Il Regolamento UE sull'IA nel Settore Finanziario: Banche, Assicuratori e Istituti di Credito

Banche, assicuratori, gestori patrimoniali e istituti di pagamento affrontano gli obblighi del Regolamento UE sull'IA sovrapposti alla regolamentazione finanziaria esistente (DORA, MiFID II, GDPR, CRR). Questa pagina spiega quali casi d'uso AI sono ad alto rischio, come i regolatori settoriali interagiscono con il Regolamento sull'IA e cosa devono fare gli istituti finanziari per conformarsi.

Il Regolamento sull'IA Arriva alla Finanza

Gli istituti finanziari — banche, assicuratori, gestori patrimoniali, fornitori di servizi di pagamento, uffici crediti — sono tra i più intensi utilizzatori di IA in Europa. Lo scoring creditizio, il rilevamento delle frodi, il trading algoritmico, la profilazione del rischio dei clienti, la sottoscrizione assicurativa, l'automazione della rendicontazione normativa e lo screening AML/KYC si basano tutti su sistemi AI che possono essere soggetti al Regolamento UE sull'IA.

Per gli istituti finanziari, il Regolamento UE sull'IA non arriva in isolamento. Si sovrappone a un già denso stack normativo: DORA (resilienza digitale), MiFID II (servizi di investimento), GDPR (protezione dei dati), CRR/CRD (requisiti di capitale), Solvency II (assicurazioni), PSD2/PSD3 (servizi di pagamento) e linee guida settoriali di ABE, EIOPA ed ESMA. Capire come il Regolamento sull'IA si integra con — e talvolta entra in conflitto con — la regolamentazione finanziaria esistente è essenziale per una conformità efficiente.

Quali Casi d'Uso AI sono ad Alto Rischio nella Finanza?

L'Allegato III del Regolamento UE sull'IA identifica i casi d'uso che sono automaticamente ad alto rischio. Nel settore finanziario, i più direttamente rilevanti sono:

Categoria 5(b): Valutazione del Merito Creditizio

Ad alto rischio. I sistemi AI utilizzati per valutare il merito creditizio di persone fisiche o per classificare le persone fisiche in termini di rischio di credito sono esplicitamente elencati. Ciò comprende:

Scoring creditizio automatizzato per prestiti al consumo, scoperti personali, carte di credito e mutui
Modelli che valutano la probabilità di rimborso, il rischio di default o la capacità di indebitamento dei singoli consumatori
Sistemi AI che raccomandano limiti di credito o importi di prestito basati sulla valutazione del rischio individuale

Non automaticamente coperto: I modelli di credito aziendale che valutano persone giuridiche piuttosto che persone fisiche, anche se questi possono comunque attivare gli obblighi di trasparenza dell'Art. 50 a seconda del dispiegamento.

Categoria 5(b): Decisioni sui Premi e sulla Copertura Assicurativa

Ad alto rischio se incide significativamente sulle persone fisiche. I sistemi AI che prendono o influenzano fortemente decisioni su:

Copertura assicurativa (accettazione o rifiuto dei richiedenti)
Livelli di premio (modelli attuariali che fissano i premi individuali)
Valutazione e liquidazione dei sinistri (gestione automatizzata dei sinistri)

I modelli di tariffazione per l'assicurazione auto, la sottoscrizione per l'assicurazione sanitaria e i modelli assicurativi per i beni domestici rientrano direttamente nell'ambito. Il fattore determinante è se il sistema AI prende o influenza significativamente una decisione che incide materialmente sull'accesso di una persona fisica a un servizio privato essenziale.

Categoria 1: Identificazione Biometrica

Ad alto rischio. I sistemi AI utilizzati per:

Identificazione biometrica remota dei clienti (verifica video KYC, autenticazione continua)
Categorizzazione biometrica dove influenza la classificazione del rischio o l'accesso ai servizi

L'identificazione biometrica remota in tempo reale in spazi accessibili al pubblico per l'attività di contrasto è vietata ai sensi dell'Art. 5. I sistemi commerciali di verifica dell'identità che utilizzano il riconoscimento facciale per il KYC sono soggetti ai requisiti ad alto rischio ma non sono vietati.

