il provvedimento

Banca d’Italia, il nuovo Regolamento sulla gestione degli esposti: focus su AI e data protection

Irrobustire la tutela della privacy dei consumatori che presentano esposti contro banche e finanziarie. Questo l’obiettivo di un provvedimento della Banca d’Italia che definisce le modalità di trattamento dei dati anche in vista dell’adozione di un sistema di analisi avanzata tramite strumenti di Intelligenza artificiale

28 Apr 2022
Andrea Del Forno

Legal Consultant di P4I

Con un provvedimento pubblicato il 30 marzo 2022 in Gazzetta Ufficiale e concernente il trattamento dei dati personali effettuato dalla Banca d’Italia nell’ambito della gestione degli esposti riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari e clienti e i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento, si irrobustisce la tutela della privacy dei consumatori che presentano esposti contro banche e finanziarie.

Consenso al trattamento dei dati: come bilanciare privacy ed esigenze del mercato?

L’oggetto del Regolamento

La trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari e clienti e, infine, i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento sono alcuni degli aspetti che Banca d’Italia, in quanto Autorità di Vigilanza, è tenuta a sorvegliare ed a monitorare all’interno del sistema bancario e finanziario nazionale.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

Con questo Provvedimento, la stessa Autorità ha regolamento l’attuazione dei propri poteri ispettivi in tali ambiti attraverso la definizione delle modalità di trattamento dei dati necessario a gestire gli esposti dei clienti per addivenire nei confronti delle Financial Entities, siano queste società di credito al consumo, gruppi bancari, istituti di pagamento o altro soggetto sottoposto alla sorveglianza di Banca d’Italia, all’eventuale constatazione di comportamenti illeciti.

Tale Regolamento si è rivelato un’esigenza necessaria non solo alla luce della materia trattata, dunque l’analisi degli esposti dei clienti e dei dati contenuti negli stessi, ma anche in ragione della decisione di Banca d’Italia di adottare un sistema di analisi avanzata tramite strumenti di Intelligenza Artificiale, capaci di agevolare il vaglio delle informazioni contenute negli esposti presentati dai clienti e di far emergere più facilmente eventuali comportamenti scorretti e frequenti nell’offerta di prodotti bancari e finanziari.

L’analisi degli esposti

Esaminando nel dettaglio la disciplina, Banca d’Italia, in quanto destinataria della segnalazione, deve essere considerata titolare del trattamento dei dati quando:

  • tratta il contenuto degli esposti, ovvero svolge un’attività di esame volta ad intendere e identificare la questione, per realizzare se la posizione dell’esponente debba essere presa in considerazione o meno;
  • usa le informazioni acquisite attraverso strumenti di Intelligenza artificiale, ovvero pone in essere un’attività di indagine conoscitiva sul contenuto degli esposti mediante tecniche di machine learning ed altri strumenti di intelligenza artificiale, capaci di estrarre concetti e ricorrenze e di connettere informazioni contenute nei diversi documenti.

La verifica degli esposti e l’indagine sul loro contenuto viene realizzata tramite l’uso di un motore di ricerca full text, in grado di vagliare e identificare tutte le informazioni presenti negli esposti riconducibili ad un determinato prodotto o servizio finanziario, rintracciando così quelle fattispecie che presentano elementi di similarità o somiglianza, in maniera tale da poterne ricavare informazioni utili alla discussione dell’esposto, oltre che per l’attività di vigilanza.

L’intelligenza artificiale per ottimizzare e semplificare l’attività di analisi riguardante gli esposti

In altre parole, Banca d’Italia, attraverso il ricorso all’Intelligenza Artificiale, punta ad ottimizzare e semplificare l’attività di analisi riguardante gli esposti, i quali nella pratica, oltre ad essere presentati in quantità massiva, sono solitamente costituiti da voluminosi documenti di varia natura e genere. Di conseguenza, tramite tali tecniche di A.I., gli esposti vengono raccolti in cluster, dunque in gruppi, per similitudine semantica, così da apprendere elementi informativi e rappresentazioni gerarchiche dall’aggregazione dei dati.

Per il perseguimento di tale fine, vengono assegnati dei tag esemplificativi del contenuto, riguardanti in particolare i prodotti ed i servizi finanziari offerti alla clientela, che abbiano costituito oggetto di segnalazione di anomalia da parte degli stessi esponenti. Ne consegue che la clusterizzazione degli esposti e delle relative informazioni contenute non viene a coinvolgere i dati personali dei proponenti o di soggetti terzi, ivi compresi coloro che operano per conto dell’intermediario destinatario dell’esposto, ma solamente i soli prodotti e servizi offerti alla clientela ed oggetto della segnalazione di anomalia da parte dei privati.

