Direttori Stefano Ambrosini e Franco Benassi
Giurisprudenza

Concessione abusiva di credito e risarcimento del danno da violazione di norme di condotta

* * *
Articolo

Critica etica al sistema di credit scoring automatizzato

Simone Pesucci

Data pubblicazione
30 ottobre 2024

Scarica PDF

Articoli

TORNA INDIETRO

Sommario: 1. Premesse 2. Il Rapporto tra Credit Scoring e GDPR 3. La legislazione per il Credit Scoring Automatizzato 4. Cosa Resterà del Credit Scoring Automatizzato 5. Credit Scoring e Social Scoring



  1. Premesse

I primi venti anni del nuovo millennio sono stati segnati da una profonda tensione capitalistica. Il quadro economico e le scelte politiche del nostro e degli altri Stati europei sono da svariati decenni incentrati sull’attenzione maggiore verso una valutazione dell’individuo tramite la sua solvibilità; ma mai prima d’ora il tema è diventato il nucleo fondante di ogni pensiero, non solamente quello giuridico ed economico, ma anche quello squisitamente umanistico.

Lo stesso sistema europeo, nato originariamente come Comunità Economica, e quindi esprimendo con chiarezza il desiderio primario di accelerare la libera circolazione delle merci e dei lavoratori, sembrava poi aver costruito un quadro nuovo, abbracciando il concetto più ampio di “Unione”; a ben vedere però, il nome ha solo inteso il tema di una economia allargata più profondo, tanto da intaccare la sensibilità di ciascuno stato membro fino a far sollevare oggi il “dubbio” circa una possibile ingerenza europea nelle decisioni dei singoli paesi.

Risulta inevitabile quindi che il valore dell’individuo e la sua capacità espressiva all’interno del modello europeo passi attraverso il suo merito creditizio.

Se questo può sembrare un volo pindarico, non sfugga al lettore che tutto il nostro sistema europeo, dal modello bancario a quello dei mercati, dalla gestione del lavoro a quello della semplice circolazione dei cittadini membri, può essere riletto e valutato attraverso il filtro del Credit Scoring.

La legislazione europea in materia di credit scoring, sviluppata negli ultimi anni, si inserisce in un quadro complesso che cerca di bilanciare la promozione della trasparenza, della protezione dei consumatori e della stabilità finanziaria. Il credit scoring si qualifica come il processo attraverso il quale le istituzioni finanziarie e altre entità valutano la solvibilità dei consumatori e delle imprese, mediante l’utilizzo di algoritmi e dati personali per stimare il rischio di insolvenza. Questo strumento è cruciale per il funzionamento dei mercati del credito, ma comporta anche preoccupazioni per la privacy, la discriminazione e l'accesso equo ai finanziamenti.

Oggi con l’ausilio dei sistemi automatizzati di Credit Scoring, è sempre più necessaria e impellente una legislazione specifica che ne limiti e regolamenti l’utilizzo; al tempo stesso questo valore di affidabilità è diventato progressivamente più importante, andando a limitare in modo decisivo la nostra quotidianità, sia nella sfera privata che nell’attività imprenditoriale.

Con l’avvento e l’esplosione dei modelli di intelligenza artificiale, abbiamo assistito nell’ultimo quinquennio alla loro applicazione proprio all’interno delle società di Credit Scoring: ma un modello completamente automatizzato che valuti la nostra affidabilità finanziaria è eticamente corretto?

La domanda è attuale1, soprattutto alla luce di numerosi giudizi terminati proprio innanzi alla Corte di Giustizia Europea, da cui l’assunto di questo scritto, circa la difficile convivenza tra automazione e merito creditizio.



  1. Il Rapporto tra GDPR e Credit Scoring

A livello Europeo si cerca da alcuni anni di armonizzare la legislazione sul Credit Scoring con il sistema di raccolta dati, per garantire il rispetto del trattamento dei dati sensibili della Clientela.

In tal senso, il Regolamento Generale sulla Protezione dei Dati (GDPR), entrato in vigore nel 2018, è uno dei principali strumenti legislativi che regolano il credit scoring in Europa. Il GDPR impone diverse restrizioni sull'uso dei dati personali, che sono spesso fondamentali per il processo di credit scoring. I punti chiave riguardano:

  • Base giuridica per il trattamento dei dati: Le aziende devono avere una base giuridica valida per raccogliere e trattare i dati personali utilizzati nel credit scoring. Questo può essere il consenso dell'individuo ma anche l'interesse legittimo dell'azienda.

