degli Studi Link di Roma, dove tiene l’insegnamento di Diritto civile. Tiene altresì l’insegnamento di Diritto privato presso il Dipartimento di Giurisprudenza e presso il Dipartimento di Impresa e Management della Luiss.

E’ autore di monografie e articoli, apparsi su riviste italiane e internazionali, in materia di diritto privato, ordinamento sportivo e diritto delle nuove tecnologie.

 

Il Prof. Massimo Proto

 

Sotto quali profili i rapporti bancari sono coinvolti dai mutamenti recati dall’IA?

La digitalizzazione dei beni e dei servizi non è limitata al settore dell’informatica e delle telecomunicazioni, ma ha cambiato e sta cambiando la struttura e il funzionamento di tutti i mercati, come pure i comportamenti dei consumatori. Questo processo coinvolge anche il settore bancario, dove l’innovazione tecnologica ha determinato lo sviluppo di nuove forme di attività e nuovi operatori, i quali stanno radicalmente mutando la fisionomia del mercato bancario.

Di fronte a questi mutamenti, si pone per il giurista il problema di verificare la ‘tenuta’ delle tradizionali regole che governano il rapporto obbligatorio. Ciò che accade in innumerevoli ipotesi: ad esempio, con riguardo alla trattativa automatizzata e agli smart contract (dove l’accordo, insieme alle relative informazioni, è tradotto in un programma informatico che ne consente la ‘inevitabile’ autoesecuzione); o con riferimento alla contrattazione a distanza di criptovalute (la cui qualificazione richiede un confronto con antichi e delicati concetti, come quelli di ‘moneta’ e ‘valuta’) e al così detto peer-to-peer lending (sistema di microprestito online, direttamente tra privati, che consente la disintermediazione nel processo di erogazione dei mutui e l’abbattimento dei costi di struttura e di intermediazione). Peraltro, il sistema di microprestito online difficilmente può fare a meno di sviluppare accordi di collaborazione con gli operatori finanziari istituzionali per individuare modelli innovativi di valutazione del merito creditizio. E la valutazione del merito creditizio (inteso come capacità, in capo al potenziale debitore, di rimborsare l’importo ricevuto in prestito) rappresenta uno degli ambiti in cui sono state maggiormente esplorate le potenzialità delle tecniche di intelligenza artificiale.

 

In quale misura l’IA incide sulla valutazione del merito creditizio?

L’apprezzamento della capacità in capo al potenziale debitore di rimborsare l’importo ricevuto in prestito è stato gestito in passato con estrema discrezionalità dagli intermediari, abituati a fondare la loro decisione più sulla fiducia che su un’analisi scientifica. Nel tempo, tuttavia, sono state introdotte disposizioni normative, soprattutto di derivazione sovranazionale, dirette a procedimentalizzare la verifica del merito creditizio, in ragione dei suoi riflessi sull’efficienza allocativa e sulla stabilità del sistema. Con particolare riguardo ai contratti di credito ai consumatori, la Direttiva 2008/48/CE (destinata a perdere efficacia in conseguenza dell’entrata in vigore della nuova Dir. 2023/2225/UE) all’art. 8 ha previsto l’obbligo di verifica del merito creditizio del consumatore; e il D. Lgs. 141/2010, che ha provveduto a recepirla, ha introdotto l’art. 124-bis del Testo Unico Bancario, il quale riproduce, parola per parola, il richiamato art. 8, con l’aggiunta di un terzo comma, che ha onerato la Banca d’Italia di dettare disposizioni attuative conformemente alle deliberazioni del CICR. Tuttavia, il legislatore nazionale e le Autorità di vigilanza si sono astenuti dal dettare criteri puntuali per regolare la valutazione del merito creditizio, limitandosi a richiamare il principio di “sana e prudente gestione” dell’intermediario, di cui all’art. 5 del TUB.

