top of page

L’impiego dell’IA generativa nei processi di concessione del credito: profili normativi e responsabilità

Aggiornamento: 20 nov

1. Introduzione: dall’IA predittiva all’IA generativa

Fino a tempi recenti i processi di concessione del credito erano basati su modelli di IA predittiva, i quali si limitavano a fornire output numerici funzionali alla valutazione del rischio, senza determinare o influenzare in modo significativo l’esito dell’istruttoria.

L’integrazione dei sistemi di IA generativa in questo scenario incide in maniera sistemica sulla governance del rischio, collocando la transizione nel più ampio contesto delle trasformazioni digitali che interessano l’architettura decisionale degli intermediari.

Tali sistemi non si limitano più alla mera previsione, ma sono in grado di produrre autonomamente contenuti argomentativi idonei a orientare l’esito dell’istruttoria, generando un rischio di deresponsabilizzazione dell’intermediario.

Questa evoluzione impone una rilettura del quadro normativo applicabile: a livello europeo, il riferimento principale è costituito dal Regolamento (UE) 2024/1689 (c.d. AI Act), integrato a livello nazionale dalla Legge 132/2025, entrata in vigore il 10 ottobre 2025, che stabilisce principi generali per l’uso della IA. Completano il quadro il GDPR, la CCD II e il TUB, da interpretarsi in chiave sistematica alla luce del principio di accountability nei processi decisionali automatizzati.

 

 

2. Il quadro normativo europeo

2.1 L'Artificial Intelligence Act

L’impiego di sistemi di IA generativa nei processi decisionali in materia creditizia rientra ex lege tra i c.d. sistemi ad alto rischio ai sensi dell’art. 6 dell'AI Act e dell’Allegato III del Regolamento stesso. In particolare, l’art. 6 stabilisce che un sistema di IA è da considerarsi ad alto rischio qualora incida su decisioni in ambiti sensibili. L’Allegato III, al punto 5, lett. b), include tra gli utilizzi ad alto rischio quelli destinati alla valutazione dell’affidabilità creditizia delle persone fisiche o all’attribuzione di credit score. Ne consegue che l’uso di modelli generativi per la produzione automatizzata di report di merito, analisi di rischio, bozze di condizioni personalizzate, motivazioni automatizzate alla concessione del credito, proposte contrattuali o altri contenuti che orientano o influenzano l’esito della decisione creditizia è assoggettato, senza margini di discrezionalità, al regime di conformità previsto dal Titolo III.

In tale contesto, l’art. 9 dell'AI Act impone un sistema di gestione del rischio che comprenda, tra l’altro, una valutazione ex ante dell’impatto del modello generativo sui diritti e sugli interessi giuridicamente rilevanti degli interessati, con particolare riferimento agli effetti potenzialmente discriminatori nei confronti dei soggetti valutati. Inoltre, gli artt. 11 e 14 dell'AI Act prescrivono, rispettivamente, l’obbligo di predisporre una documentazione tecnica adeguata e completa, nonché di garantire una supervisione umana effettiva (human-in-command), che non si può ridurre ad una conferma passiva, ma richiede un soggetto qualificato in grado di valutarne criticamente la coerenza rispetto alle policy interne e assumersi la responsabilità documentale della validazione.

L’intermediario deve formalizzare ruoli e poteri dei soggetti responsabili della validazione, eventualmente designando un AI Validation Officer o integrando tali compiti nelle funzioni di risk management e compliance. Tale presidio deve garantire una accountability qualificata, in quanto l’intervento umano non può consistere in un mero controllo formale, ma deve configurarsi come riesame argomentato e tecnicamente fondato.

L’art. 50 dell'AI Act introduce obblighi di trasparenza, imponendo la comunicazione chiara all’utente circa la natura artificiale dell’output e la tracciabilità dei contenuti generati, mentre l’art. 60 disciplina i meccanismi di audit e ispezione da parte delle autorità competenti, prevedendo che gli operatori siano in grado di fornire prova documentale della conformità del sistema ai principi di equità, non discriminazione e trasparenza attraverso evidenze verificabili e riconducibili a un processo di controllo interno formalizzato.