  • Trasparenza e accesso ai dati: I consumatori hanno il diritto di sapere quali dati vengono utilizzati per il loro credit score e come vengono elaborati. Hanno inoltre il diritto di accedere ai propri dati e richiedere correzioni in caso di errori.

  • Profilazione automatizzata e diritto di contestazione: Il GDPR contiene disposizioni specifiche in merito alla profilazione automatizzata, inclusi i processi di decisione interamente automatizzati, come quelli relativi al credit scoring. Le persone hanno il diritto di contestare decisioni automatizzate e richiedere l'intervento umano.

  • Principio di minimizzazione dei dati: Le istituzioni devono garantire che vengano raccolti e utilizzati solo i dati strettamente necessari per determinare il credit score.

Tra questi punti particolare attenzione deve essere dedicata alla tutela nell’uso della profilazione automatizzata, ovvero a quel sistema, centralizzato in molti paesi europei, che consente di elaborare in forma automatica il merito creditizio del singolo individuo, creando una banca dati a cui ciascuna singola azienda può attingere per verifiche preliminari alla stipula di un contratto. Il tema è quello del bilanciamento degli interessi tra il diritto dei partner commerciali di conoscere la solvibilità di un potenziale cliente e il diritto di quest’ultimo affinché i dati raccolti nella profilazione siano gestiti in maniera trasparente e corretta2.

Proprio sul punto la Corte di Giustizia Europea si è recentemente e più volte confrontata sul difficile rapporto tra il GDPR e la gestione automatizzata del sistema di Credit Scoring, nelle celebri sentenze “Schufa”.

Il termine deriva dalla principale Agenzia tedesca di Credit Scoring “Schufa”, la cui valutazione di affidabilità risulta indispensabile ormai per la vita di qualunque cittadino tedesco.

In Germania, infatti, esiste un sistema centrale automatizzato che raccoglie i dati di qualunque cittadino ricostruendo quindi l’indice di affidabilità finanziaria e rendendo tale risultato accessibile per ogni società previo consenso del potenziale cliente: anche lo stesso cittadino, inoltre, può richiedere di accedere alla propria valutazione e monitorarla costantemente, mediante il pagamento di un piccolo canone mensile.

Il Sistema, se da un lato ha consentito una uniformità del giudizio di merito creditizio ad un determinato standard, dall’altro ha sollevato non pochi problemi scontrandosi con la legislazione europea sul trattamento dei dati personali.

Il tema è quello della trasparenza nella raccolta e valutazione dei dati finanziari dei cittadini, nonché la possibilità di questi ultimi di poter accedere a tali documenti per comprendere le ragioni del punteggio ottenuto.

In tal senso, la prima sentenza a destare attenzione è stata quella resa nella causa C-634/2021/SCHUFA Holding (Scoring) decisa a dicembre 20233.

Secondo la Corte, il GDPR (art. 22) vieta il processo decisionale automatizzato che ha effetti giuridici e incide significativamente su una persona, a meno che non vi siano specifiche condizioni (necessità contrattuale, consenso esplicito o autorizzazione legale). Nel caso della SCHUFA, il ricorrente contestava la decisione automatizzata di rifiutare un prestito basata su un punteggio negativo.

La Corte ha stabilito che, anche se la decisione finale spetta alla banca, il credit scoring automatizzato della SCHUFA costituisce di per sé una violazione ai sensi dell'art. 22 GDPR. Pertanto, le agenzie di credito, nel rispetto del GDPR, devono fornire agli interessati informazioni rilevanti sul processo decisionale e garantire l'intervento umano, ove richiesto4.

L’altro e più recente provvedimento è giunto nella “Causa C-203/22 CK con l’intervento di Dun & Bradstreet Austria GmbH, Magistrat der Stadt Wien5: una donna si è vista negare il rinnovo di un abbonamento di telefonia mobile dal costo mensile di 10 euro, perché dai sistemi automatizzati l’azienda di telefonia non l’aveva più ritenuta meritevole sotto il profilo creditizio.

A fronte della legittima richiesta di accesso di quest’ultima al sistema automatizzato di profilazione, per comprendere quali fossero i dati che avessero condotto ad una simile valutazione del merito creditizio, la società si rifiutava di fornire tali dati poiché ciò avrebbe comportato violazione del segreto commerciale (e quindi tutelato dalla Direttiva Europea 943/2016).

Anche in questo caso siamo di fronte ad un processo automatizzato in cui non era presente in alcuna fase l’intervento umano, per cui risulterebbe impossibile estrapolare e rendere pubblici i dati raccolti dall’IA per l’elaborazione della valutazione finale.