In questo panorama normativo si è assistito alla recente e crescente diffusione dell’utilizzo, da parte degli intermediari, di algoritmi e tecniche di intelligenza artificiale nella valutazione del merito creditizio. Sulla scia di quanto accade da qualche tempo oltreoceano, la decisione, da parte del potenziale finanziatore, di concedere un prestito è assunta sempre più di frequente attraverso il ricorso ai così detti sistemi algoritmici di credit scoring: sistemi i cui risultati, espressi in forma di giudizi sintetici (indicatori numerici o punteggi), offrono una rappresentazione in termini probabilistici circa il profilo di rischio del soggetto valutato e la sua affidabilità nei pagamenti. I sistemi di credit scoring raccolgono e, con l’ausilio di metodi statistici, analizzano un’ampia gamma di dati, tanto strutturati (indicatori di mercato sull’andamento dei pagamenti, indicatori socio-demografici) quanto non strutturati (dati di navigazione, informazioni conferite sui social network), restituendo un’immagine finanziaria di chi ambisca a ottenere un mutuo più ampia e completa rispetto quella costruita attraverso gli strumenti conosciuti sino a qualche tempo fa.

 

Quali sono i benefici e rischi di questo sistema?

I benefici derivanti dall’impiego degli algoritmi sono legati innanzitutto alla maggiore accuratezza di tali sistemi, rispetto a quelli tradizionali, nel misurare l’affidabilità del richiedente. E questo grazie alla vasta gamma di variabili analizzate, in ragione dalla capacità degli algoritmi di gestire grandi quantità di dati relativi al soggetto valutato.

Vi sono, tuttavia e al contempo, evidenti rischi derivanti dall’impiego di tali tecnologie.

Si pensi ai dati utilizzati per ‘addestrare’ gli algoritmi che sfruttano l’intelligenza artificiale: ove non adeguatamente controllati, essi possono condurre a indebite discriminazioni. L’individuazione di classi di debitori con caratteristiche omogenee – etniche, religiose o di localizzazione geografica – consente di determinare una tanto generica quanto automatica correlazione tra l’appartenenza a una di tali classi e la valutazione sul merito creditizio. Per esempio, qualora anche solo per errore siano immesse nella macchina decisioni nelle quali alle persone di un determinato sesso o di una particolare etnia viene costantemente negato l’accesso al credito, l’algoritmo chiamato a valutare il merito creditizio potrebbe negare la richiesta proprio sulla base del sesso o dell’etnia del richiedente.

Ancora, discorre di overfitting in relazione alle ipotesi in cui siano immessi nella macchina, e dunque sottoposti all’algoritmo, dati non rappresentativi della popolazione nel suo complesso; con la conseguenza che l’algoritmo non è in grado di ricavare correttamente i criteri che disciplinano i casi analizzati. Ad esempio, può avere luogo overfitting quando l’algoritmo deputato alla valutazione del merito creditizio concentri la propria analisi esclusivamente sulla sussistenza di un requisito per l’accesso al prestito, come l’assenza di segnalazioni a sofferenza, ma non tenga in considerazione ulteriori elementi allo stesso modo rilevanti, come i flussi di reddito del richiedente o il suo indebitamento complessivo.

Vi è, poi, un rischio di opacità, intesa come mancanza di trasparenza, per i soggetti cui i dati si riferiscono, con riguardo alla logica sottesa al funzionamento dell’algoritmo. Accade sovente che il meccanismo di funzionamento di un sistema resti in parte oscuro ai suoi stessi programmatori, i quali non sono in grado di comprendere i criteri che lo hanno guidato nella valutazione; e che, dunque, quei programmatori non sappiano illustrarne la logica al soggetto interessato. Si discorre, in proposito, di black box: la macchina offre decisioni, mantenendo ignoti i processi che le hanno determinate

 

 Quali sono le principali sfide per garantire trasparenza nei processi decisionali automatizzati basati su IA?

Il profilo della opacità merita particolare attenzione perché il principio cui è ispirato l’ordinamento giuridico nazionale ed europeo è invece quello, opposto, della trasparenza del trattamento dei dati. Proprio per questo da tempo i giuristi si interrogano su come sia possibile garantire un grado di trasparenza sufficiente a consentire la conoscibilità dei meccanismi di trattamento, anche di quelli attuati con l’ausilio dell’intelligenza artificiale.

