L’intelligenza artificiale potrebbe ridefinire le modalità con cui gli istituti e gli intermediari finanziari affrontano la prevenzione del riciclaggio di denaro e del finanziamento del terrorismo, in un contesto normativo europeo sempre più stringente e armonizzato.
A livello internazionale, il report del primo luglio 2021 del Financial Action Task Force (FATF/GAFI) dal titolo “Opportunities and Challenges of New Technologies for AML/CFT” ha incoraggiato l’adozione dell’IA nei processi di antiriciclaggio e contrasto al finanziamento del terrorismo (AML/CFT), riconoscendo le potenzialità di queste tecnologie nel miglioramento della rilevazione di anomalie e nell’analisi predittiva di comportamenti sospetti.
Viene evidenziato come le tecnologie digitali, incluse le soluzioni IA, siano sempre più al centro dell’attività regolatoria e investigativa, rafforzando sia i presidi ex ante che le attività repressive ex post attraverso tecniche di network analysis e inferenze algoritmiche sofisticate.
Tuttavia, l’intelligenza artificiale presenta anche criticità. Il rischio di bias algoritmici, l’opacità delle decisioni automatizzate e il mancato rispetto dei principi di proporzionalità e minimizzazione del trattamento dei dati richiedono un bilanciamento attento tra innovazione e tutela dei diritti fondamentali.
In questo scenario si collocano gli sviluppi introdotti dal Regolamento (UE) 2024/1689 sull’intelligenza artificiale (Regolamento IA), nonché gli orientamenti degli Organi di Vigilanza dedicati al settore bancario-finanziario.
Indice degli argomenti
Dove l’intelligenza artificiale antiriciclaggio diventa alto rischio
Il Regolamento IA identifica all’Allegato III come sistemi di IA ad alto rischio quelli utilizzati per attività come il monitoraggio, la profilazione e la valutazione dei clienti, anche da un punto di vista assicurativo e del credito, nonché ai fini della due diligence antiriciclaggio. Inoltre, i fornitori di sistemi di IA ad alto rischio devono garantire che i sistemi siano progettati in modo da consentire una supervisione umana, assicurare la qualità dei dati, la tracciabilità dei processi decisionali e la trasparenza verso l’utente finale.
Sono inoltre richiesti audit, gestione del rischio e sistemi di controllo della conformità.
AI Act e possibili rinvii: perché gli obblighi operativi restano attuali
È altresì noto che il Regolamento IA sarà rivisitato in alcuni passaggi all’occasione dell’annunciata semplificazione normativa da parte dell’UE attraverso la proposta Digital Omnibus Regulation, in discussione il 19 novembre 2025.
Quello che dovrebbe accadere, per ciò che interessa ai fini di questa analisi, è, tra gli altri, una posticipazione dell’entrata in vigore al 2027 (anziché il 2 agosto 2026) delle prescrizioni relative ai sistemi di IA ad alto rischio, anche a causa di ritardi nella definizione degli standard necessari alla loro applicazione, nonché il rinvio dell’applicazione delle sanzioni per violazioni degli obblighi di trasparenza e la semplificazione di alcuni oneri di conformità per le imprese.
Ma questo differimento, per il settore e gli scopi in esame, non deve trarre in inganno gli operatori: l’impiego di sistemi IA nei processi di profilazione e verifica della clientela AML/CFT deve già oggi confrontarsi con un insieme di fonti vincolanti, a partire dal Regolamento 2016/679 (GDPR).
GDPR e regole AML/CFT: i vincoli già in vigore per l’IA
Il GDPR impone, tra gli altri, (i) obblighi informativi e procedimentali rigorosi sul trattamento automatizzato dei dati informativi (artt. 13, comma 2, lett. (f), 14, comma 2, lett. (g) e 15, comma 1, lett. (h) del GDPR), (ii) una valutazione di impatto privacy (art. 35 GDPR) e (iii) il diritto da parte dell’interessato di opporsi a processi decisionali automatizzati senza l’intervento umano (art. 22 GDPR).
Inoltre, le norme antiriciclaggio, in particolare il D.lgs. 231/2007 come aggiornato dalla Direttiva UE 2015/849, le istruzioni e gli orientamenti di Banca d’Italia in materia di adeguata verifica, continuità operativa e in tema di algo governance, costituiscono un corpus di regole organizzative e di modalità operative già effettive per i soggetti obbligati, peraltro anche antecedenti alla stessa pubblicazione del Regolamento IA.
Onboarding a distanza: l’uso dell’intelligenza artificiale antiriciclaggio secondo ABE
Concentrandoci sulle regole dettate in particolare nel campo finanziario-bancario e partendo proprio dall’onboarding, fase in cui si inizia a definire il profilo di rischio della clientela, le Linee guida dell’Autorità Bancaria Europea (ABE) GL/2022/15 sull’utilizzo di soluzioni di onboarding a distanza del cliente tengono conto del possibile uso di tecnologie innovative nella selezione della clientela (e, di riflesso, della successiva profilazione e verifica), purché inserite in un contesto di governance tecnologica adeguato.