Innanzi alla Corte di Giustizia Europea, l’Avvocato Generale ha quindi riportato nelle conclusioni dello scorso 12 Settembre, le proprie perplessità di fronte ad un sistema evidentemente fallato:

Lo stesso ha richiamato nuovamente l’art. 22 del GDPR, secondo il quale le persone hanno il diritto di non essere soggette a decisioni basate esclusivamente su processi automatizzati, inclusa la profilazione, quando tali decisioni producono effetti legali o incidono significativamente sulla loro persona.

In particolare l’art. 15, paragrafo 1, lettera h), del GDPR stabilisce inoltre il diritto di ottenere “informazioni significative” sulla logica alla base delle decisioni automatizzate. Questo principio di trasparenza non è opzionale: le persone devono ricevere informazioni sufficienti per comprendere come vengono trattati i loro dati personali e come si formano le decisioni, specialmente quando coinvolgono sistemi di intelligenza artificiale.

Il parere dell'Avvocato Generale chiarisce anche che non è necessario rivelare tutti i dettagli tecnici di un algoritmo, ma piuttosto fornire spiegazioni chiare e comprensibili sul funzionamento dell'IA. L'Avvocato Generale ha richiamato le conclusioni emerse nel caso SCHUFA Holding e altri (Scoring), affermando che l’art. 15, paragrafo 1, lettera h) del GDPR debba essere interpretato in modo da coprire, in linea di principio, anche il metodo di calcolo utilizzato da un'agenzia di valutazione del credito, a meno che non vi siano legittimi interessi contrastanti.

È stato sottolineato che, pur cercando di bilanciare i diritti e gli interessi in gioco, il legislatore dell’Unione ha inteso garantire che un minimo di informazione sia sempre fornito, senza compromettere il diritto alla protezione dei dati personali6. Pertanto, anche se il segreto industriale o la proprietà intellettuale possono giustificare il rifiuto di divulgare dettagli completi su un algoritmo, ciò non consente un rifiuto totale di informazioni.

L’obiettivo dell’art. 15 è infatti quello di assicurare che l'interessato riceva informazioni comprensibili e accessibili. La complessità di una formula algoritmica non impone la sua divulgazione completa, se mancano spiegazioni che rendano la formula utile all'interessato.

In questo contesto, l’obbligo di fornire “informazioni significative sulla logica utilizzata” richiede che vengano fornite spiegazioni dettagliate sul metodo di calcolo del punteggio e sulle motivazioni che hanno portato al risultato. Il titolare del trattamento deve fornire informazioni generali sui fattori presi in considerazione e sulla loro rilevanza aggregata, consentendo così all’interessato di contestare qualsiasi decisione automatizzata ai sensi dell’art. 22, paragrafo 1 del GDPR.

L'Avvocato Generale ha suggerito che le aziende devono trovare un equilibrio tra la trasparenza e la protezione della proprietà intellettuale. Esse dovrebbero fornire spiegazioni generali sul funzionamento dei loro sistemi di intelligenza artificiale (IA) senza rivelare in dettaglio gli algoritmi proprietari. Allo stesso tempo, autorità di regolamentazione e tribunali possono intervenire per garantire che venga rispettato un livello adeguato di trasparenza, pur tutelando la proprietà intellettuale.

Quando una persona è soggetta a una decisione automatizzata, compresa la profilazione, ai sensi dell’art. 22 del Regolamento 2016/679, le "informazioni significative sulla logica utilizzata" a cui ha diritto riguardano il metodo e i criteri impiegati dal titolare del trattamento in tale processo decisionale.

Queste informazioni devono essere sufficienti per permettere all’interessato di esercitare i diritti previsti dal GDPR, in particolare dall’art. 22. Devono quindi essere concise, facilmente accessibili, comprensibili e formulate in un linguaggio semplice e chiaro. Inoltre, devono essere sufficientemente complete e contestualizzate in modo tale da permettere all'interessato di verificare la correttezza del processo e se esista una coerenza oggettiva tra i criteri utilizzati e il risultato della decisione automatizzata.

Il titolare del trattamento non è obbligato a divulgare informazioni tecniche eccessivamente complesse, che non potrebbero essere comprese senza specifiche competenze tecniche. Questo esonera il titolare dal dovere di comunicare l'algoritmo utilizzato nel processo decisionale.

Se le informazioni da fornire all’interessato, in virtù del diritto di accesso sancito dall’art. 15, paragrafo 1, lettera h) del GDPR, possono compromettere i diritti e le libertà altrui, ad esempio perché contengono dati personali di terzi o segreti commerciali (come tutelato dalla Direttiva 2016/943), tali informazioni dovrebbero essere comunicate alle autorità di controllo o ai tribunali competenti. Questi organi avranno il compito di bilanciare gli interessi in gioco, garantendo il rispetto della proporzionalità e della riservatezza, determinando di conseguenza l’estensione del diritto di accesso per l’interessato.



