Il settore dei servizi finanziari si trova al centro di una trasformazione profonda, nella quale la pressione regolamentare crescente e la complessità normativa intersecano le potenzialità offerte dalle tecnologie di intelligenza artificiale di nuova generazione.
In questo contesto, stiamo assistendo all’emergere dell’IA agentica, ossia di sistemi esperti dotati della capacità di operare in modo autonomo, prendere decisioni, interagire con l’ambiente circostante e perseguire obiettivi complessi senza la necessità di un intervento umano costante.
Essa, quindi, potrebbe implicare un cambio di paradigma destinato a ridefinire il modo in cui le istituzioni finanziarie affrontano le sfide della compliance.
Indice degli argomenti
Come si distingue l’IA agentica dai sistemi tradizionali
A differenza dei modelli di intelligenza artificiale tradizionale, prevalentemente reattivi e limitati all’esecuzione di compiti predefiniti, ci hanno spiegato che l’IA agentica si distingue per la capacità di ragionare, pianificare, adattarsi a contesti mutevoli e orchestrare autonomamente sequenze di azioni. Non si tratterebbe, quindi, più di un sistema che classifica un documento o risponde a una domanda, ma di un agente digitale capace, ad esempio, di rilevare la pubblicazione di un nuovo Regolamento delegato della Commissione Europea in materia di requisiti prudenziali, analizzarne il contenuto, confrontarlo con le procedure interne della banca, individuare i gap di conformità e predisporre una bozza di piano di adeguamento. Tutto ciò in maniera coordinata e con un livello “minimo” di supervisione umana.
La sfida della compliance nel settore finanziario
Senza ombra di dubbio, possiamo affermare che le istituzioni finanziarie operano in un ecosistema regolamentare di straordinaria complessità. Il quadro normativo è caratterizzato da una stratificazione multilivello: regolamenti europei, direttive, normativa nazionale, linee guida delle autorità di vigilanza, standard tecnici, tutti poi in continua evoluzione.
Solo negli ultimi tre anni, il settore ha dovuto confrontarsi con l’entrata in vigore del Regolamento DORA sulla resilienza operativa digitale, del Regolamento MiCA sui mercati delle cripto-attività, dell’AI Act, della nuova disciplina antiriciclaggio (pacchetto AML/CFT), degli obblighi di disclosure ESG previsti dal Regolamento SFDR e dalla Direttiva CSRD, oltre ai costanti aggiornamenti dei framework prudenziali di Basilea, sperando di non aver dimenticato qualche altra novità normativa.
Il costo della non conformità: miliardi di sanzioni e rischi reputazionali
Per dare la misura concreta della sfida, si consideri che una banca di medie dimensioni operante in più giurisdizioni europee deve oggi monitorare e gestire la conformità rispetto a diverse centinaia di fonti normative, produrre decine di flussi segnaletici periodici per le autorità di vigilanza e mantenere aggiornate centinaia di policy e procedure interne.
Il costo della non conformità, d’altra parte, è potenzialmente devastante: ho letto da qualche parte che soltanto nel 2023, le sanzioni comminate a livello globale per violazioni in materia di antiriciclaggio hanno superato i cinque miliardi di dollari, senza contare i danni reputazionali e le conseguenze operative.
L’IA agentica lungo il ciclo di vita della compliance
Per comprendere appieno il valore aggiunto dell’IA agentica, potremmo provare ad analizzare il suo “potenziale” intervento lungo le diverse fasi del ciclo di vita della compliance, dalla primissima fase in cui avviene la rilevazione della norma fino alla verifica finale di conformità della relativa applicazione.
Fase 1 — Monitoraggio prospettico dell’evoluzione normativa
Come abbiamo già indicato in precedenza, il primo potenziale anello della catena è il monitoraggio continuo delle fonti normative. Tradizionalmente, questa attività è svolta da analisti che consultano quotidianamente la Gazzetta Ufficiale dell’Unione Europea, i bollettini di Banca d’Italia, le pubblicazioni di EBA, ESMA, EIOPA, CONSOB e IVASS, oltre a fonti internazionali come il Financial Stability Board e il Comitato di Basilea. In questo contesto, un agente di IA potrebbe sorvegliare queste fonti in modo permanente e in tempo reale, ma soprattutto potrebbe andare oltre la semplice segnalazione.
