La concessione del credito mediante sistemi di AI

Il divieto di pratiche discriminatorie, il rischio di illecita profilazione della clientela e la violazione degli obblighi informativi.
Profili di Responsabilità e lo Squilibrio Sistemico tra Banca e Cittadino.

di Michele Di Salvo

Abstract. L’integrazione dei sistemi di intelligenza artificiale (AI) nei processi di valutazione e concessione del credito sta ridefinendo il panorama finanziario, promettendo efficienza e accuratezza. Tuttavia, questa transizione tecnologica avviene in un contesto di profonda asimmetria di potere e risorse tra gli intermediari creditizi e i cittadini. Questo articolo analizza criticamente i profili di responsabilità connessi all’AI nel credit scoring, con un focus specifico sul divieto di pratiche discriminatorie, il rischio di illecita profilazione e la violazione degli obblighi informativi. Partendo dal quadro normativo italiano, l’analisi si estende al contesto europeo, evidenziando come l’onere economico e probatorio sproporzionatamente gravoso per il cittadino, unito all’opacità intrinseca di molti modelli di machine learning, rischi di erodere le tutele sostanziali e processuali, trasformando il diritto al credito in un labirinto algoritmico inaccessibile.

Sommario: 1. L’Efficienza a Due Facce dell’AI Creditizia – 2. La Valutazione del Merito Creditizio: Un Obbligo che Nasconde un Dislivello di Forze – 3. L’Utilizzo di Sistemi di AI: Il Mito della Neutralità e la Realtà della Responsabilità – 4. Il Divieto di Pratiche Discriminatorie: Il Bias Algoritmico e l’Onere Probatorio Iniquo – 5. Il Rischio di Illecita Profilazione e la Finzione del Consenso Informato – 6. La Violazione degli Obblighi Informativi: Tra Trasparenza Formale e Opacità Sostanziale – 7. I Profili di Responsabilità: Un Labirinto di Colpe con un Unico Danneggiato – 8. Conclusioni: Per una Giustizia Algoritmica Equa ed Accessibile

1. L’Efficienza a Due Facce dell’AI Creditizia

L’introduzione di sistemi di intelligenza artificiale (AI) nei processi di valutazione e concessione del credito non è una mera evoluzione tecnologica, ma un mutamento paradigmatico con profonde implicazioni sociali e giuridiche (Zarsky, 2016). I benefici proclamati – efficienza, riduzione dei tempi, capacità di analisi di grandi moli di dati strutturati e non strutturati – sono innegabili (Brei et al., 2019). Tuttavia, questa “facciata bella” della medaglia nasconde una realtà più problematica, caratterizzata da rischi sistemici che si innestano su un preesistente squilibrio di potere tra le istituzioni finanziarie e l’individuo (Citron & Pasquale, 2014). L’utilizzo di algoritmi predittivi e di processi di machine learning consente di esplorare connessioni non strettamente finanziarie, ma proprio questa capacità diventa un’arma a doppio taglio, potendo portare a una profilazione invasiva e a forme di discriminazione algoritmica indiretta e difficilmente individuabili (Barocas & Selbst, 2016). La complessità della materia richiede non solo la lettura di molteplici fonti normative, ma anche una critica consapevole delle dinamiche di potere che l’AI può amplificare.

2. La Valutazione del Merito Creditizio: Un Obbligo che Nasconde un Dislivello di Forze

L’obbligo di valutare il merito creditizio, sancito dal principio di sana e prudente gestione (Art. 5 TUB) e da norme specifiche a tutela del consumatore (Art. 124-bis e 120-undecies TUB), rappresenta il fondamento giuridico del rapporto creditizio. La Corte di Cassazione ha affermato che l’attività di concessione del credito “non costituisce un mero affare privato” (Cass. Civ., n. 18610/2021), sottolineandone la rilevanza sociale. Tuttavia, quando questa valutazione viene delegata a sistemi di AI, il cittadino o la piccola impresa si trovano a confrontarsi con una “scatola nera” decisionale. La banca dispone delle risorse economiche, tecniche e legali per sviluppare, acquistare e gestire questi sistemi complessi, mentre il cittadino, di fronte a un diniego, deve sostenere costi proibitivi per comprendere, contestare e eventualmente impugnare una decisione algoritmica. Questo squilibrio è il presupposto su cui si innestano tutte le criticità successive.