Dunque, risulta evidente che l’AI generativa impiegata nei processi decisionali che influenzano in modo sostanziale l’accesso al credito, rientra nella categoria dei sistemi ad alto rischio e, pertanto, è soggetta all’applicazione integrale del regime di conformità previsto dall’AI Act.

 

 

2.2 Il General Data Protection Regulation

Anche il Regolamento (UE) 2016/679 (c.d. GDPR) assume rilevanza centrale, in particolare con riferimento all’art. 22, par. 1, che riconosce all’interessato il diritto di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o incidano significativamente sulla sua persona. Il considerando n. 71 chiarisce che rientrano in tale ambito anche le decisioni relative alla concessione o negazione del credito.

Le linee guida adottate dal Comitato Europeo per la Protezione dei Dati (EDPB), contenute nell’Opinion n. 28 del 2024, introducono il concetto di «effetto automatizzato mediato», chiarendo che anche la generazione di contenuti argomentativi da parte di sistemi generativi, qualora idonei a orientare la decisione finale, rientra nell’ambito di applicazione dell'art. 22 GDPR.

A conferma di tale orientamento, la Corte di Giustizia dell’Unione Europea, nella sentenza C-634/21 SCHUFA, ha chiarito che un sistema di credit scoring costituisce trattamento automatizzato ai sensi dell’articolo 22 qualora l’esito del punteggio condizioni in maniera significativa la decisione dell’intermediario, anche se quest’ultima è formalmente adottata da un operatore umano. La Corte ha introdotto il concetto di influenza sostanziale, secondo cui rileva non la forma della decisione, ma il peso effettivo dell’algoritmo nella determinazione dell’esito. Inoltre, la garanzia di un intervento umano effettivo, secondo la Corte, non può ridursi a un controllo meramente simbolico dell’output (c.d. rubberstamping), ma deve consistere in una rivalutazione critica e motivata dei risultati generati dal modello.

In tale prospettiva, l’adozione di IA generativa da parte degli intermediari impone l’obbligo di effettuare una valutazione d’impatto (DPIA) sulla protezione dei dati ai sensi dell’art. 35 GDPR, nonché di garantire la responsabilizzazione del titolare del trattamento e l’esercitabilità dei diritti dell’interessato, inclusi il diritto di rettifica, cancellazione e opposizione (ex artt. 16, 17 e 21 GDPR).

Risulta dunque evidente che l’utilizzo di sistemi di IA generativa ricade nel perimetro di applicazione del GDPR. L’effetto automatizzato, diretto o mediato, impone l’adozione di misure di governance, trasparenza e controllo conformi ai principi di liceità, correttezza, minimizzazione e accountability, configurando una responsabilità qualificata del titolare del trattamento anche in relazione agli output argomentativi generati dall’IA.

 

 

2.3 La Consumer Credit Directive II

La Direttiva (UE) 2023/2225 del Parlamento Europeo e del Consiglio (c.d. CCD II), applicabile dal 20 novembre 2026, in seguito al recepimento da parte degli Stati membri entro il 20 novembre 2025, disciplina i contratti di credito ai consumatori ed introduce un quadro normativo che interseca direttamente l’utilizzo di sistemi di IA nella fase di valutazione della solvibilità e nella strutturazione delle condizioni contrattuali.

In particolare, come emerge anche nel Documento per la consultazione pubblica predisposto dal MEF sullo schema di recepimento nazionale della Direttiva, l’inserimento dell’art. 127-ter TUB è volto a garantire presidi sull’intervento umano ove la decisione creditizia si fondi, anche solo parzialmente, su processi automatizzati.

