Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

affidabilità finanziaria

Controllo del merito creditizio: regole e limiti nei settori extra bancari

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Valutare l’affidabilità finanziaria dei clienti è essenziale anche per imprese non bancarie. Il Codice di condotta dei SIC definisce limiti, garanzie e diritti connessi all’uso dei dati personali

Pubblicato il 4 nov 2025
Sergio Aracu

Founding Partner di Area Legale S.r.l.

Raffaella Grisafi

Studio Legale Grisafi

Come funzionano le carte di credito con fido, come richiederle e quale conviene Controllo del merito creditizio

Il controllo del merito creditizio rappresenta uno strumento fondamentale per le imprese che operano nei settori extra bancari.

A differenza del settore bancario, dove esistono obblighi normativi specifici, in altri ambiti commerciali, infatti, la valutazione creditizia si svolge in un contesto regolatorio più articolato, che solleva importanti questioni sulla conformità al GDPR.

CCD2: la direttiva europea che cambia il merito creditizio

Come funzionano i sistemi di informazione creditizia e chi può accedervi

Quando si tratta di concludere contratti di durata per attivare servizi o vendere beni, verificare l’affidabilità creditizia del potenziale contraente è di fondamentale importanza per tutelare l’assetto finanziario di qualsiasi società commerciale.

In taluni casi, connessi ad esempio alla distribuzione di prodotti e servizi bancari e finanziaria, è addirittura un obbligo di legge.

Ma cosa accade in tutti quei settori in cui tale obbligo di legge non sussiste?

Il più delle volte ci si rivolge a banche dati che raccolgono informazioni in tema di prestiti, affidabilità e puntualità nei pagamenti, gestite da enti, associazioni o soggetti privati, cosiddetti gestori di sistemi di informazioni creditizia (SIC).

Ad essi fanno riferimento una serie di norme primarie e secondarie oltre che fonti di autoregolamentazione frutto dell’iniziativa privata. Esiste infatti uno specifico Codice di Condotta che, ai sensi dell’art. 40 del GDPR, è stato approvato dall’Autorità Garante per la protezione dei dati personali al fine di disciplinare la materia.

Finalità e condizioni di liceità del trattamento secondo il codice di condotta

Il Codice di condotta fa seguito ad un Codice deontologico del 2005 che individuava le garanzie e modalità per permettere ad alcune categorie di stakeholders di accedere ai SIC nel rispetto di diritti e libertà fondamentali.

Le categorie autorizzate ad accedere (il cui novero è stato ampliato ex lege nel 2011) sono le seguenti:

  • banche
  • intermediari finanziari
  • altri soggetti privati che, nell’esercizio di un’attività commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni o servizi
  • fornitori di servizi di comunicazione elettronica e i fornitori di servizi interattivi associati o di servizi di accesso condizionato (tra cui, quindi, le società telefoniche)
  • imprese di assicurazione
  • soggetti autorizzati a svolgere le attività di vendita a clienti finali di energia elettrica e di gas naturale ai sensi della normativa vigente.

Le condizioni da rispettare per poter accedere ai SIC, invece, sono:

  • operare in un quadro di reciprocità nello scambio di dati con gli altri partecipanti
  • rispettare le prescrizioni stabilite dal Garante per la protezione dei dati personali necessarie ad assicurare proporzionalità, correttezza e sicurezza circa il trattamento di dati personali ai sensi del predetto comma 1 e il rispetto dei diritti e delle libertà fondamentali, nonché della dignità dei soggetti cui le informazioni si riferiscono, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.

Il Codice di Condotta pone le basi per una piena realizzazione di quanto richiesto in tale seconda condizione, permettendo una coerente regolamentazione del settore ed individuando adeguate garanzie in conformità con il GDPR.

Finalità e limiti del trattamento dei dati nei sistemi creditizi

Il trattamento dei dati personali contenuti in un SIC può essere effettuato dal gestore e dai partecipanti, ciascuno per le attività di propria competenza, coerentemente con quanto disciplinato nel Codice di condotta, esclusivamente per finalità connesse alla valutazione, all’assunzione o alla gestione di un rischio di credito, alla valutazione dell’affidabilità e della puntualità nei pagamenti dell’interessato. Rientrano in tali finalità la prevenzione del rischio di frodi e del furto di identità.