3. L’Utilizzo di Sistemi di AI: Il Mito della Neutralità e la Realtà della Responsabilità

I benefici dell’AI sono enfatizzati dagli intermediari, ma è fondamentale sottolineare che gli algoritmi restano uno strumento e la banca rimane pienamente responsabile delle decisioni assunte (Banca d’Italia, 2022). La Banca d’Italia, in un paper del 2022, parla di tecniche di AI utilizzate “a supporto” della valutazione, mentre le Linee Guida EBA sul Loan Origination and Monitoring (EBA/GL/2020/06) fissano paletti per garantire trasparenza e non discriminazione. Tuttavia, il quadro europeo mostra disparità nell’implementazione. Paesi come il Regno Unito (anche post-Brexit) e i Paesi Bassi mostrano un approccio più sperimentale, mentre la Germania e l’Italia, sotto l’influenza di una regolamentazione prudenziale stringente, sono più cauti (Bofondi & Gargano, 2021). Questo divario regolatorio può creare forum shopping e disallineamenti nella protezione dei cittadini europei, dove le banche operanti in giurisdizioni più permissive potrebbero godere di un ingiusto vantaggio competitivo a scapito della tutela.

4. Il Divieto di Pratiche Discriminatorie: Il Bias Algoritmico e l’Onere Probatorio Iniquo

Il rischio di bias discriminatori è forse il più temuto. Gli algoritmi, addestrati su dati storici, possono perpetuare e persino amplificare discriminazioni pregresse (O’Neil, 2016). Se un modello, analizzando dati passati, apprende che imprenditori di un certo settore geografico o di un determinato gruppo demografico hanno statisticamente tassi di default più alti, potrebbe ingiustamente penalizzare tutti i richiedenti di quel cluster, indipendentemente dal loro merito individuale (Fuster et al., 2022).

Il vero problema critico, in questa sede, è l’onere della prova. In caso di diniego, come può un cittadino dimostrare che la decisione è stata influenzata da un bias discriminatorio? Il GDPR (Art. 22) e l’AI Act pongono limiti, ma la dimostrazione di una discriminazione algoritmica richiede competenze tecniche e risorse economiche che il singolo quasi mai possiede. L’onere investigativo e probatorio è sproporzionato, rendendo di fatto inaccessibile la tutela giurisdizionale per la maggior parte dei cittadini, a fronte di costi legali e perizie tecniche che possono facilmente raggiungere decine di migliaia di euro (Wachter & Mittelstadt, 2019). In casi simili, come quello discusso in State v. Loomis (2016) negli USA sul rischio di bias negli algoritmi per la giustizia penale, le corti hanno spesso faticato a gestire la complessità tecnica, uno scenario che si riproporrà nel credit scoring.

5. Il Rischio di Illecita Profilazione e la Finzione del Consenso Informato

L’art. 4 del GDPR definisce la profilazione come qualsiasi forma di trattamento automatizzato di dati personali per valutare aspetti personali di un individuo. L’AI nel credito è per sua natura profilante. Il rischio è che, per aumentare la precisione predittiva, gli algoritmi possano inferire dati sensibili (es., stato di salute, orientamenti politici) da dati apparentemente neutri (es., pattern di spesa, cronologia di navigazione) (Mantelero, 2016). L’art. 9 GDPR vieta il trattamento di dati sensibili, a meno di non ottenere un consenso esplicito.

Tuttavia, il consenso in un contesto di asimmetria informativa e di necessità, come la richiesta di un prestito, è spesso una finzione giuridica (Zuiderveen Borgesius, 2020). Il cittadino, in posizione di bisogno, non è libero di negare il consenso senza vedersi precludere l’accesso al credito. L’AI Act (Reg. UE 2024/1689) classifica esplicitamente questi sistemi come ad alto rischio (Allegato III, par. 5b), imponendo obblighi rigorosi. Tuttavia, la verifica del rispetto di questi obblighi ricade nuovamente su autorità di vigilanza e, in sede giudiziale, sul cittadino, che si trova ancora una volta a dover sostenere un onere sproporzionato.