L’art. 18 della Direttiva stessa prevede che la valutazione della solvibilità avvenga su informazioni «adeguate, pertinenti e proporzionate», «verificate con modalità tecnicamente idonee» e in coerenza con i principi di correttezza e trasparenza previsti dal diritto europeo della vigilanza prudenziale. L’art. 19, par. 2, stabilisce che, qualora la decisione creditizia sia adottata, anche solo in parte, mediante trattamento automatizzato di dati personali, il consumatore ha diritto a ottenere una spiegazione comprensibile della logica sottesa al trattamento algoritmico, ivi inclusi i criteri utilizzati per l’elaborazione della decisione, esprimere osservazioni e richiedere un riesame umano della decisione.

La CCD II si configura, in tal senso, come strumento di chiusura del sistema di tutele, destinato a impedire che la narrazione generata dall’IA produca un “affidamento digitale” non supportato da una motivazione effettivamente sindacabile dall’interessato.

 

 

3. La normativa italiana vigente

3.1 La Legge 132/2025

La Legge n. 132 del 23 settembre 2025 costituisce il primo intervento organico del legislatore nazionale volto a recepire e integrare i principi dell’AI Act, con attenzione ai profili di responsabilità, controllo e vigilanza dei sistemi di IA, inclusi quelli generativi.

L’art. 5 riconosce l’IA come strumento strategico di innovazione organizzativa, promuovendo adozione nei settori regolati, purché nel rispetto di standard elevati di trasparenza, sicurezza e qualità dei dati di training. Tale disposizione, letta in chiave sistematica, legittima l’uso di modelli generativi nei processi di valutazione creditizia, subordinandolo tuttavia all’adozione di presidi organizzativi idonei a garantire la tracciabilità semantica dell’output, la coerenza rispetto alle policy interne e la non discriminazione dei soggetti valutati.

In continuità, l’art. 14 introduce la nozione di responsabilità di organizzazione digitale, riconducendo a colpa di organizzazione ex art. 6 D.lgs. 231/2001 l’assenza di protocolli di validazione, sistemi strutturati di verifica degli output generativi e procedure di supervisione umana qualificata.

L’art. 26 prevede inoltre una circostanza aggravante in caso di impiego dell’IA nell’ambito di condotte ingannevoli o lesive, riconoscendo il carattere potenzialmente fuorviante e opaco degli strumenti generativi. Trasponendo tale previsione in ambito creditizio, implica che un uso non governato dell’IA nelle fasi precontrattuali o istruttorie possa integrare responsabilità precontrattuale o extracontrattuale per violazione dell’affidamento del cliente.

Sul piano della governance pubblica, l’articolo 20 individua le autorità competenti: AgID e ACN esercitano funzioni di coordinamento, accreditamento tecnico e cybersicurezza; per il settore finanziario sono invece confermate le prerogative di Banca d’Italia, CONSOB e IVASS, dotate di poteri ispettivi e sanzionatori ai sensi dell’art. 74, par. 6, AI Act. La norma chiarisce che tali autorità settoriali conservano piena autonomia nella verifica di conformità dei sistemi generativi impiegati dagli intermediari vigilati, anche rispetto alle logiche semantiche dell’output.

 

 

3.2 Il Testo Unico Bancario

Il TUB (D.lgs. 385/1993), pur non disciplinando espressamente l’AI generativa, contiene principi che, letti sistematicamente alla luce della Direttiva (UE) 2023/2225 e del correlato schema nazionale di recepimento pubblicato dal MEF, risultano applicabili anche ai processi decisionali automatizzati in materia di concessione del credito.

Il nuovo art. 124-bis TUB, in attuazione dell’art. 18 della Direttiva (UE) 2023/2225, riconosce al consumatore il diritto all’intervento umano, alla comprensione della logica decisionale sottesa al processo automatizzato e alla contestazione della decisione qualora la valutazione del merito creditizio sia basata, anche solo parzialmente, su trattamenti automatizzati di dati personali. A tal fine, i co. da 2-bis a 2-sexies estendono tali prerogative con il nuovo art. 127-ter TUB, applicabile all’intero comparto dei contratti di credito.