  1. La legislazione per il Credit Scoring automatizzato

Siamo di fronte ad uno snodo centrale per l’evoluzione del sistema di Credit Scoring: se infatti è fondamentale cercare di mantenere la barra dritta per mantenere un meccanismo oliato ed efficiente che consenta di monitorare accuratamente il merito creditizio soprattutto di fronte a richieste di finanziamento che possano risultare sostenibili, dall’altro l’esclusione totale dell’elemento umano dall’algoritmo mina la centralità dell’autonomia privata e della libera imprenditorialità.

Per comprendere come sia stato possibile giungere ad un sistema automatizzato di generazione del credit scoring, occorre citare due passaggi fondamentali da parte dell’UE che hanno mosso in questa direzione.

La prima è la Direttiva sui Servizi di Pagamento (PSD2), in vigore dal 2018, che ha introdotto un nuovo ecosistema di open banking, consentendo a fornitori terzi (Third Party Providers, TPP) di accedere ai dati finanziari dei clienti, previo consenso.

La Direttiva è pensata per offrire agli utenti di conti correnti online la possibilità di fare pagamenti o accedere ai rendiconti bancari tramite software realizzati da terze parti autorizzate.

Ma il più significativo impatto è proprio nella richiesta della direttiva di facilitare l’accesso ai conti da parte di provider esterni, per raccogliere informazioni o elaborare un pagamento.

Questo ha implicazioni significative per il credit scoring, in quanto aziende che non erogano servizi finanziari possono ottenere una gamma più ampia di dati per valutare la solvibilità dei consumatori.

Oggi la Direttiva è in fase di revisione, con i lavori della Commissione che puntano a far entrare in vigore la nuova Direttiva PSD3 entro Aprile 2025.

Le principali novità nell’ambito dell’Open Banking che riguardano il tema di cui si occupa questo articolo sono:

  • Eliminazione della necessità per le banche di mantenere due interfacce di accesso ai dati (non sarà più necessario avere un'interfaccia "di riserva"). 

  • Richiedere alle banche e ai fornitori di conti di pagamento di dotarsi di uno strumento di dashboard per i consumatori che consenta loro di vedere quali società hanno accesso ai loro dati e che permetta loro di revocare facilmente l'accesso, se necessario. 

Quest’ultima è di particolare interesse, dal momento che consentirebbe quindi di far monitorare al Cliente in maniera trasparente chi possa accedere al suo Credit Scoring7.

La seconda è il Regolamento Europeo sull’intelligenza Artificiale8 o AI Act, entrato in vigore il 01 Agosto 2024.

L'AI Act (Artificial Intelligence Act) è volta a regolamentare in maniera uniforme, nei territori dell’Unione Europea, l'uso dell'intelligenza artificiale.

Questa si inserisce nell'ambito della strategia europea per l'IA, che mira a promuovere l'innovazione tecnologica mantenendo alti standard di sicurezza, trasparenza e protezione dei diritti fondamentali.

L'AI Act ha due obiettivi fondamentali:

  1. Sviluppare un ecosistema di fiducia: stabilire regole chiare per l'uso dell'IA che garantiscano la protezione dei diritti fondamentali e la sicurezza delle persone.

  2. Promuovere l'innovazione: creare un quadro giuridico che consenta l'uso dell'IA in modo flessibile e proporzionato, incoraggiando lo sviluppo e l'adozione di tecnologie IA all'interno dell'UE.

Uno dei principi cardine dell'AI Act è la classificazione dei sistemi IA in base al livello di rischio che pongono, con regole diverse a seconda della loro classificazione:

Sistemi ad alto rischio:

    • Sono considerati sistemi IA che possono influire significativamente sulla sicurezza o sui diritti delle persone. Alcuni esempi includono l'uso dell'IA in ambito sanitario, nelle infrastrutture critiche (come i trasporti), nell'istruzione, nella giustizia o per la gestione dei rapporti di lavoro (selezione del personale, promozione, ecc.).

    • Questi sistemi dovranno sottostare a rigorose valutazioni di conformità e requisiti di trasparenza e tracciabilità. Le aziende che sviluppano e implementano tali sistemi dovranno garantire che siano progettati per evitare rischi discriminatori e che rispettino la privacy e la sicurezza.

Sistemi a rischio limitato:

    • Questi sistemi richiedono solo obblighi minimi di trasparenza. Ad esempio, i chatbot o gli assistenti virtuali dovranno semplicemente informare gli utenti che stanno interagendo con un sistema automatizzato.