Una importante novità è stata introdotta nel 2016 dal GDPR, il quale ha riconosciuto, al par. 1 dell’art. 22, il diritto dell’interessato “di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. Questa disposizione assegna agli interessati il potere di impedire che il trattamento dei dati personali, anche ai fini della valutazione del merito creditizio, sia rimesso interamente alla macchina senza prevedere il coinvolgimento dell’uomo; con la conseguenza che sarebbe contestabile il mancato finanziamento determinato dalla valutazione negativa del merito creditizio ad opera dall’algoritmo, cui tale decisione fosse stata interamente demandata (anche se in Italia, oggi, diversamente da quanto accade negli Stati Uniti, non vi è ancora un uso del credit scoring algoritmico ‘disumanizzato’: metodi di machine learning sono sì usati, ma a supporto di una valutazione di rischio che resta rimessa all’uomo).

Se il richiamato par. 1 dell’art. 22 del GDPR impone un generale divieto di trattamenti interamente automatizzati il successivo par. 2 introduce alcune deroghe, permettendo al titolare di ricorrere ad algoritmi e trattamenti automatizzati – anche fondati sull’intelligenza artificiale – in taluni specifici casi. E cioè quando, ad esempio, la decisione da assumere sulla base del trattamento automatizzato “sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento” o si fondi “sul consenso esplicito dell’interessato”. In tali ipotesi, dunque, sarebbero ammessi trattamenti interamente automatizzati. Queste deroghe potrebbero consentire agli intermediari bancari di valutare il merito creditizio – dunque decidere in ordine alla opportunità di concludere un contratto di mutuo – ricorrendo legittimamente a trattamenti del tutto automatizzati.

Ma una deroga che, con il consenso esplicito dell’interessato, permetta il ricorso a procedimenti algoritmici completamente automatizzati, induce a chiedersi quando il consenso possa reputarsi liberamente prestato, quale sia il livello di trasparenza necessario al fine di reputare fornita all’interessato un’idonea informazione per raccogliere il suo consenso.

 

Come si può assicurare, allora, che il consenso esplicito dell’interessato sia realmente informato e libero?

Sulla necessità del consenso dell’interessato al trattamento automatizzato si è soffermata la Cassazione nel 2021.

Con l’ordinanza n. 14381 del 25 marzo, la Suprema Corte – in relazione a una piattaforma telematica volta a determinare il ‘rating reputazionale’ di determinati soggetti al fine di contrastare la creazione di profili web artefatti o inveritieri – ha sottolineato come la valutazione circa la liceità di un trattamento automatizzato fondato sul consenso debba tenere in considerazione tutti gli elementi che abbiano influito sulla deliberazione dell’interessato; e dunque come, al fine di consentire un’efficace manifestazione del consenso al trattamento automatizzato, sia necessaria la preventiva conoscibilità dello schema seguito dall’algoritmo per giungere alla decisione.

La linea è stata confermata due anni più tardi quando la Cassazione – investita nuovamente del tema a valle della decisione assunta nel giudizio di rinvio successivo alla prima pronuncia – ha ribadito, con la decisione n. 28358 del 10 ottobre 2023, come, affinché il consenso possa reputarsi liberamente prestato, occorre che l’interessato “sia in grado di conoscere l’algoritmo, inteso come procedimento affidabile per ottenere un certo risultato o risolvere un certo problema” e che tale procedimento sia “descritto all’utente in modo non ambiguo ed in maniera dettagliata, come capace di condurre al risultato in un tempo finito”.

Non occorre – ha precisato la Suprema Corte – che il linguaggio matematico, nel quale è tradotto il ‘procedimento’, sia comprensibile agli interessati: è necessario, piuttosto, che siano ‘in chiaro’ i dati di partenza, dai quali i programmatori traggono le sequenze e le istruzioni da consegnare alla macchina.

La Suprema Corte, dunque, non ha contestato la legittimità di sistemi di valutazione (anche in ordine alla affidabilità creditizia di individui e imprese) fondati sull’intelligenza artificial. Piuttosto, essa ha riconosciuto il diritto dell’interessato di ottenere informazioni sulla logica seguita da tali sistemi, tanto nelle ipotesi in cui la decisione sia fondata “unicamente sul trattamento automatizzato” ai sensi dell’art. 22, par. 1, GDPR, quanto nelle ipotesi in cui il risultato del trattamento automatizzato sia poi ‘riesaminato’ da un essere umano.