La Banca d’Italia, in coordinamento con il CICR (Comitato Interministeriale per il Credito e il Risparmio), è investita del potere di adottare disposizioni di secondo livello in materia di trasparenza, oneri informativi precontrattuali, comunicazioni periodiche e gestione delle situazioni di tolleranza. Tali interventi configurano il principio di tracciabilità ed explainability algoritmica, imponendo agli intermediari l’onere di garantire una ricostruibilità documentale della sequenza logico-decisionale che ha condotto all’esito istruttorio, anche quando supportato da modelli generativi.

 

 

4. Le allucinazioni algoritmiche e le possibili direttrici regolatorie

L’impiego di sistemi di IA generativa comporta, dunque, una pluralità di obblighi normativi e responsabilità in capo agli intermediari. In questo contesto assume rilievo il fenomeno dell’allucinazione algoritmica, ossia l'affidamento acritico dell’intermediario a contenuti generati dall’IA che incidono sull’esito dell’istruttoria, in assenza di una effettiva validazione semantica.

Tale criticità assume rilievo giuridico sotto tre distinti profili:

• responsabilità contrattuale e precontrattuale (artt. 117 TUB e 1337 c.c.), qualora l’output generato contribuisca a creare un’aspettativa ingannevole sull’esito della richiesta di credito;

• trattamento automatizzato dei dati personali (art. 22 GDPR), ove l’informazione generata incida in modo significativo sulla posizione giuridica del cliente;

• responsabilità organizzativa dell’ente (D.lgs. 231/2001), in caso di assenza di protocolli di validazione, supervisione semantica e controllo interno.

Ne discende l’obbligo, in capo all’intermediario, di garantire una supervisione umana effettiva, non meramente confermativa, la tracciabilità semantica dell’output generato e la verificabilità documentale delle motivazioni e/o raccomandazioni prodotte dal sistema.

Sul punto, la sentenza del Consiglio di Stato n. 4929 del 2025 ha ribadito che l’impiego di sistemi algoritmici nei procedimenti amministrativi richiede non solo la conoscibilità del modello, ma anche la trasparenza delle logiche decisionali sottese. Tale orientamento, può essere trasposto al settore creditizio, quando l’output generativo dell’IA incide sulla formazione della volontà dell’intermediario.

In prospettiva, si delineano tre possibili direttrici regolatorie:

audit semantico: le autorità competenti, quali Banca d’Italia, GPDP, e AGCM, potrebbero introdurre meccanismi di verifica periodica dell’allineamento tra i contenuti generati e i dati sottostanti, analogamente agli stress test sui modelli di rischio, con l’obiettivo di individuare anomalie e incoerenze logiche, nonché deviazioni dalle policy interne;

registro di supervisione IA: in coerenza con i principi di tracciabilità e trasparenza, gli intermediari potrebbero essere tenuti a conservare, oltre ai dati numerici, anche le versioni testuali elaborate dall’IA, con indicazione del contesto d’uso e del soggetto validatore, costituendo così uno strumento probatorio utile in sede ispettiva e contenziosa;

responsabilità per narrazione distorta: l’impiego di contenuti generati in assenza di adeguati controlli semantici potrebbe configurare una nuova forma di colpa organizzativa, rilevante ai sensi del D.lgs. 231/2001, come manifestazione di un difetto strutturale nei modelli di governance interna, integrando una responsabilità dell’ente per omessa vigilanza sui processi automatizzati.

 

 

5. Conclusioni

In conclusione, l’integrazione dell’IA nei processi di concessione del credito rappresenta una profonda trasformazione, che impone una revisione critica delle logiche tradizionali di governance del rischio. Non più semplici strumenti di supporto, ma agenti narrativi capaci di orientare l’esito dell’istruttoria, esercitando un’influenza sostanziale sull’intermediario.