Le Linee guida sono state recepite dalla Banca d’Italia con Orientamento n. 32 del 13 giugno 2023 e applicate a partire dal 2 ottobre 2024 a tutti gli intermediari chiamati ad adeguarsi alle Linee guida in relazione a ogni soluzione impiegata per l’acquisizione della clientela, sia quelle già in uso che quelle di nuova introduzione.
L’approccio raccomandato è quello basato sul rischio, dove l’adozione di sistemi IA deve essere accompagnata da solide misure di controllo e da un continuo monitoraggio degli algoritmi, per mitigare rischi operativi, informatici e reputazionali.
Valutazioni, test e responsabilità anche in caso di outsourcing
Prima dell’introduzione di una nuova soluzione tecnologica per l’identificazione a distanza, è necessaria una valutazione preliminare che comprenda l’analisi dell’adeguatezza dei dati raccolti, l’impatto sui rischi AML/CFT, test antifrode e simulazioni end-to-end.
Ogni fase di onboarding, anche quando supportata da IA, deve garantire che il personale sia in grado di rilevare manipolazioni, interferenze o segnali d’allarme. Il processo, anche se delegato a fornitori esterni, resta sotto la responsabilità dell’intermediario, tenuto a verificare la conformità del provider e ad assicurare la coerenza con i propri assetti AML.
Viene altresì chiarito che l’utilizzo di strumenti biometrici, riconoscimento ottico dei caratteri (OCR), analisi facciale o documentale automatizzata è lecito solo se validato, controllabile e integrato in un framework di gestione dei rischi.
eIDAS e presidi di controllo interno: requisiti e misure correttive
Qualora la soluzione tecnologica adottata per l’identificazione elettronica abbia livelli di garanzia definiti come “significativi” o “elevati”, oppure si basi su servizi fiduciari qualificati ai sensi del regolamento eIDAS (UE) n. 910/2014, alcuni requisiti richiesti risulteranno automaticamente soddisfatti.
È essenziale che la tecnologia sia pienamente integrabile nel sistema di controlli interni dell’ente e che il suo funzionamento venga monitorato costantemente. Gli operatori dovrebbero definire procedure con misure correttive – indicate esemplificativamente dalle Linee guida – per il caso in cui si sia concretizzato un rischio o siano stati individuati errori con un impatto sull’efficienza e sull’efficacia della soluzione generale adottata.
In tale contesto, sono previsti controlli di qualità, audit, segnalazioni automatizzate e verifiche a campione. In presenza di malfunzionamenti o rischi accertati, devono essere previste misure correttive, incluse eventuali segnalazioni all’Unità di Informazione Finanziaria per l’Italia (UIF).
SOS e intelligenza artificiale antiriciclaggio: i confini indicati dall’UIF
Passando dalla fase di onboarding a quella delle segnalazioni di operazioni sospette (SOS), nell’edizione di luglio 2025 dei Quaderni dell’Antiriciclaggio, dedicata alle segnalazioni, l’UIF esprime concetti analoghi a quelli espressi dall’ABE.
Chiarendo preliminarmente come la segnalazione non rappresenti un’accusa, ma l’espressione di un sospetto razionalmente fondato su anomalie rispetto al profilo del cliente e alla coerenza delle sue attività, viene evidenziata la possibilità per i soggetti obbligati di ricorrere a sistemi tecnologici automatizzati a supporto dell’attività di rilevazione delle anomalie.
Tuttavia, nel caso in cui si utilizzino algoritmi predittivi, indicatori quantitativi, strumenti di data analysis o software di machine learning, la valutazione finale deve comunque coinvolgere una componente umana e responsabile, in grado di contestualizzare il sospetto.
Perché la segnalazione non può essere “automatica”
La UIF ribadisce che nessuna segnalazione può essere generata automaticamente senza un vaglio umano. In altre parole, l’IA non può sostituirsi al giudizio finale del professionista.
Viene quindi suggerita una modalità di utilizzo corretto dei modelli algoritmici: valutare eventuali operazioni come sospette sulla base di ciò che statisticamente, “a prima lettura”, risulterebbe atipico rispetto al comportamento atteso del cliente o rispetto alla media del mercato, mentre per la validazione del sospetto è sempre richiesta l’analisi del professionista.
Tracciabilità, spiegabilità e controlli su falsi positivi e omissioni
Quanto agli assetti organizzativi, ossia alla governance interna, è richiesta la nomina di un responsabile per la gestione delle segnalazioni e la formalizzazione di una procedura di individuazione, analisi, valutazione e trasmissione delle SOS.
Viene posto l’accento sulla necessità che i soggetti obbligati dotati di soluzioni tecnologiche avanzate, in particolare strumenti basati su logiche di machine learning, garantiscano che tali strumenti siano impiegati in coerenza con i principi di tracciabilità, trasparenza, non discriminazione e verificabilità.