Sistemi a rischio minimo:

    • Molti sistemi di IA, come i filtri anti-spam o le raccomandazioni di contenuti sui social media, non richiedono regolamentazione specifica, a meno che non siano identificati come pericolosi.

Sistemi vietati:

    • Il regolamento vieta alcuni tipi di IA considerati particolarmente pericolosi o contrari ai valori fondamentali dell'UE. Tra questi ci sono i sistemi di sorveglianza biometrica in tempo reale negli spazi pubblici (salvo eccezioni), i sistemi che manipolano il comportamento umano in modo dannoso e quelli che utilizzano tecniche subliminali per alterare le scelte degli individui.

    • È inoltre vietata l'IA utilizzata per la valutazione sociale delle persone da parte delle autorità pubbliche (simile al sistema di "social credit" cinese).

L'AI Act impone diversi requisiti ai sistemi IA classificati come "ad alto rischio":

  • Sicurezza: I sistemi devono essere progettati in modo da evitare rischi per la salute, la sicurezza o i diritti fondamentali degli individui.

  • Trasparenza: Gli utenti devono essere informati chiaramente quando interagiscono con un sistema IA e devono comprendere come funziona. Devono essere esplicitati i processi decisionali automatizzati, specialmente quando le decisioni hanno un impatto significativo su di loro.

  • Governance dei dati: I sistemi IA devono essere addestrati su dati di alta qualità, privi di distorsioni che potrebbero portare a discriminazioni o errori.

  • Supervisione umana: Devono essere previsti meccanismi di controllo umano sui sistemi IA, soprattutto in contesti in cui le decisioni automatizzate possono avere gravi conseguenze.

L'AI Act prevede che le autorità di ciascuno Stato membro siano responsabili di vigilare sull'implementazione delle norme. Verrà inoltre istituita una European Artificial Intelligence Board, un'autorità europea per la sorveglianza dell'IA, che avrà il compito di coordinare l'applicazione uniforme delle regole all'interno dell'UE.

Le violazioni delle norme sull'IA, in particolare per quanto riguarda i sistemi ad alto rischio, potranno comportare sanzioni finanziarie significative, simili a quelle previste dal GDPR. Le multe possono arrivare fino al 6% del fatturato globale annuo di un'azienda.

L'AI Act stabilisce un quadro normativo che cerca di proteggere i diritti dei cittadini senza ostacolare l'innovazione tecnologica. Le aziende che sviluppano IA nell'UE dovranno:

  • Conformarsi alle nuove regole: Le imprese che operano con IA ad alto rischio dovranno adattare i loro processi interni, garantendo valutazioni di conformità e introducendo sistemi di monitoraggio per prevenire rischi.

  • Collaborare con le autorità: In molti casi, sarà necessario presentare le tecnologie alle autorità competenti per la valutazione prima di essere lanciate sul mercato.

  • Favorire l'innovazione responsabile: L'UE intende incoraggiare la crescita tecnologica attraverso "sandboxes normativi", spazi di sperimentazione controllata dove le aziende possono testare soluzioni innovative in conformità con le nuove regole.

E’ inevitabile che un sistema basato integralmente sulla gestione del rischio facesse sorgere molte critiche negli operatori del settore: si teme che un settore in esplosiva espansione come quello delle intelligenze artificiali, resti imprigionato all’interno di regole troppo rigide per potersi evolvere al meglio.

Dall’altro lato, sostenitori della normativa vedono l’AI Act come una protezione necessaria per evitare abusi legati all'uso indiscriminato della tecnologia IA, soprattutto in contesti che potrebbero compromettere la privacy, la sicurezza e i diritti fondamentali.

L'AI Act rappresenta un tentativo ambizioso dell'Unione Europea di definire uno standard globale per la regolamentazione dell'intelligenza artificiale.

La Commissione ha recentemente avviato una consultazione su un codice di best practices per i fornitori di modelli di IA per finalità generali. Il codice, previsto dalla legge sull'IA, riguarderà questioni essenziali quali la trasparenza, le norme relative al diritto d'autore e la gestione dei rischi. I fornitori di GPAI che operano nell'UE, le imprese, i rappresentanti della società civile, i titolari di diritti e gli esperti del mondo accademico sono invitati a presentare le loro opinioni e conclusioni, che confluiranno nel prossimo progetto di codice di buone pratiche sui modelli GPAI elaborato dalla Commissione.

Le disposizioni relative ai GPAI entreranno in vigore tra 12 mesi. La Commissione prevede di approntare il codice di buone pratiche entro aprile 2025.

