Obblighi dell'AI Act UE per banche, istituti di credito e aziende fintech. Scoring creditizio AI, sistemi AML, trading algoritmico, sovrapposizione con DORA e linee guida EBA.
Perché il Settore Bancario Affronta un'Elevata Esposizione all'AI Act UE
Il settore bancario e dei servizi finanziari si trova all'intersezione tra gli obblighi più severi dell'AI Act UE e l'ambiente normativo più complesso dell'UE. Le istituzioni finanziarie sono tra i maggiori utilizzatori di AI in Europa — nella sottoscrizione del credito, nel rilevamento delle frodi, nello screening AML/CFT, nella due diligence della clientela, nel trading algoritmico e nella gestione patrimoniale. L'AI Act UE punta direttamente ai più rilevanti di questi casi d'uso attraverso l'Allegato III, classificando diverse applicazioni AI finanziarie come ad alto rischio per definizione.
Il settore bancario opera anche all'interno di un denso livello normativo preesistente: DORA, MiFID II, CRD IV/CRR, Direttive AML, GDPR e BCBS 239. L'AI Act UE non sostituisce questi framework — vi si aggiunge. Per un istituto di credito, l'utilizzo di un modello di scoring del credito basato su AI innesca obblighi simultanei ai sensi dell'AI Act (Allegato III, Art. 9–16), di DORA (gestione del rischio ICT) e delle linee guida EBA sulla gestione del rischio di modello.
Casi d'Uso AI ad Alto Rischio nel Settore Bancario ai Sensi dell'Allegato III
Allegato III, categoria 5(b) elenca esplicitamente l'AI utilizzata per la valutazione del merito creditizio o lo scoring del credito di persone fisiche, e l'AI utilizzata per la valutazione del rischio di credito di persone giuridiche dove l'AI determina o influenza sostanzialmente l'esito. Questo comprende un'ampia gamma di utilizzi dell'AI finanziaria.
I modelli di scoring del credito e di sottoscrizione — sistemi automatizzati che determinano l'idoneità al prestito, i limiti di credito o i tassi di interesse per i clienti retail e PMI — sono AI ad alto rischio ai sensi dell'Art. 6(2) letto congiuntamente all'Allegato III. Le banche che agiscono come fornitori di questi sistemi devono completare le valutazioni di conformità, mantenere la documentazione tecnica ai sensi dell'Art. 11, implementare sistemi di gestione del rischio ai sensi dell'Art. 9, garantire meccanismi di supervisione umana ai sensi dell'Art. 14 e registrare il sistema nel database dell'AI Act UE (Art. 71) prima del deployment.
I sistemi AML e di rilevamento delle frodi presentano un quadro più articolato. I sistemi che applicano lo screening delle sanzioni, il monitoraggio delle transazioni o l'analisi comportamentale per segnalare attività sospette incidono generalmente sulle istituzioni finanziarie piuttosto che determinare direttamente esiti per gli individui. Laddove l'output dell'AI costituisca la base principale per un'azione avversa nei confronti di un cliente (blocco del conto, rifiuto del servizio), la classificazione ad alto rischio potrebbe essere attivata ai sensi dell'Allegato III cat. 5(b) o cat. 6 (forze dell'ordine) a seconda del ruolo dell'autorità nazionale. Le banche devono condurre un'attenta analisi di classificazione.
Gli strumenti basati su GPAI — modelli linguistici di grandi dimensioni utilizzati per il servizio clienti, l'elaborazione di documenti o l'analisi degli investimenti — sono soggetti ai requisiti di trasparenza dell'Art. 50 (divulgazione che gli utenti interagiscono con AI) e, laddove il fornitore del modello presenti un rischio sistemico, agli obblighi dell'Art. 55.
Obblighi del Fornitore vs. Obblighi del Deployer per le Banche
Le banche possono agire come fornitori (costruendo i propri modelli AI), deployer (utilizzando sistemi AI di terze parti), o entrambi. La distinzione determina il profilo degli obblighi:
| Ruolo | Fonte dell'obbligo | Requisiti principali |
|---|---|---|
| Fornitore | Art. 9–17 | Valutazione di conformità, documentazione tecnica, QMS, registrazione |
| Deployer | Art. 26 | Monitorare il sistema, garantire la supervisione umana, mantenere i log, informare gli utenti |
| Entrambi | Art. 9–17 + Art. 26 | Obblighi completi del fornitore + doveri di monitoraggio del deployer |
Le banche che acquistano AI per lo scoring del credito da un fornitore fintech agiscono come deployer ai sensi dell'Art. 26. Devono verificare che il fornitore abbia completato la valutazione di conformità, integrare la revisione umana nei processi di decisione avversa, mantenere i log di utilizzo per 10 anni (Art. 26(6)) e garantire che le decisioni AI siano spiegate alle persone interessate ai sensi dell'Art. 22 GDPR e dell'Art. 13 dell'AI Act UE.