Ad esempio, all’evento di pubblicazione di una nuova Guideline dell’EBA in materia di gestione del rischio ESG, l’agente sarebbe in grado di analizzarne il contenuto, classificarne la rilevanza rispetto al modello di business dell’istituzione e potrebbe generare un primo executive summary destinato al Chief Compliance Officer, indicando le aree potenzialmente impattate e le tempistiche di adeguamento previste.
Fase 2 — Presidio e gov£erno del cambiamento normativo
Una volta identificata una novità normativa rilevante, è necessario gestirne l’intero processo di recepimento. L’agente IA può supportare questa fase creando automaticamente un progetto di adeguamento, assegnando le attività ai responsabili delle diverse funzioni coinvolte, definendo le milestone in base alle scadenze normative e monitorando l’avanzamento.
Si pensi, a titolo esemplificativo, all’entrata in vigore del Regolamento DORA: un sistema agentico IA avrebbe potuto scomporre i requisiti del regolamento in singoli obblighi operativi: mappatura dei fornitori ICT critici, predisposizione del registro delle informazioni, definizione dei piani di test della resilienza. Successivamente avrebbe potuto rilevare e tracciarne il completamento attraverso le diverse funzioni aziendali coinvolte (ad esempio IT, Security, Risk Management, Legal, Compliance, Operations).
Fase 3 — Gap analysis e impact assessment
Questa è una delle fasi a più alto assorbimento di risorse intellettuali, che quelli bravi definiscono “time consuming”. In questo caso, l’agente IA potrebbe confrontare “autonomamente” il testo della nuova disposizione normativa con il corpus delle policy, delle procedure e dei controlli interni già esistenti presso l’istituto, identificando con precisione i punti di disallineamento.
Ad esempio, di fronte ai nuovi requisiti dell’AI Act per i sistemi di intelligenza artificiale ad alto rischio utilizzati nel credit scoring, l’agente potrebbe rilevare che la procedura interna di concessione del credito non prevede ancora meccanismi adeguati a “spiegare” l’algoritmo utilizzato e quali debbano essere le modalità e le tempistiche in cui dovrebbe avvenire la supervisione umana, segnalando i gap e suggerendo le aree di intervento prioritarie.
Ciò che sappiamo tradizionalmente richiedere settimane di analisi da parte di team di esperti e di diverse discipline, potrebbe essere ridotto a pochi giorni, consentendo alle funzioni di compliance di concentrarsi sulle valutazioni critiche e sulle scelte strategiche.
Fase 4 — Aggiornamento delle policy e delle procedure
A valle della gap analysis, è necessario aggiornare il corpo normativo interno. L’IA agentica potrebbe supportare anche questa fase, predisponendo bozze aggiornate delle policy sulla base dei nuovi requisiti identificati. Un agente specializzato potrebbe, ad esempio, redigere una nuova sezione della policy antiriciclaggio per recepire gli obblighi introdotti dalla nuova Autorità europea AMLA in materia di adeguata verifica rafforzata della clientela ad alto rischio, garantendo al contempo la coerenza con le disposizioni già esistenti nel documento.
Tuttavia, a mio avviso, è molto importante evidenziare che è fondamentale prevedere un lavoro di verifica, integrazione e validazione finale sempre e comunque in capo ai responsabili umani. È assolutamente importante evidenziare quanto sia cruciale evitare l’effetto “copia e incolla” integrale di quanto prodotto dall’IA. Tuttavia, con le giuste misure ed i giusti presidi di verifica, la fase preparatoria potrebbe essere enormemente accelerata ed ottimizzata.
Fase 5 — Monitoraggio continuo e controlli
Una volta implementate le misure di adeguamento, è necessario verificarne l’efficacia nel tempo. L’IA agentica potrebbe operare anche come sistema di sorveglianza permanente, eseguendo controlli automatizzati e segnalando le anomalie. Per rimanere nel perimetro dell’antiriciclaggio, ad esempio, un agente IA potrebbe analizzare i flussi transazionali, correlarli con le liste di sanzioni internazionali aggiornate in tempo reale (OFAC, UE, ONU), confrontarli con i profili di rischio della clientela e generare segnalazioni qualificate per gli analisti umani.
In questo modo, si potrebbero ridurre anche in maniera significativa il tasso di falsi positivi, che attualmente affliggono i sistemi tradizionali basati su regole statiche. Nel contesto MiFID II, invece, per esempio un agente IA potrebbe monitorare in continuo la coerenza tra i prodotti collocati e i profili di adeguatezza dei clienti, segnalando tempestivamente eventuali disallineamenti.