Il meccanismo di Credit Scoring Automatizzato quindi, dovrà necessariamente essere ripensato alla luce del regolamento, in particolare riferendosi alla problematica proprio sollevata dalle pronunce della Corte di Giustizia sui casi “Schufa”.

Infatti, nel caso di dispositivi di “machine learning” o “deep learning”, risulta difficile tracciare i passaggi che portano al risultato finale, a causa della natura opaca di questi sistemi (la cosiddetta “black box9”). Questo fenomeno rappresenta un ostacolo significativo per rassicurare i cittadini sull'affidabilità dell'intelligenza artificiale (AI). Infine, la normativa proposta introduce un “sistema di gestione del rischio” stabilendo che i sistemi di IA debbano essere progettati e sviluppati in modo da garantire un livello adeguato di trasparenza agli utenti.

L'adeguamento del design del software ai requisiti previsti implica, tra le altre cose, la definizione di misure appropriate di supervisione umana e l'impiego di dataset di alta qualità, necessari per garantire l'affidabilità e il rispetto delle normative.



  1. Cosa resterà di questo Credit Scoring Automatizzato?

A questo punto la domanda è lecita: se, da un lato, la Corte di Giustizia Europea ha stabilito che una gestione automatizzata del sistema che genera la valutazione sul sistema creditizio è in contrasto con il sistema di GDPR e, dall’altro, le società che forniscono il Credit Scoring non possono risultare garanti dell’uso che l’utente finale farà di tali dati (e quindi in contrasto con il “sistema di gestione del rischio” previsto dall’Ai Act), siamo di fronte ad un corto circuito dell’intero meccanismo di automatizzazione.

D’altro canto il sistema di Credit Scoring, con i numeri attuali, non può funzionare senza l’indispensabile presenza dell’IA.

Le soluzioni prospettate sin qui sono poche e frammentate: le società direttamente coinvolte (Schufa ma anche Experian), vorrebbero ribaltare sull’utente finale la responsabilità circa la gestione dei dati a questo forniti: questo permetterebbe di aggirare il problema del conflitto con il GDPR, ma resterebbe la questione relativa alla valutazione di rischio imposta dall’AI Act.

Peraltro, pensare di tornare ad una gestione manuale del merito creditizio non è pensabile: troppi i dati, troppi i clienti da gestire.

Senza contare che oggi, con l’accesso appunto di soggetti di terze parti alla valutazione creditizia, abbiamo colossi di e-commerce che dovrebbero rifare un intero business plan basato su una gestione di rischio completamente diversa.

Molti sono gli Stati che stanno pensando all’impatto che le pronunce della Corte di Giustizia avrà per le società interne, anche valutando di adottare una legislazione interna specifica.

Ciò purtroppo non supera il problema, considerato che in un meccanismo di libero mercato, il rischio di una mancata armonizzazione dei sistemi di credit scoring minerebbe seriamente la vendita di beni e servizi tra stati membri.

In ultimo non dimentichiamoci del convitato di pietra, ovvero le Banche: queste ormai affidano integralmente la gestione delle domande di finanziamento sulla valutazione del merito creditizio: erodere anche solo in parte i dati in esso contenuti o peggio, inserire una componente umana nella valutazione finale, potrebbe riportare le lancette degli orologi ai primi anni 2000 e alla crisi degli istituti di credito10.

Non stupisce che la stessa Commissione Europea abbia evidenziato, lo scorso 25 luglio, i problemi di applicazione e interpretazione tra le autorità europee di protezione dei dati e ha citato il processo decisionale automatizzato come esempio di pratiche divergenti11.

Dovremo a lungo interrogarci sul ruolo che si intende affidare alle intelligenze artificiali: se da un lato, infatti, è ben chiaro come sia preferibile non dar loro un ruolo decisionale all’interno della gestione di una società12 sia allora altrettanto pacifico che le stesse non possano rivestire tale ruolo nel processo di valutazione del merito creditizio.

Eppure, stando a come ad oggi funziona tale meccanismo, è il punteggio a decidere la sorte della finanza.




    5.Credit Scoring e Social Scoring


E’ indubbio che la nostra società ci abbia imposto un modello economico in cui l’identità della persona in moltissimi casi coincide con la propria solvibilità.

Nel momento in cui sempre più aspetti della quotidianità richiedono di sapere quale sia la nostra affidabilità economica, per decidere se avere o meno rapporti con noi, abbiamo mutato prospettiva.

Quindi il Credit Scoring va in qualche modo ad accostarsi ad una pratica invece ancora proibita in Europa, ovvero il Social scoring; ed è inevitabile che sorgano dei conflitti sul piano dei diritti umani, in questo caso rappresentati dalla gestione e protezione dei dati personali13.