Sovrapposizione con la Regolamentazione Settoriale: DORA, MiFID II e Solvency II
DORA (Regolamento 2022/2554) si applica a banche, imprese di investimento, compagnie assicurative e fornitori terzi ICT. Specificamente per l'AI, DORA richiede:
- Sistemi AI trattati come sistemi ICT soggetti ai framework di gestione del rischio (Art. 6 DORA)
- Classificazione e segnalazione degli incidenti correlati all'ICT — i guasti dell'AI possono costituire importanti incidenti ICT
- Test di resilienza dei sistemi ICT critici — modelli AI inclusi laddove rilevanti per le operazioni
- Gestione del rischio di terze parti che copre i contratti con i fornitori AI, le strategie di uscita e i diritti di audit
MiFID II (Direttiva sui Mercati degli Strumenti Finanziari) si applica al trading algoritmico e alla consulenza sugli investimenti. Le raccomandazioni di investimento generate dall'AI attivano i requisiti di valutazione dell'adeguatezza; i sistemi di trading algoritmico richiedono controlli pre-negoziazione, interruttori di emergenza e notifica alle autorità di regolamentazione.
Le Linee Guida EBA sulla Gestione del Rischio ICT e della Sicurezza (EBA/GL/2019/04, aggiornate nel 2022) impongono una governance del rischio tecnologico che copre i modelli AI, i requisiti di continuità operativa e l'indipendenza della validazione dei modelli. Questi si allineano sostanzialmente con i requisiti di gestione del rischio dell'Art. 9 dell'AI Act UE.
Autorità di Vigilanza
L'applicazione dell'AI Act UE per l'AI bancaria opera attraverso una struttura di autorità a doppio livello:
Le Autorità Nazionali Competenti (ANC) designate da ciascuno Stato Membro ai sensi dell'Art. 70 sono i principali organi di applicazione dell'AI Act. Possono condurre la sorveglianza del mercato, richiedere documentazione tecnica e imporre sanzioni (fino a €30M o 6% del fatturato annuo globale ai sensi dell'Art. 99).
L'Autorità Bancaria Europea (EBA) coordina la supervisione dell'AI specifica per il settore in tutta l'unione bancaria, fornisce standard tecnici sul rischio ICT e emette linee guida che modellano le aspettative di supervisione nazionali. L'EBA partecipa anche al Comitato Europeo per l'AI istituito ai sensi dell'Art. 65.
La BCE e i supervisori prudenziali nazionali possono richiedere documentazione sui modelli AI nell'ambito delle valutazioni SREP (Processo di Revisione e Valutazione Prudenziale) ai sensi della CRD IV laddove l'AI determini decisioni rilevanti in materia di credito o rischio operativo.
Tabella di Marcia per la Conformità delle Banche
Immediato (ora → agosto 2026): Completare il controllo di conformità sui divieti — esaminare tutti i sistemi AI per le pratiche vietate ai sensi dell'Art. 5, inclusi il social scoring e l'identificazione biometrica in tempo reale negli spazi pubblici. Questi divieti si applicano immediatamente per i nuovi contratti.
T3 2026 — Audit di classificazione ad alto rischio: Mappare tutti i sistemi AI già in uso e in fase di sviluppo rispetto all'Allegato III, specificamente le categorie 5(b) e 5(c). Documentare la motivazione della classificazione. Coinvolgere il team legale e di conformità per valutare la sovrapposizione con DORA.
T4 2026 — Obblighi del fornitore per l'AI interna: Per i modelli di scoring del credito e di sottoscrizione sviluppati internamente, avviare le procedure di valutazione della conformità, sviluppare la documentazione tecnica ai sensi dell'Allegato IV e implementare il QMS ai sensi dell'Art. 17.
2027 — Obblighi del deployer per l'AI di terze parti: Verificare tutti i contratti con i fornitori AI in merito alla conformità all'AI Act UE. Richiedere ai fornitori di fornire dichiarazioni di conformità e numeri di registrazione. Aggiornare gli accordi sul trattamento dei dati per riflettere gli obblighi di logging dell'Art. 26.