Alla luce del quadro normativo europeo e nazionale, è evidente che l’output generativo non può essere considerato neutro né privo di rilevanza giuridica. La sua capacità di incidere sul processo decisionale impone l’adozione di presidi organizzativi che assicurino la tracciabilità semantica, la supervisione umana qualificata e una documentazione rigorosa dell’intero processo di validazione.

 

 

 

 

Bibliografia

  • Banca d’Italia, Comunicazione del 30 dicembre 2024 su explainability algoritmica, in attuazione del Regolamento DORA.

  • C.A. Valenza, Le nuove prassi valutative del merito creditizio tra GDPR, CCD II e AI Act, European Journal of Privacy, Law & Technology, vol. 1 EJPLT, pp. 98–116, 2024.

  • Consiglio di Stato, Sez. VI, sentenza 13 dicembre 2019, n. 8472, in materia di utilizzo degli algoritmi nel procedimento amministrativo.

  • Corte di Giustizia dell’Unione Europea, C-634/21 SCHUFA, 7 dicembre 2023, OJ C913/1, 2024.

  • D. Gambetta et al., A linguistic analysis of undesirable outcomes in the era of generative AI, arXiv:2410.12341, 2024.

  • Decreto legislativo 1° settembre 1993, n. 385 (Testo Unico Bancario).

  • Decreto legislativo 8 giugno 2001, n. 231.

  • Direttiva (UE) 2023/2225 del Parlamento Europeo e del Consiglio del 18 ottobre 2023 sui contratti di credito ai consumatori, OJ L2225/1, 2023.

  • European Data Protection Board (EDPB), Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, 17 dicembre 2024.

  • F. Fontana, Credit scoring con uso dell’AI: come bilanciare trasparenza e requisiti GDPR, CreditNews, 2024.

  • F. Lavecchia, S. Fadanelli, R. Ricciuti et al., Comparing Credit Risk Estimates in the Gen-AI Era, 2025, arXiv preprint.

  • F. Sovrano et al., Metrics, explainability and the European AI Act proposal, Journal J, vol. 5, p. 126, 2022.

  • Garante per la protezione dei dati personali, Provvedimento sanzionatorio nei confronti di OpenAI relativo all’uso di ChatGPT, 20 dicembre 2024.

  • J. Cobbe, P. Seng Ah Lee, J. Singh, Reviewable Automated Decision-Making: A Framework for Accountable Algorithmic Systems, 2021, arXiv preprint.

  • L. Tufarelli et al., AI Act e GDPR, tra opacità algoritmica e principio di trasparenza, Rivista di Diritto Bancario, 2024.

  • Legge 23 settembre 2025, n. 132, Disposizioni e deleghe al Governo in materia di intelligenza artificiale, GU Serie Generale n.223 del 25 settembre 2025.

  • M. Schmitt, Explainable Automated Machine Learning for Credit Decisions, 2024, arXiv preprint.

  • Ministero dell’Economia e delle Finanze (MEF), Consultazione pubblica sullo schema di decreto legislativo per il recepimento della direttiva (UE) 2023/2225 relativa ai contratti di credito ai consumatori.

  • P. Gaggero e C.A. Valenza, Le moderne tecniche di credit scoring tra GDPR, disciplina di settore e AI Act, Rivista di Diritto Bancario, Fascicolo III, 2024.

  • Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (Regolamento generale sulla protezione dei dati), OJ L119/1, 2016.

  • Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio del 14 dicembre 2022 sulla resilienza operativa digitale per il settore finanziario (DORA).

  • Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024 (Regolamento sull’intelligenza artificiale), OJ L1689/1, 2024.

  • U. Ehsan et al., Expanding explainability: Towards social transparency in AI systems, CHI Conference Proceedings, 2021.

bottom of page