European Banking Authority – EBA: pubblicato un documento di lavoro sull’impatto del Regolamento UE sull’Intelligenza Artificiale sul settore bancario.

Con l’entrata in vigore dell’AI Act (Reg. UE 2024/1689), anche il settore bancario e dei pagamenti è chiamato a fare i conti con una disciplina specifica sull’uso dei sistemi di intelligenza artificiale. L’Autorità bancaria europea (EBA) ha pubblicato un documento di sintesi che mappa gli obblighi dell’AI Act rispetto alla normativa di settore già esistente (CRR/CRD, DORA, PSD, CCD, MCD e relative Linee guida EBA), concentrandosi in particolare sull’utilizzo dell’IA per la valutazione del merito creditizio e il credit scoring delle persone fisiche, classificato come “alto rischio” dall’AI Act.

L’AI Act definisce i sistemi di IA come sistemi basati su macchine, dotati di un certo grado di autonomia, che elaborano dati di input per generare output – previsioni, contenuti, raccomandazioni o decisioni – in grado di incidere su contesti fisici o digitali. Nel settore bancario, l’attenzione del legislatore europeo si concentra soprattutto sugli algoritmi che decidono se concedere un finanziamento, a quali condizioni e con quale valutazione del rischio: proprio perché tali sistemi possono incidere direttamente sui diritti fondamentali del cliente, vengono sottoposti a requisiti rafforzati.

Nel 2025 l’EBA ha svolto un esercizio di “mappatura” per capire come gli obblighi previsti per i sistemi di IA ad alto rischio si sovrappongano o si integrino con le norme già applicabili alle banche e agli altri intermediari soggetti alla sua vigilanza. Il risultato principale è rassicurante: non emergono contraddizioni rilevanti tra l’AI Act e la disciplina bancaria e dei pagamenti; al contrario, l’AI Act viene letto come un quadro complementare rispetto a un sistema regolatorio che già oggi contiene presidi molto articolati su governo dei rischi, controlli interni, gestione dei dati e tutela del consumatore. Alcuni adeguamenti saranno comunque necessari, soprattutto sul piano operativo, per integrare coerentemente i due insiemi di regole.

Il prospetto riepilogativo riportato a pagina 2 del documento dell’EBA mostra, per ciascun obbligo chiave dell’AI Act (sistemi di gestione della qualità, monitoraggio post-commercializzazione, gestione dei rischi, trasparenza verso gli utilizzatori, supervisione umana, robustezza e sicurezza informatica, data governance, literacy sull’IA), se esista un allineamento pieno, parziale, complementare o nessun corrispondente obbligo nel diritto bancario UE. Ne emerge un quadro a macchia di leopardo: in alcune aree l’allineamento è sostanziale, in altre l’AI Act aggiunge una “dimensione in più” – tipicamente legata ai diritti fondamentali e all’impatto algoritmico – rispetto alle norme prudenziali tradizionali.

Per evitare duplicazioni inutili, l’AI Act prevede espressamente meccanismi di “sinergia regolatoria”: in certi casi la normativa di settore può sostituire (deroga) o integrare (integrazione/combination) alcuni obblighi dell’AI Act. La tabella a pagina 3 del documento EBA individua, ad esempio, gli ambiti in cui i sistemi di gestione del rischio, la documentazione tecnica, i registri e i piani di monitoraggio previsti dal diritto bancario possono fungere da base per soddisfare, almeno in parte, gli obblighi analoghi dell’AI Act. Restano invece pienamente autonomi e non “coperti” dal diritto finanziario taluni requisiti tipici dell’AI Act, come l’obbligo di garantire il diritto alla spiegazione, la valutazione d’impatto sui diritti fondamentali o specifiche misure di alfabetizzazione all’IA.

Un altro elemento che la mappatura mette in luce è la coesistenza di più autorità competenti: da un lato le autorità prudenziali e di condotta del settore finanziario, dall’altro le Market Surveillance Authorities previste dall’AI Act. Questo mosaico di competenze rende centrale il tema della cooperazione di vigilanza, per evitare sovrapposizioni, lacune o messaggi incoerenti verso gli intermediari. Non a caso, tra i “prossimi passi” indicati dall’EBA per il biennio 2026–2027 vi sono proprio la promozione di un approccio di supervisione comune tra autorità nazionali e la collaborazione strutturata con l’AI Office e con il sottogruppo sull’AI in ambito servizi finanziari dell’AI Board.

È importante sottolineare che il documento non ha natura di linea guida vincolante né rappresenta una posizione legale ufficiale dell’EBA. Si tratta piuttosto di un lavoro preparatorio, destinato a fornire input alla Commissione europea per le future linee guida sull’interazione tra AI Act e diritto settoriale e a orientare, in modo soft, banche e istituzioni di pagamento nella fase iniziale di attuazione della nuova disciplina. In prospettiva, però, il messaggio per gli operatori è chiaro: l’uso di sistemi di IA ad alto impatto, in particolare per il credito e i pagamenti, non potrà più essere gestito solo come tema di “modello di rischio” o di innovazione tecnologica, ma richiederà un governo integrato che tenga insieme requisiti prudenziali, tutela dei diritti fondamentali, responsabilità algoritmica e dialogo con un ecosistema di autorità di vigilanza sempre più interconnesso.