Liceità del trattamento e processi automatizzati di scoring

Il Codice stabilisce che il trattamento dei dati personali da parte del gestore e dei partecipanti è necessario per il perseguimento di legittimi interessi dei partecipanti all’utilizzo del SIC per le finalità sopra descritte. Pertanto, non è necessario acquisire il consenso dell’interessato.

Specifica, altresì che costituiscono legittimi interessi: la corretta misurazione del merito e del rischio creditizio, la corretta valutazione dell’affidabilità e della puntualità dei pagamenti dell’interessato, la prevenzione del rischio di frode, ivi inclusa la prevenzione del rischio del furto di identità.

Le consultazioni, però, come detto, possono essere effettuate anche per finalità di scoring.

Credit scoring e diritto all’informazione dell’interessato

Chi consulta i SIC, infatti, generalmente tiene fortemente in considerazione il risultato della consultazione (positivo o negativo) per decidere di concedere o meno la rateizzazione del pagamento (o forme di finanziamento) per godere del servizio/bene o nel caso di natura di durata del servizio, il pagamento periodico (si pensi alle società telefoniche, o a chi vende al cliente finale energia elettrica o gas naturale).

Il Codice prevede, in modo molto specifico, che quando la richiesta non è accolta, l’interessato possa richiedere al partecipante se, per istruire la richiesta, ha consultato dati relativi a esiti, indicatori o punteggi di tipo negativo ottenuti mediante trattamenti o processi decisionali automatizzati di scoring e di fornirgli tali dati, nonché una spiegazione delle logiche di funzionamento dei sistemi utilizzati e delle principali tipologie di fattori tenuti in considerazione nell’elaborazione.

Una previsione, questa, che mostra molti punti di contatto con il settore d’elezione di utilizzo di scoring di dati contenuti nei SIC, quello dei finanziamenti e del credito immobiliare offerto ai consumatori ove, in base alle Disposizioni di trasparenza di Banca d’Italia, sostanzialmente vige la medesima logica, peraltro rafforzata dall’imminente recepimento della Direttiva CCD2.

Il nodo del processo decisionale automatizzato nel GDPR

L’analisi comparata dei due diversi settori – bancario ed extra bancario – non è causale.

Quanto sinora illustrato sull’accesso ai SIC nel contesto extra bancario, infatti, parrebbe in linea con le previsioni dell’art. 22 del GDPR (che si applica anche al settore creditizio), se non fosse che:

a) come detto, in maniera prevalente, come si è detto, la decisione si fonda solo sul risultato della consultazione del SIC (costituendo, quindi, l’esito di un processo decisionale automatizzato poiché non compare una valutazione umana ultronea);

b) l’art. 22 non prevede il legittimo interesse come esimente dal divieto di sottoporre l’interessato ad una decisione fondata su un processo automatizzato.

Il caso SHUFA e l’interpretazione della corte di giustizia UE

In realtà non stiamo dicendo nulla di nuovo.

Già sul finire del 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata esattamente su questa fattispecie, con le note pronunce partendo dal caso di un gestore tedesco di SIC, SHUFA Holding AG, appunto stabilendo, il principio da noi appena richiamato.

La CGUE, infatti, chiarisce che l’articolo 22, paragrafo 1, del GDPR deve essere interpretato nel senso che il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un «processo decisionale automatizzato relativo alle persone fisiche» qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo.

Soluzioni possibili: combinare analisi automatica e giudizio umano

In realtà, quello che può a prima vista apparire come un vicolo cieco, offre alcune soluzioni. Forse non di banale applicazione, ma comunque percorribili.

La prima: uscire dal perimetro di applicabilità dell’art. 22 del GDPR.

Come ci ricorda anche la CGUE, infatti, l’art. 22 si applica in presenza di tre condizioni cumulative:

  1. deve esistere una «decisione»,
  2. tale decisione deve essere «basata unicamente sul trattamento automatizzato, compresa la profilazione»,
  3. tale decisione deve produrre effetti giuridici riguardanti l’interessato o incidere «in modo analogo significativamente sulla sua persona».