Non è infatti un caso che il Regolamento Europeo sull’Intelligenza Artificiale, già nei lavori preparatori, al considerando 58 stabilisca che “È inoltre opportuno classificare i sistemi di IA utilizzati per valutare il merito di credito o l’affidabilità creditizia delle persone fisiche come sistemi di IA ad alto rischio, in quanto determinano l’accesso di tali persone alle risorse finanziarie o a servizi essenziali quali l’alloggio, l’elettricità e i servizi di telecomunicazione. I sistemi di IA utilizzati a tali fini possono portare alla discriminazione fra persone o gruppi e posso- no perpetuare modelli storici di discriminazione, come quella basata sull’origine razziale o etnica, sul genere, sulle disabilità, sull’età o sull’orientamento sessuale, o possono dar vita a nuove forme di impatti discriminatori”.

Ma quanto è realmente importante questo punteggio? Infatti, mentre è indubbio che sia uno strumento indispensabile per gli Istituti di Credito, onde correttamente valutare una richiesta di finanziamento, diventa sempre più marginale tanto più è esigua la richiesta economica.

Nel caso portato all’attenzione della Corte Europea a Settembre 2024, sopra richiamato, si trattava di un soggetto a cui veniva negato un abbonamento mensile di una somma risibile: in questo caso risulta complicato capire quanto un basso merito creditizio sia tale da mettere a rischio una simile transazione.

Questo perché delle due l’una: o il sistema è talmente affinato da consentire una valutazione così puntuale delle probabilità di un mancato pagamento di cifre minime, oppure stiamo utilizzando un metodo per giungere ad una valutazione sociale dell’individuo: e in tal caso abbiamo fatto entrare dalla finestra il Social Scoring cui avevamo chiuso la porta.

D’altro canto dobbiamo comprendere quanto l’Intelligenza Artificiale sia, nonostante tutto, ancora molto giovane: un sistema tale, per quanto rapidamente possa evolversi, non può prescindere in queste fasi dall’intervento e controllo umano, pena il rischio di perdere di credibilità e affidabilità.

Il brocardo “Restiamo Umani” in questo caso può ben riguardare proprio l’approccio che dobbiamo imporre a questi modelli decisionali, i quali, pur nella loro automazione, devono apprendere in termini logici il concetto di sensibilità.

L’intento dovrebbe essere, forse, quello di sviluppare un Merito Creditizio Equo, ma per farlo dobbiamo capire prima se sia eticamente giusto14: questo perché sviluppare un modello di equità nella valutazione del merito creditizio, presuppone ampliare l’indagine di valutazione anche alla sfera soggettiva: il dato anagrafico, la composizione del nucleo familiare, la potenzialità del soggetto di accedere ad una sanità pubblica gratuita e ad una istruzione pubblica gratuita per sé e per il proprio coniuge e i propri figli; e ancora, per l’imprenditore, la possibilità che possa accedere a contributi statali per l’avvio dell’impresa, la capacità comunicativa, la formazione e un processo adeguato di consapevolezza dei rischi a cui la propria attività potrebbe andare incontro.

Questi sono elementi indiziari che possono certamente comporre al meglio una identità economica e sviluppare una profilazione più umana del Credit Scoring: il costo però è una intrusione maggiore all’interno della sfera privata, una valutazione che travalica i numeri.

Siamo certi di voler spingere l’acceleratore in questa direzione? O piuttosto sia più prudente comprendere che il punteggio reso da questi sistemi automatizzati possa restare uno strumento chiave solamente per certe attività (certamente quelle legate alla richiesta di finanziamento presso gli istituti bancari) e non anche utilizzabile per altri scopi, minando la nostra sfera decisionale?

Il tema è complesso, ma richiede urgentemente una valutazione: perché l’evoluzione tecnologica non attende e solo un sistema legislativo sensato ed articolato può realisticamente consentire di sfruttarla nel modo migliore possibile.



1 Cfr sul punto “Insolvenza e Intelligenza Artificiale” di DANIEL ROQUE VITOLO, in Ristrutturazioni Aziendali, ILCASO.it soprattutto laddove valuta il rapporto tra l’uomo e l’intelligenza artificiale quando è quest’ultima ad assumere il ruolo decisionale.