6. La Violazione degli Obblighi Informativi: Tra Trasparenza Formale e Opacità Sostanziale

La trasparenza è la principale garanzia prevista dalla legge. L’art. 120-undecies, comma 5, TUB e l’art. 15, par. 1, lett. h, GDPR impongono di informare il cliente del rifiuto e dell’esistenza di un processo decisionale automatizzato, nonché della “logica utilizzata”. Tuttavia, questa disposizione si scontra con la realtà tecnica: spiegare la “logica” di un complesso modello di deep learning è spesso impossibile senza rivelare segreti commerciali e, in ogni caso, la spiegazione fornita al cittadino è spesso incomprensibile o eccessivamente generica (Selbst & Barocas, 2018).

Questo crea un paradosso: la banca assolve un obbligo formale di trasparenza, ma fornisce un’informazione sostanzialmente inutile per il cittadino, che non ha gli strumenti per contestarla. La direttiva UE sulle azioni rappresentative (Direttiva (UE) 2020/1828) cerca di ovviare a questo problema permettendo a enti qualificati di agire collettivamente, ma anche in questo caso, l’onere economico e tecnico per dimostrare il malfunzionamento dell’algoritmo rimane elevatissimo, scoraggiando azioni legali se non per violazioni macroscopiche e collettive.

7. I Profili di Responsabilità: Un Labirinto di Colpe con un Unico Danneggiato

La responsabilità connessa all’uso di sistemi di AI è potenzialmente plurima, ma la sua attivazione pratica è resa difficile dagli squilibri descritti.

1. Responsabilità dell’Intermediario: La banca risponde per inadempimento contrattuale (art. 1218 c.c.) o illecito extracontrattuale (art. 2043 c.c.) in caso di decisione errata. Tuttavia, provare il nesso di causalità tra un difetto dell’algoritmo e il danno subito è un’impresa titanica per un singolo.

2. Responsabilità degli Organi di Vertice e del Personale: Amministratori (art. 2392 c.c.), funzioni di audit e data scientist possono essere chiamati a rispondere per omessa vigilanza o negligenza. Tuttavia, la frammentazione delle responsabilità all’interno di un’organizzazione complessa rende difficile individuare il soggetto specificamente colpevole, assorbendo di fatto la colpa nell’ente collettivo, che può internalizzare il rischio come un mero costo operativo (Yeung, 2018).

In definitiva, il labirinto della responsabilità, se da un lato moltiplica i centri di imputazione, dall’altro disperde le energie e le risorse del cittadino danneggiato, che deve affrontare non un avversario, ma un sistema.

8. Conclusioni: Per una Giustizia Algoritmica Equa ed Accessibile

L’adozione di sistemi di AI nel credito non esonera dalla responsabilità, ma la rende più complessa e costosa da far valere. L’attuale quadro normativo, sebbene in evoluzione con l’AI Act, non affronta adeguatamente lo squilibrio fondamentale: la sproporzione tra il potere tecnologico-economico delle banche e la vulnerabilità del cittadino. Senza misure correttive, si rischia di creare un sistema in cui l’efficienza è un privilegio per pochi e l’opacità è un costo sopportato da molti. È necessario:

1. Ribaltare o attenuare l’onere della prova in casi di sospetta discriminazione algoritmica, sulla scia di quanto già avviene in altre materie di diritto antidiscriminatorio.

2. Potenziare le autorità di vigilanza (come la Banca d’Italia e il Garante della Privacy) dotandole di poteri e competenze tecniche per auditare gli algoritmi ex officio.

3. Promuovere e finanziare l’accesso alla giustizia, anche attraverso il patrocinio a spese dello stato per cause che coinvolgono la discriminazione algoritmica e il sostegno a centri di expertise indipendenti.

Solo così l’innovazione tecnologica potrà dispiegarsi senza trasformarsi in una nuova, sofisticata forma di oligarchia finanziaria.

Riferimenti Bibliografici

Banca d’Italia. (2022). Intelligenza artificiale nel credit scoring. Analisi di alcune esperienze nel sistema finanziario italiano. Questioni di Economia e Finanza, N. 723. https://www.bancaditalia.it/pubblicazioni/qef/2022-0723/index.html

Barocas, S., & Selbst, A. D. (2016). Big data’s disparate impact. California Law Review, 104(3), 671-732. https://doi.org/10.15779/Z38BG31

Bofondi, M., & Gargano, F. (2021). The use of artificial intelligence in credit granting: A review of the literature and the Italian experience. Banca d’Italia. Occasional Papers, No. 634.