La UIF specifica che l’utilizzo di algoritmi nella profilatura della clientela o nell’individuazione di comportamenti anomali deve essere accompagnato da un controllo ex ante sulla validità statistica dei modelli e da un controllo ex post sui risultati prodotti, soprattutto in termini di false segnalazioni o omissioni rilevanti.
Una parte importante è dedicata al concetto di governance algoritmica. Il documento suggerisce che le strutture più complesse adottino un presidio specifico per la validazione e la supervisione dei modelli automatizzati, includendo nel processo anche le funzioni di compliance, audit interno e risk management.
Per evitare derive opache, viene richiesto che i modelli non siano “black box” e che ogni segnalazione possa essere spiegata a posteriori in termini comprensibili.
Per quanto riguarda il software utilizzato per la verifica della clientela, viene sottolineata la possibilità di utilizzare sistemi che integrino fonti esterne e interne, capaci di identificare incongruenze nei dati anagrafici, anomalie documentali, segnali di rischio reputazionale o relazioni con soggetti terzi ad alto rischio.
Anche in questo caso si richiede però che ogni alert generato da tali software venga comunque analizzato e validato da personale umano, così come sarà sempre responsabilità del soggetto obbligato la trasmissione di eventuali SOS alle autorità tramite i canali dedicati.
A che punto sono gli intermediari: l’indagine di Banca d’Italia sull’IA
Ma qual è lo stato effettivo di integrazione di tecnologie IA da parte degli operatori?
Il 2 settembre scorso Banca d’Italia ha pubblicato l’esito dell’indagine qualitativa sull’adozione di strumenti innovativi per l’adempimento degli obblighi AML/CFT; l’indagine è stata condotta tra il 2023 e il 2024, tramite l’Unità di Supervisione e Normativa Antiriciclaggio.
È emerso che il processo in cui le nuove tecnologie sono più largamente adottate è quello di onboarding della clientela. Quasi tutte le banche del campione utilizzano strumenti quali identità digitali (SPID, CIE), firme elettroniche qualificate e riconoscimento biometrico.
L’uso di tecnologie avanzate quali il machine learning, OCR e il natural language processing (NLP) per l’acquisizione e la verifica automatizzata dei dati e dei documenti del cliente è presente nella metà degli intermediari.
Più contenuto, invece, l’impiego di strumenti di big data e advanced analytics per la profilatura del rischio e la verifica continuativa, così come l’uso di tecnologie che integrino dati provenienti da fonti interne ed esterne, o che consentano condivisione informativa tra società di uno stesso gruppo bancario, risultano presenti in maniera più marginale e non ancora pienamente sviluppate.
Infine, il monitoraggio delle transazioni – ambito strategico e ad alta intensità di dati – rappresenta oggi un terreno di sperimentazione ancora limitata: solo un quinto delle banche dichiara di adottare tecnologie innovative per questa funzione, sebbene tutte riconoscano il potenziale del loro impiego.
Innovazione sì, ma con governance e controllo umano
L’analisi condotta mette in evidenza i benefici legati all’automazione (riduzione della manualità, maggiore accuratezza dei dati, miglioramento dell’esperienza cliente), ma anche i rischi connessi all’adozione di soluzioni tecnologiche senza un’adeguata strategia.
Rischi ICT, rischi di frode (soprattutto connessi a identità digitali rilasciate da terzi) e rischi di esternalizzazione rappresentano le principali criticità emerse.
La Banca d’Italia richiama quindi l’importanza di inserire l’adozione di tali strumenti di IA all’interno di una strategia complessiva di trasformazione digitale guidata dal management, con il coinvolgimento sistematico della Funzione Antiriciclaggio e della Funzione Risk Management.
I presidi di controllo devono essere potenziati per garantire l’effettiva efficacia degli strumenti adottati, anche quando sviluppati in outsourcing. I vantaggi sono massimizzati solo laddove siano presenti competenze specialistiche interne e un approccio consapevole al governo della tecnologia.
In conclusione, il quadro regolamentare e operativo in materia di IA applicata agli obblighi AML/CFT è già oggi denso di vincoli, nonostante il rinvio dell’AI Act.
L’adozione di sistemi automatizzati nel settore finanziario-bancario (ma anche in quello assicurativo) è pienamente legittima, purché inserita in un contesto di governance responsabile, controllabile e trasparente.
Il rischio non è l’innovazione, ma un’innovazione priva di controllo umano e di consapevolezza normativa. Le autorità di vigilanza, dal livello europeo a quello nazionale, non solo riconoscono il potenziale dell’IA, ma ne delineano già i confini di utilizzo: tra opportunità di efficientamento e necessità inderogabili di compliance e tutela.
L’intelligenza artificiale non può sostituire la diligenza professionale, ma può potenziarla, se utilizzata con metodo, proporzionalità e vigilanza.
Quello che emerge, quindi, è che solo un impianto solido di digital governance potrà garantire coerenza tra efficienza operativa e conformità normativa, avendo a mente che è la sinergia tra regolazione, innovazione e controllo umano a rappresentare la chiave per un uso efficace, legittimo e sostenibile dell’IA nel settore antiriciclaggio.