La compliance dell’utilizzo di AI

L’utilizzo di strumenti di Intelligenza Artificiale è esclusivamente preordinato alla realizzazione di un’analisi dell’andamento spazio-temporale relativo al diffondersi di fattispecie ricorrenti o potenzialmente anomale negli esposti, pertanto tale attività non implica alcuna forma di profilazione o predizione di comportamenti né delle persone fisiche esponenti o dei terzi citati negli esposti, né delle persone fisiche che a vario titolo possono essere coinvolte nella vicenda, anche in qualità di soggetti svolgenti funzione di amministrazione, direzione e controllo nell’organizzazione dell’intermediario segnalato ovvero operanti in rapporto di mandato, lavoro o collaborazione con l’intermediario stesso.

Inoltre, Banca d’Italia specifica chiaramente nel Regolamento che:

  • il risultato delle analisi sviluppate con tecniche di A.I. non è idoneo a cagionare immediate conseguenze sanzionatorie o decisioni automatiche su persone fisiche;
  • lo stesso risultato non impatta in modo immediato e diretto sulle decisioni rimesse a Banca d’Italia in relazione alle questioni sottoposte dagli esponenti.

Infatti, tutte le decisioni saranno adottate direttamente e discrezionalmente dal personale avente funzioni di vigilanza della stessa Autorità, all’interno della procedura ordinaria di gestione dei singoli esposti.

Ancora, Banca d’Italia dispone l’adozione di specifiche misure di sicurezza idonee al monitoraggio degli applicativi A.I. utilizzati a supporto della trattazione degli esposti, con l’accesso alle informazioni concesso ai soli dipendenti autorizzati e l’aggiornamento periodico degli algoritmi di machine learning, nonché l’implementazione di tutte le misure necessarie di protezione dell’hardware, delle reti e delle apparecchiature da eventi malevoli, sotto il controllo di tecnici esperti.

L’utilizzo dell’Intelligenza Artificiale risponde, alla luce delle misure indicate, ai principi di proporzionalità, necessità e limitazione del trattamento in base alle finalità strettamente delimitate e attribuite per legge alla Banca d’Italia, la quale, con questo Regolamento, conferma la sua sensibile attenzione in materia di A.I..

Nell’ultimo periodo, attraverso lo sviluppo delle nuove tecnologie e l’aumento esponenziale della quantità di dati disponibili, si assiste ad una rinnovata attenzione verso la disciplina dell’Intelligenza Artificiale; tale fenomeno di interesse ha origini europee individuabili nella proposta di Regolamento “Artificial Intelligence Act” presentata ad aprile 2021 dalla Commissione Europea (ed attualmente in discussione, con l’obiettivo di raggiungere un testo definitivo entro giugno 2022), con la quale l’Unione Europea propone diverse misure volte a normare lo sviluppo, l’immissione sul mercato e l’utilizzo di sistemi di Intelligenza Artificiale sia in generale sia, più dettagliatamente, in alcune aree ad alto impatto.

Tra queste, si rintraccia il settore bancario e finanziario, il quale dispone – e disporrà esponenzialmente sempre di più – di un’enorme mole di dati ad alto potenziale informativo, ragion per cui si palesa la necessità di una disciplina di tutela per tutti i soggetti potenzialmente interessati, capace di delineare i principi, i metodi e le misure per il ricorso all’Intelligenza Artificiale in questo ambito.

La conformità privacy del Regolamento di Banca d’Italia

Banca d’Italia, nella definizione della disciplina in materia del trattamento dei dati nell’ambito della gestione degli esposti, tiene conto delle indicazioni ricevute in più interlocuzioni dal Garante per la Protezione dei Dati Personali, così da garantire, mediante l’individuazione di misure appropriate e specifiche, la tutela dei diritti fondamentali degli interessati, in conformità ai principi del Regolamento (UE) 2016/679 (GDPR).

Questa conformità è comprovata dallo stesso Garante Privacy il 24 febbraio 2022, dunque poco meno di un mese prima della pubblicazione del Regolamento, attraverso un parere favorevole (Parere n. 78/2022) in ordine alla disciplina delineata per il trattamento dei dati personali riservato alla gestione degli esposti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4