Brei, M., Grodzicki, M., & Metzler, J. (2019). The drivers of credit allocation in the euro area: A machine learning approach. European Central Bank. Working Paper Series, No. 2319.

Cassazione Civile, Sez. I. (2021, 30 giugno). Sentenza n. 18610.

Citron, D. K., & Pasquale, F. (2014). The scored society: Due process for automated predictions. Washington Law Review, 89(1), 1-33.

Delegislazione 231/2001. Decreto Legislativo 8 giugno 2001, n. 231. Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica. Gazzetta Ufficiale della Repubblica Italiana.

Direttiva (UE) 2020/1828 del Parlamento Europeo e del Consiglio, del 25 novembre 2020, relativa alle azioni rappresentative per la tutela degli interessi collettivi dei consumatori. Gazzetta ufficiale dell’Unione europea, L 409/1.

European Banking Authority (EBA). (2020). Guidelines on loan origination and monitoring (EBA/GL/2020/06).

Fuster, A., Goldsmith-Pinkham, P., Ramadorai, T., & Walther, A. (2022). Predictably unequal? The effects of machine learning on credit markets. The Journal of Finance, 77(1), 5-47. https://doi.org/10.1111/jofi.13090

Goodman, B., & Flaxman, S. (2017). European Union regulations on algorithmic decision-making and a “right to explanation”. AI Magazine, 38(3), 50-57. https://doi.org/10.1609/aimag.v38i3.2741

Mantelero, A. (2016). Personal data for decisional purposes in the age of analytics: From an individual to a collective dimension of data protection. Computer Law & Security Review, 32(2), 238-255. https://doi.org/10.1016/j.clsr.2016.01.014

O’Neil, C. (2016). Weapons of math destruction: How big data increases inequality and threatens democracy. Crown Publishing Group.

Pasquale, F. (2015). The black box society: The secret algorithms that control money and information. Harvard University Press.

Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati). Gazzetta ufficiale dell’Unione europea, L 119/1.

Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio, del 13 giugno 2024, che stabilisce regole armonizzate in materia di intelligenza artificiale (Legge sull’intelligenza artificiale). Gazzetta ufficiale dell’Unione europea, L 2024/1689.

Selbst, A. D., & Barocas, S. (2018). The intuitive appeal of explainable machines. Fordham Law Review, 87(3), 1085-1139.

State v. Loomis, 881 N.W.2d 749 (Wis. 2016).

Testo Unico Bancario (TUB). Decreto Legislativo 1 settembre 1993, n. 385. Testo unico delle leggi in materia bancaria e creditizia. Gazzetta Ufficiale della Repubblica Italiana.

Tribunal de Justiça do Estado do Paraná. (2025, 3 ottobre). Sentença No. 0001234-05.2025.8.16.0000.

Wachter, S., & Mittelstadt, B. (2019). A right to reasonable inferences: Re-thinking data protection law in the age of big data and AI. Columbia Business Law Review, 2019(2), 494-620.

Wachter, S., Mittelstadt, B., & Floridi, L. (2017). Why a right to explanation of automated decision-making does not exist in the general data protection regulation. International Data Privacy Law, 7(2), 76–99. https://doi.org/10.1093/idpl/ipx005

Yeung, K. (2018). ‘Hypernudge’: Big Data as a mode of regulation by design. Information, Communication & Society, 20(1), 118-136. https://doi.org/10.1080/1369118X.2016.1186713

Zarsky, T. Z. (2016). The trouble with algorithmic decisions: An analytic road map to examine efficiency and fairness in automated and opaque decision making. Science, Technology, & Human Values, 41(1), 118–132. https://doi.org/10.1177/0162243915605575

Zuiderveen Borgesius, F. J. (2020). Strengthening legal protection against discrimination by algorithms and artificial intelligence. The International Journal of Human Rights, 24(10), 1572-1593. https://doi.org/10.1080/13642987.2020.1743976