Categoria 6: AML/KYC e Adiacente all'Attività di Contrasto

I sistemi AI utilizzati dagli istituti finanziari per supportare lo screening AML/KYC, il filtraggio delle sanzioni o il monitoraggio delle transazioni quando l'esito è segnalato o utilizzato dalle forze dell'ordine possono rientrare nella categoria 6 dell'Allegato III (attività di contrasto). Ciò include:

Segnalazioni di Operazioni Sospette (SOS) generate dall'AI trasmesse alle UIF
Sistemi automatizzati di screening delle Persone Politicamente Esposte (PEP)

I sistemi utilizzati esclusivamente per la gestione del rischio interno senza output per l'attività di contrasto sono meno propensi a essere classificati come ad alto rischio nella categoria 6, anche se possono applicarsi altre categorie.

Cosa Significano gli Obblighi di IA ad Alto Rischio per gli Istituti Finanziari

Se un sistema AI utilizzato da un istituto finanziario è ad alto rischio ai sensi dell'Allegato III, gli obblighi differiscono a seconda che l'istituto sia un fornitore (ha sviluppato il sistema) o un deployer (lo ha acquistato o concesso in licenza).

Se Siete il Fornitore (Avete Sviluppato il Sistema)

Sistema di gestione del rischio (Art. 9): Istituire e mantenere un processo documentato di gestione del rischio che itera durante tutto il ciclo di vita del sistema
Governance dei dati (Art. 10): I dati di addestramento, validazione e test devono essere soggetti a pratiche di governance che coprono pertinenza, rappresentatività e valutazione del pregiudizio
Documentazione tecnica (Allegato IV): Fascicolo tecnico completo che include la descrizione del sistema, l'architettura, l'approccio di addestramento, le metriche di prestazione e il piano di monitoraggio post-commercializzazione
Trasparenza (Art. 13): Istruzioni per l'uso che consentano ai deployer di comprendere le capacità, le limitazioni e i requisiti di supervisione
Supervisione umana (Art. 14): Misure di progettazione che consentano la supervisione e l'intervento umano
Accuratezza, robustezza, sicurezza informatica (Art. 15): Livelli di prestazione dimostrati e resilienza
Valutazione della conformità: Auto-valutazione (Allegato VI) per la maggior parte dei sistemi dell'Allegato III, o valutazione dell'organismo notificato per i sistemi biometrici
Marcatura CE e Dichiarazione di conformità UE
Registrazione nella banca dati AI dell'UE
Monitoraggio post-commercializzazione (Art. 72): Sistema attivo per la raccolta di dati sulle prestazioni nel mondo reale e la segnalazione degli incidenti

Se Siete il Deployer (Avete Acquistato/Concesso in Licenza il Sistema)

Conformità alle istruzioni: Utilizzare il sistema strettamente in conformità con le istruzioni del fornitore
Supervisione umana: Assegnare personale qualificato per eseguire la supervisione con autorità e risorse adeguate
Qualità dei dati di input: Garantire che i dati di input siano pertinenti e rappresentativi per il contesto di dispiegamento specifico
Conservazione dei registri: Attivare e conservare i registri automatizzati per il periodo richiesto
Segnalazione degli incidenti: Segnalare gli incidenti gravi al fornitore e, in alcuni casi, direttamente alle autorità
Valutazione dell'impatto sui diritti fondamentali (Art. 27): Richiesta per gli enti pubblici; raccomandata per i deployer del settore privato in contesti sensibili

Interazione con DORA

Il Digital Operational Resilience Act (DORA) è entrato in applicazione nel gennaio 2025 e impone requisiti completi di gestione del rischio ICT agli istituti finanziari — inclusi i sistemi AI come componenti ICT.

Punti di interazione chiave:

Quadro di Gestione del Rischio ICT

DORA richiede agli istituti finanziari di mantenere un quadro di gestione del rischio ICT che copra identificazione, protezione, rilevamento, risposta e recupero. I sistemi AI sono strumenti ICT soggetti a questo quadro. Il Regolamento UE sull'IA aggiunge requisiti specifici dell'IA in cima: test di pregiudizio, documentazione della trasparenza, progettazione della supervisione umana e gestione del ciclo di vita.