 

I recenti interventi del legislatore europeo vanno in questa direzione?

Sul piano della disciplina normativa, due importanti risposte al dubbio su quando il consenso a procedimenti algoritmici completamente automatizzati possa reputarsi liberamente prestato provengono dalla Direttiva (UE) 2023/2225 del 18 ottobre 2023, in tema di contratti di credito ai consumatori, e dal Regolamento del 21 maggio 2024, volto a stabilire “regole armonizzate sull’intelligenza artificiale”.

La prima si preoccupa di risolvere i problemi legati alla trasparenza delle valutazioni del merito creditizio effettuate con tecniche di intelligenza artificiale. E lo fa innanzitutto assegnando ai consumatori il diritto di ottenere un nuovo esame ‘umano’ della decisione algoritmica e, comunque, la spiegazione della logica seguita attraverso il trattamento automatizzato.

Ancora più incisivo è il Regolamento, che qualifica i sistemi per la valutazione del merito creditizio attraverso l’intelligenza artificiale come ad ‘alto rischio’, con conseguenti requisiti dei quali essi devono risultare muniti e obblighi gravanti sui relativi ‘fornitori’ e ‘deployer’: intesi, gli uni, come coloro che sviluppano e immettono nel mercato tali sistemi; gli altri, come coloro (ad esempio banche e intermediari) che ne fanno uso sotto la propria autorità e nello svolgimento di un’attività professionale. Mi limito a richiamare l’art. 13, il quale precisa che i sistemi di IA ad alto rischio, dunque anche quelli di credit scoring, sono progettati e sviluppati in modo tale da garantire che il loro funzionamento sia sufficientemente trasparente da consentire ai deployer (nel nostro caso, banche e intermediari che utilizzino l’algoritmo di credit scoring) “di interpretare l’output del sistema e utilizzarlo adeguatamente”, anche al fine di offrire agli interessati, come prescritto dal successivo art. 86, idonee spiegazioni “sul ruolo del sistema di IA nella procedura decisionale e sui principali elementi della decisione adottata”.

Quando, tra un paio di anni, il Regolamento troverà applicazione, l’ordinamento europeo sarà in grado di imporre un adeguato livello di trasparenza per l’interessato, anche impedendo l’uso dell’algoritmo nelle ipotesi in cui la logica da esso seguita non sia conosciuta dal titolare del trattamento.

Il legislatore europeo è parso cogliere l’esigenza avvertita dai giudici della Suprema Corte. Qualsiasi decisone rimessa alla macchina algoritmica circa la affidabilità creditizia esige il consenso preventivo dell’interessato; e tale consenso è validamente espresso soltanto qualora consapevole in ordine alla logica seguita dal sistema. Se la logica è ignota a chi faccia uso del sistema e il finanziatore non sia in grado di comprendere il procedimento seguito dalla macchina per apprezzare il merito creditizio, il soggetto esposto alla valutazione non avrà elementi per esprimere il proprio consenso informato.

La soluzione di impedire che la macchina mantenga ignoti i procedimenti da cui è governata, si mostra senz’altro efficace al fine di limitare l’opacità nella valutazione del merito creditizio. Quella medesima soluzione, tuttavia, dischiude un ulteriore e diverso problema: vi è il pericolo che l’ampia trasparenza circa la logica dell’algoritmo ne mini l’utilità. I sistemi intelligenti, che registrano e calcolano, inevitabilmente inducono gli individui a costruire reti protettive; si pensi al richiedente un prestito, preventivamente posto a conoscenza del meccanismo di funzionamento e degli elementi presi in considerazione dall’algoritmo cui è demandata la valutazione del merito creditizio, e che, al fine di evitare una valutazione negativa, fornisca informazioni non veritiere in relazione a uno o più dei parametri utilizzati dall’algoritmo. Minore è l’opacità del sistema, maggiore è la possibilità che la valutazione compiuta dall’algoritmo si riveli inaffidabile, soprattutto con riguardo a coloro che dispongono dei vantaggi offerti dall’istruzione e dall’esperienza. Il rapporto tra l’uomo e la macchina è ancora denso di questioni da risolvere.

 

 

Back To Top