Nei corridoi delle grandi banche europee, l’intelligenza artificiale ha lasciato le riunioni di innovazione digitale per approdare ai comitati rischi, alle funzioni di compliance e ai report al Consiglio di amministrazione. Il motivo è semplice: il regolamento DORA ha cambiato le regole, e con loro la grammatica della governance bancaria.
Il Digital Operational Resilience Act inquadra l’AI come una componente critica del rischio ICT, con tutti gli obblighi che ne derivano in materia di gestione, test, documentazione e responsabilità apicale.
Quattro direttrici che ridisegnano la governance bancaria
BaFin, la Banca d’Italia e le altre autorità di vigilanza europee sono state esplicite: chi usa l’AI deve gestirla e controllarla alla stregua di qualsiasi sistema informatico critico. Concretamente, questo si traduce in quattro aree d’intervento obbligatorie:
▸ Gestione del rischio e terze parti: i sistemi AI, soprattutto quelli cloud o sviluppati da vendor esterni, richiedono valutazioni di rischio rigorose, test di sicurezza e validazione continua.
▸ Monitoraggio e incident response: ogni anomalia nel comportamento di un modello AI va identificata, valutata e segnalata. L’AI entra ufficialmente nei piani di gestione degli incidenti.
▸ Responsabilità del consiglio: DORA attribuisce all’organo di gestione la responsabilità finale sui rischi ICT. Se la banca usa agenti AI, il board deve comprenderli e presidiarli.
▸ Coerenza con l’AI Act: la resilienza operativa si accompagna alla conformità ai requisiti di rischio specifici del Regolamento UE 2024/1689.
L’inventario dei modelli: il nuovo documento strategico
Uno degli adempimenti più concreti e immediati per le banche è la costruzione di un inventario centralizzato e classificato dei propri sistemi AI. Vi rientrano il modello di scoring, i dati di training che lo alimentano, l’infrastruttura hardware su cui gira, i fornitori terzi che lo aggiornano e i processi di business in cui incide.
Questo inventario richiede aggiornamento continuo per tracciare eventuali derive dei modelli (model drift), vulnerabilità emergenti o cambiamenti nei dati di input che potrebbero alterare le decisioni algoritmiche.
Il caso del credit scoring: alto rischio, alto scrutinio
I sistemi di credit scoring rientrano esplicitamente nell’Allegato III dell’AI Act come sistemi ad alto rischio. Questo comporta documentazione tecnica completa, supervisione umana costante, gestione dei bias nei dati di addestramento e la garanzia che ogni cliente possa ricevere una spiegazione comprensibile della decisione algoritmica.
Un algoritmo che nega un prestito porta con sé una responsabilità spiegabile. La trasparenza è un fattore competitivo in un mercato dove la fiducia del cliente vale quanto il rendimento. L’AI è un rischio operativo strutturale da presidiare ai massimi livelli istituzionali.
Go GRC Platform è il sistema tecnologico avanzato sviluppato da Deda Bit per centralizzare la gestione dei rischi, della conformità normativa e dei processi di audit aziendale. Certificata dall’ACN nel Marketplace Cloud italiano e basata sul modello OCEG, la piattaforma offre moduli integrabili per Corporate Governance, Internal Audit, Operational & IT Risk e Line Controls.
Scopri come Go GRC Platform può trasformare la tua compliance da centro di costo a vantaggio competitivo.