In pratica: Il modello AI di scoring creditizio di una banca deve rispettare sia la gestione del rischio ICT di DORA (rilevamento degli incidenti, pianificazione della continuità, gestione delle modifiche) sia i requisiti ad alto rischio del Regolamento UE sull'IA (sistema di gestione del rischio, documentazione tecnica, monitoraggio post-commercializzazione).

Rischio di Terze Parti (Fornitori ICT di Terze Parti)

DORA impone requisiti dettagliati per la gestione dei fornitori ICT di terze parti — tra cui requisiti contrattuali, diritti di audit e supervisione dei fornitori critici. Quando un istituto finanziario utilizza un sistema AI di terze parti (ad es. un modello di scoring creditizio fornito da un fornitore), si applicano i requisiti di gestione del rischio di terze parti di DORA a quel fornitore.

Si applicano anche gli obblighi del deployer ai sensi del Regolamento UE sull'IA — che richiedono al fornitore di fornire istruzioni, documentazione di conformità e capacità di registrazione. Gli istituti finanziari dovrebbero garantire che i loro contratti con i fornitori AI di terze parti soddisfino sia i requisiti dei fornitori ICT di DORA che i diritti di informazione dei deployer ai sensi del Regolamento UE sull'IA.

Segnalazione degli Incidenti

DORA ha il proprio quadro di segnalazione degli incidenti per gli incidenti ICT rilevanti, segnalati agli organi di vigilanza settoriali (ABE, EIOPA, ESMA). Il Regolamento UE sull'IA richiede che gli incidenti gravi che coinvolgono sistemi AI ad alto rischio siano segnalati alle autorità nazionali di vigilanza del mercato.

Questi sono obblighi di segnalazione separati a diverse autorità. Un incidente grave che coinvolge un sistema AI di scoring creditizio potrebbe generare sia una segnalazione di incidente DORA (all'ABE/supervisore finanziario nazionale) che una segnalazione di incidente del Regolamento UE sull'IA (all'autorità di vigilanza del mercato).

Organi di Vigilanza Settoriali e Applicazione del Regolamento sull'IA

Per gli istituti finanziari, gli organi di vigilanza finanziaria settoriali — ABE (bancario), EIOPA (assicurativo), ESMA (mercati finanziari) — hanno un ruolo specifico nell'attuazione del Regolamento UE sull'IA, sebbene non siano la principale autorità di applicazione del Regolamento sull'IA.

Ai sensi del Regolamento sull'IA, gli istituti finanziari che sono fornitori di sistemi AI ad alto rischio devono registrarsi nella banca dati AI dell'UE. Nel settore finanziario, l'autorità di vigilanza finanziaria settoriale competente può essere designata come o collaborare con l'autorità nazionale di vigilanza del mercato responsabile della supervisione del Regolamento sull'IA in quel settore.

Le Autorità di Vigilanza Europee (ASE) sono state attive nel:

Pubblicare orientamenti sulla governance AI nei servizi finanziari (linee guida ABE sulla governance interna, ML/AI nel rischio di credito)
Contribuire agli orientamenti di attuazione del Regolamento sull'IA per il settore finanziario
Coordinarsi con l'Ufficio AI dell'UE sulla supervisione dei modelli GPAI per quanto riguarda i servizi finanziari