A parere di chi scrive per smontare questa “equazione”, gioca un ruolo importante certamente il fattore n. 2 su cui intervenire per far sì che la decisione non sia basata unicamente sul risultato offerto dal SIC.

Per farlo, quindi, occorre agire a valle della query, posto che il risultato offerto dai SIC è (secondo la CGUE) indiscutibilmente una profilazione automatizzata che corrisponde al calcolo automatizzato di un tasso di probabilità basato su dati personali relativi ad una persona e riguardante la capacità di quest’ultima di onorare un prestito in futuro.

L’unica strada, quindi (sempre ad opinione di chi scrive), passa per la possibilità di modificare i processi autorizzativi facendo sì (e potendolo dimostrare) che il risultato ottenuto dal SIC sia solo uno dei fattori che concorre al raggiungimento della decisione (come avviene invece generalmente nel settore creditizio ove la consultazione dei SIC sono accompagnate da valutazioni più ampie svolte dagli operatori anche per mezzo di altri dati e informazioni).

Dal credit scoring al credit rating: verso modelli più equilibrati

In questo modo si passerebbe da un puro e semplice Credit Scoring, a quello che in ambito aziendale viene definito come Credit Rating (processo in cui vengono presi in considerazione più fattori, rispetto ai semplici dati “numerici” che, nel B2B, sono tipicamente dati di bilancio).

Interessante, in questa prospettiva, è il percorso che si sta evolvendo nel già citato sistema bancario con la previsione della richiesta di intervento umano rimessa al cliente consumatore, prevista dalla CCD2 nonché, per tutti gli ambiti, dal contributo dell’AI Act.

L’ipotesi di un obbligo normativo e i vincoli del GDPR

La seconda: una norma di legge che preveda come obbligatorio il Credit Check, nella sua forma di Credit Scoring nei casi qui illustrati.

Al di là della difficoltà intrinseca nell’arrivare alla promulgazione di una norma di Legge, occorre soffermarsi anche su quanto ben statuito dalla CGUE nella medesima sentenza sin qui citata e, cioè, che la suddetta ipotetica norma di legge dello stato membro dovrebbe comunque conformarsi alle previsioni del GDPR e, in particolare, a quelle relative agli artt. 5 e 6.

Bilanciare tutela d’impresa e diritti dell’interessato

Non è forse vero che l’impresa ha il diritto (e spesso l’obbligo) di tutelare il proprio asset finanziario, evitando di esporsi a rischio di insolvenza da parte dei propri clienti?

E questo diritto/dovere non è stato rafforzato, in altri ambiti, dall’altrettanto importante obbligo di tutela dell’interessato stesso (nella sua parallela veste di controparte contrattuale), ad opera di chi eroga credito, per evitare situazioni di sovra indebitamento?

Sembra dunque porsi un problema applicativo del GDPR che, messo alla prova in sede applicativa, esattamente come accade in altre situazioni (ad esempio il trattamento di dati particolari o il ruolo del Data Protection Officer), mostra un certo affanno nell’attività di contemperamento degli interessi di tutti gli stakeholders.

Forse è su questi aspetti che dovrebbe concentrarsi il Legislatore Europeo (e quello nazionale, nella misura in cui gli sarebbe possibile intervenire) nelle future eventuali modifiche al Regolamento Europeo in materia di protezione dei dati personali.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Sergio Aracu
Founding Partner di Area Legale S.r.l.
Seguimi su
G
Raffaella Grisafi
Studio Legale Grisafi
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • formazione digitale; prova informatica; dispositivi mobili PA ia editoria Ai per l'education; sicurezza Spid; managed kubernets service

  • la guida

    Prova informatica, cos'è e come gestirla nel processo penale

    19 Mag 2025

    di Matteo Montaruli

    Condividi
  • Google vaultgemma; furto documenti; indipendenza garanti privacy

  • approfondimento

    Privacy aziendale per i dipendenti: a cosa fare attenzione

    28 Apr 2025

    di Lorenzo Giannini

    Condividi