Agosto 2027 — Obblighi GPAI in vigore: Garantire che tutti i LLM e i modelli fondazionali di terze parti utilizzati nelle applicazioni bancarie siano conformi agli Art. 51–55. Verificare che i fornitori abbiano pubblicato la documentazione sulla trasparenza ai sensi dell'Art. 53.
Dicembre 2027 — Scadenza per l'AI ad alto rischio: Conformità completa richiesta per tutti i sistemi AI ad alto rischio dell'Allegato III. Garantire la registrazione nel database dell'AI Act UE, meccanismi operativi di supervisione umana e piani di monitoraggio post-commercializzazione ai sensi dell'Art. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Le banche sono soggette agli obblighi dell'AI Act UE principalmente attraverso le categorie 5(b) e 5(c) dell'Allegato III: AI utilizzata nella valutazione del merito creditizio e nello scoring del credito, e AI utilizzata nella sottoscrizione di assicurazioni vita e sanitarie. Questi sistemi sono classificati come sistemi AI ad alto rischio e richiedono valutazioni di conformità, documentazione tecnica, meccanismi di supervisione umana e registrazione nel database dell'AI Act UE. Inoltre, le banche che utilizzano AI per lo screening antiriciclaggio (AML), il rilevamento delle frodi o la due diligence della clientela possono rientrare nell'Allegato III a seconda della funzione del sistema e delle decisioni che influenza.
DORA (Digital Operational Resilience Act, Regolamento 2022/2554) e l'AI Act UE creano obblighi sovrapposti ma distinti. DORA richiede agli enti finanziari di gestire il rischio ICT, condurre test di resilienza e mantenere capacità di segnalazione degli incidenti — questo si applica ai sistemi AI in quanto strumenti ICT. L'AI Act UE aggiunge requisiti di classificazione del rischio, valutazione della conformità, trasparenza e supervisione umana specificamente per i sistemi AI. Un istituto di credito che gestisce un sistema di scoring del credito basato su AI deve soddisfare sia il framework di gestione del rischio ICT di DORA che i requisiti dell'AI Act UE per l'AI ad alto rischio. Le linee guida EBA sulla gestione del rischio ICT e della sicurezza si applicano in parallelo.
I sistemi di trading algoritmico non sono elencati direttamente nell'Allegato III, quindi non costituiscono automaticamente AI ad alto rischio ai sensi dell'AI Act UE. Tuttavia, se un algoritmo di trading viene utilizzato come componente di una valutazione del merito creditizio o influenza l'accesso ai servizi finanziari in modo da incidere sugli individui, potrebbe rientrare nell'ambito dell'Allegato III. I requisiti MiFID II per il trading algoritmico — inclusi gli interruttori di emergenza, i test di sistema e le piste di controllo — rimangono pienamente applicabili. I requisiti di trasparenza dell'Art. 50 dell'AI Act UE si applicano all'AI che interagisce con persone fisiche, e gli obblighi del modello GPAI ai sensi dell'Art. 51 si applicano ai modelli linguistici di grandi dimensioni utilizzati in piattaforme di trading o di analisi.
L'Autorità Bancaria Europea (EBA) ha pubblicato linee guida sulla governance interna (EBA/GL/2021/05) e sulla gestione del rischio ICT che informano direttamente le aspettative di governance dell'AI per le banche. I requisiti principali includono la responsabilità a livello di consiglio di amministrazione per la strategia AI, la validazione indipendente dei modelli AI utilizzati nel rischio di credito, i framework di rischio operativo che coprono i guasti dell'AI, e i requisiti di spiegabilità per i sistemi AI che incidono sulle decisioni creditizie. Le consultazioni dell'EBA sull'apprendimento automatico per i modelli IRB stabiliscono standard quantitativi per la validazione dei modelli, la qualità dei dati e il monitoraggio delle prestazioni, che si allineano strettamente con i requisiti di gestione del rischio dell'Art. 9 dell'AI Act UE.
Sì, in linea di principio — l'AI Act UE si applica indipendentemente dalle dimensioni dell'azienda. Tuttavia, l'Art. 9(5) richiede che i sistemi di gestione del rischio siano proporzionati alle dimensioni e alla natura del fornitore o del deployer. Le disposizioni per le PMI e le startup ai sensi degli Art. 55 e Art. 57 fino all'Art. 63 forniscono accesso a sandbox regolatori gestiti dalle autorità nazionali competenti, riducendo le barriere ai test di conformità. L'EBA Innovation Hub e l'European Forum for Innovation Facilitators (EFIF) forniscono ulteriore supporto alle aziende fintech che navigano nella regolamentazione dell'AI.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.