2 Il bilanciamento degli interessi è contenuto nel Considerando 4 del RGPD, laddove si specifica che “il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato” in ottemperanza al principio di proporzionalità “con altri diritti fondamentali”, tra i quali sono espressamente menzionati il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, non- ché la diversità culturale, religiosa e linguistica. Si aggiunga che la dottrina ha nel tempo individuato ulteriori diritti fondamentali, alla luce dei quali bilanciare la protezione dei dati personali anche nell’ottica della valuta- zione delle misure di sicurezza da adottare, l’ordine e la sicurezza pubblica, l’attività di prevenzione e repressione dei reati, la tutela della salute e – laddove il trattamento sia effettuato da una PA – l’interesse alla celerità, alla trasparenza e all’efficacia dell’attività amministrativa, G. FINOCCHIARO, “Riflessioni sul poliedrico Regolamento europeo sulla privacy”, in Quad. cost., 4, 2018, pp. 895 ss.

3 Interamente visionabile qui: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:62021CJ0634

4 Sul punto cfr. “Il credit scoring e la protezione dei dati personali: commento alle sentenze della Corte di giustizia dell’Unione europea del 7 dicembre 2023” a cura di Valeria Pietrella e Stefano Racioppi, in Rivista Italiana di Informatica e Diritto, reperibile: https://www.rivistaitalianadiinformaticaediritto.it/index.php/RIID/article/view/240/185

5 Le conclusioni dell’Avvocato Generale si possono reperire qui: https://www.dirittobancario.it/wp-content/uploads/2024/09/Conclusioni-Avvocato-Generale-De-La-Tour-Corte-di-Giustizia-UE-12-settembre-2024-causa-C-203_22.pdf

6 Sul punto Cfr. ERIK LONGO, “I processi decisionali automatizzati e il diritto alla spiegazione” in “Intelligenza artificiale e diritto: una rivoluzione? Amministrazione, responsabilità, giurisdizione. Volume 1” a cura di Donati Filippo, Alessandro Pajno, Antonio Perrucci, Bologna, Ed. Il Mulino, 2022

7 Per una lettura completa cfr. https://ec.europa.eu/commission/presscorner/detail/it/qanda_23_3544

8 Il Regolamento è la Direttiva 2024/1689 reperibile qui: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689

9 Sulla definizione di black box per gli algoritmi di AI e sul fatto che “bias and fairness” degli algoritmi di AI/ML provenienti da training dati rappresentino una importante barriera per lo sviluppo e l’uso etico di sistemi di AI, v. EPRS | European Parliamentary Research Service, Panel for the Future of Science and Technology, Study, Artificial intelligence: From ethics to policy, 2020, p. 7 ss. Tra i numerosi contributi in letteratura, v. F. PASQUALE, The black box society. The secret algorithms that control money and information, Harvard University Press, Boston, 2015; D. KEATS CITRON, F. PASQUALE, The Scored Society: Due Process for Automated Predictions, in 89 Wash. L. Rev., 2014, 1, p. 10 ss.; T. WISCHMEYER, Artificial Intelligence and Transparency: opening the Black Box, in T. WISCHMEYER, T. RADEMACHER (eds.), Regulating Artificial Intelligence, Springer, Cham, 2020, p. 75 ss.; S. QUINTARELLI, “Intelligenza Artificiale. Cos’è davvero, come funziona, che effetti avrà”, Bollati Boringhieri, Torino, 2020

10 Con tutti I rischi del caso, soprattutto nel nostro paese, legati alle recenti pronunce in tema di concessione abusiva del credito (tra le quali ricordiamo: Cass., Sez. I civile, 08 ottobre 2024, Tribunale di Padova, 23 luglio 2024, o le meno recenti ma fondamentali Cass., 30 giugno 2021, n. 18610 e Cass., 14 settembre 2021, n. 24725)

11 Cfr. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2024%3A357%3AFIN&qid=1721897017650

12 Sul punto Cfr. “l’impiego degli strumenti di intelligenza artificiale da parte degli amministratori: rischi e responsabilità” a cura di MARCO DE NADAI, in Ristrutturazioni Aziendali, ILCASO.IT

13 Sul punto richiamerei le interessanti riflessioni dell’Avv. FABIO CESARE, in “La rivoluzione del debito”, Giuffrè, con particolare riferimento al paragrafo dedicato all’immoralità dell’inadempimento (pag.82) in cui afferma che “La contraddizione tra spinta al consumo all’infinito e immoralità del sovraindebitamento deve trovare una soluzione mediante l’esdebitazione, con la quale si possono lenire gli effetti più disumani di un modello eudaimonistico, cioè un modello di felicità collettiva

14 Il tema dell’Etica nel rapporto con l’Intelligenza Artificiale è un dibattito aperto. Tra le molte sensibilità che lo hanno affrontato, cfr. “Diritto e intelligenza artificiale : etica, privacy, responsabilità, decisione”, REMO TREZZA, PACINI GIURIDICA, 2020