Priorità Pratiche di Conformità per gli Istituti Finanziari

Inventariare tutti i sistemi AI in uso — classificare ciascuno rispetto ai criteri dell'Allegato III. Dare priorità ai sistemi di valutazione del merito creditizio, tariffazione assicurativa e biometria/KYC.
Determinare lo status di fornitore vs. deployer per ogni sistema — state utilizzando modelli forniti da terze parti o sviluppando internamente?
Allineare la governance AI con il quadro ICT di DORA — integrare gli obblighi del Regolamento sull'IA nella struttura di governance DORA esistente per evitare processi duplicati.
Rivedere i contratti con i fornitori AI di terze parti — garantire che i contratti forniscano: documentazione di conformità, istruzioni per l'uso, accesso alla registrazione, impegni di notifica degli incidenti, obblighi di aggiornamento e diritti di audit.
Stabilire meccanismi di supervisione umana — per i casi d'uso AI ad alto rischio, garantire che il personale qualificato abbia l'autorità, gli strumenti e il tempo per esaminare significativamente gli output AI prima che vengano prese decisioni consequenziali.
Connettersi al monitoraggio post-commercializzazione — estendere i processi esistenti di gestione del rischio del modello (validazione del modello di Basilea, gestione delle modifiche di DORA) per coprire i requisiti di monitoraggio post-commercializzazione dell'Art. 72.
Prepararsi per la banca dati AI dell'UE — se siete un fornitore di sistemi AI ad alto rischio, la registrazione è obbligatoria. Se siete un deployer ente pubblico, potrebbe essere richiesta anche la registrazione.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

I modelli di scoring creditizio sono soggetti ai requisiti ad alto rischio del Regolamento UE sull'IA?

Sì. I sistemi AI per la valutazione del merito creditizio — utilizzati per valutare il merito creditizio di persone fisiche o per valutare il rischio di credito — sono esplicitamente elencati nell'Allegato III, categoria 5(b) come ad alto rischio. Ciò riguarda lo scoring creditizio automatizzato per prestiti al consumo, mutui, carte di credito e scoperti. I sistemi utilizzati esclusivamente per la valutazione del credito alle imprese potrebbero non rientrare nell'ambito, ma i sistemi che coinvolgono la valutazione di persone fisiche sono chiaramente coperti.

Come interagisce DORA con il Regolamento UE sull'IA per gli istituti finanziari?

DORA (Digital Operational Resilience Act) e il Regolamento UE sull'IA hanno ambiti sovrapposti ma distinti. DORA copre la gestione del rischio ICT in senso lato — inclusi i sistemi AI come strumenti ICT — con requisiti per la segnalazione degli incidenti, i test di resilienza e la gestione del rischio di terze parti. Il Regolamento UE sull'IA aggiunge obblighi specifici AI (test di pregiudizio, trasparenza, supervisione umana, monitoraggio post-commercializzazione) per i casi d'uso AI ad alto rischio. Per gli istituti finanziari, la conformità richiede di affrontare entrambi i quadri — DORA non esenta gli istituti dagli obblighi del Regolamento sull'IA, e il Regolamento sull'IA non sostituisce i requisiti ICT di DORA.

I sistemi AI utilizzati per il rilevamento delle frodi rientrano nell'alto rischio del Regolamento UE sull'IA?

Dipende dal caso d'uso. I sistemi AI utilizzati per il rilevamento delle frodi sulle transazioni in tempo reale — dove l'IA segnala transazioni sospette per la revisione umana o le blocca automaticamente — non sono automaticamente ad alto rischio ai sensi dell'Allegato III. Tuttavia, se il sistema prende o influenza fortemente decisioni che influenzano significativamente le persone fisiche (ad es. blocco dell'account, riduzione del limite di credito, rifiuto della richiesta assicurativa), il caso d'uso può rientrare nella categoria 5 dell'Allegato III (accesso ai servizi essenziali). La certezza giuridica dipenderà dalla guida normativa e dal dispiegamento specifico.

I sistemi AI utilizzati per la tariffazione e la sottoscrizione assicurativa sono ad alto rischio?

I sistemi AI per la tariffazione e la sottoscrizione assicurativa che prendono o influenzano fortemente decisioni sulla copertura, sui livelli di premio o sulla liquidazione dei sinistri per le persone fisiche rientrano probabilmente nella categoria 5 dell'Allegato III (accesso ai servizi privati essenziali). Ciò include i modelli di tariffazione per l'assicurazione auto, sanitaria e immobiliare. I modelli di sottoscrizione per l'assicurazione sulla vita che valutano il rischio di longevità per le persone fisiche possono essere coperti. Ogni caso d'uso deve essere valutato individualmente rispetto ai criteri dell'Allegato III.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.