Fase 6 — Reportistica regolamentare
Le istituzioni finanziarie sono soggette a obblighi di segnalazione sempre più articolati e granulari. L’IA agentica potrebbe supportare l’intero processo di reportistica: raccolta automatizzata dei dati dai sistemi interni, validazione, compilazione dei template richiesti dalle autorità, verifica di coerenza e completezza prima dell’invio.
A titolo di esempio, possiamo considerare la complessità delle segnalazioni prudenziali COREP e FINREP richieste dalla BCE e da Banca d’Italia: un agente può monitorare le variazioni nei formati e nei requisiti di segnalazione, adattando autonomamente i processi di estrazione e trasformazione dei dati, e verificando che i valori riportati siano coerenti con quelli presenti nei sistemi gestionali e contabili dell’istituzione.
Fase 7 — Audit readiness e gestione delle ispezioni
Infine, l’IA agentica potrebbe anche supportare la preparazione alle ispezioni delle autorità di vigilanza e agli audit interni. Un agente può organizzare e rendere immediatamente accessibile tutta la documentazione rilevante, ricostruire la traccia di audit delle decisioni assunte, verificare la completezza degli archivi e simulare possibili domande ispettive sulla base delle aree di focus dichiarate dalle autorità.
Ad esempio, in vista di un’ispezione di Banca d’Italia in materia di governance ICT ai sensi del Regolamento DORA, l’agente potrebbe predisporre un dossier completo contenente il registro dei fornitori critici, i risultati dei test di resilienza, le evidenze delle segnalazioni di incidenti e la documentazione contrattuale con i provider terzi.
Fattori critici e governance dell’adozione
È tuttavia doveroso evidenziare che l’implementazione di sistemi agentici IA in un ambito così delicato richiede un approccio rigoroso. Il primo fattore critico è la trasparenza e spiegabilità: le autorità di vigilanza richiedono che le istituzioni siano in grado di motivare le proprie scelte di compliance, il che rende inaccettabile un processo decisionale opaco e potenzialmente in contrasto con i requisiti dell’AI Act per i sistemi ad alto rischio.
Il secondo fattore è la supervisione umana. Il principio dello human-in-the-loop resta imprescindibile: l’agente propone, l’essere umano valida. L’IA agentica è sempre e comunque da considerare un amplificatore delle capacità della funzione di compliance, certamente non un suo sostituto. Il terzo aspetto riguarda la qualità dei dati: un agente che opera su dati incompleti o errati produce analisi inaffidabili, generando una falsa percezione di conformità potenzialmente più pericolosa della mancanza stessa di automazione.
Infine, la sicurezza informatica: un agente autonomo che accede a dati sensibili e interagisce con sistemi critici rappresenta una superficie di attacco che deve essere presidiata in coerenza con i requisiti DORA. In tale contesto, ovviamente un ruolo cruciale è rivestito anche da dove e come sono storicizzate le informazioni ed i documenti dell’istituto a cui devono accedere gli agenti IA. Questo aspetto apre agli scenari non trascurabili relativi al tema del cloud sovrano piuttosto che a quello delle IA pubbliche e private, che per complessità ed impatti meritano certamente valutazioni e trattamenti ulteriori e particolareggiati.
La compliance come funzione strategica: lo scenario futuro
L’evoluzione dei modelli di linguaggio, la maturazione delle architetture multi-agente e il consolidamento dei framework di governance dell’IA creeranno le condizioni per un’adozione sempre più strutturale.
Le istituzioni che sapranno muoversi per prime, investendo nella tecnologia, ma anche nella ridefinizione dei processi e nella formazione delle competenze, potranno davvero trasformare la compliance da centro di costo a funzione strategica capace di generare valore (mantra ripetuto ormai da anni, tuttavia di difficile reale applicazione).
La vera sfida è culturale e organizzativa, non solo tecnologica
In ultima analisi, la vera sfida, ancora una volta, non è solo tecnologica, ma culturale e organizzativa. L’IA agentica non è una soluzione che si installa, ma un paradigma che si adotta: richiede una revisione profonda del rapporto tra uomo e macchina, una riflessione matura sui confini della delega decisionale e una governance che sappia coniugare innovazione e prudenza, ambizione tecnologica e responsabilità regolamentare.
Le istituzioni finanziarie che sapranno affrontare questa sfida con lucidità e visione saranno quelle meglio posizionate per navigare la complessità normativa dei prossimi anni.
