NEWS

Sempre più Intelligenza Artificiale nella Financial Technology: nuove sfide per i Data Protection Officer e i Data Digital Manager

Di recente sul Wall Street Journal è apparso un articolo di Angus Loten intitolato “Financial Technology Firms Tap AI to Reach More Borrowers”, in cui viene sottolineato come sia sempre più diffuso il ricorso a tecnologie di Intelligenza Artificiale per aiutare le fintech companies operanti nel settore della concessione di prestiti per aiutare imprese e anche singole persone, in primo luogo gli studenti, a reperire denaro da prestatori professionali e non per sostenere le loro attività di impresa o comunque orientate a implementare le capacità dei destinatari dei prestiti e quindi anche il valore delle loro attività presenti o future.

Francesco Pizzetti, già Presidente dell'Autorità per la protezione dei dati personali

(Nella foto: Francesco Pizzetti, Presidente dell'Autorità per la protezione dei dati personali dal 2005 al 2012)

In sostanza queste compagnie tra le quali si segnala in particolare la OppFI, con sede in Chicago, utilizzando molteplici set di dati raccolti prevalentemente in rete (ma non solo), favoriscono la crescita diminuendo il fossato tra coloro che ricercano prestiti e prestatori senza trovare risposta dal sistema finanziario e dal mercato tradizionale e coloro che offrono prestiti o operano come prestatori di denaro nel mondo on line.

L’aspetto più innovativo del fenomeno è che invece di basare le analisi sui tradizionali punteggi relativi alla affidabilità dei crediti, coloro che operano come prestatori in rete utilizzano ampie raccolte di dati conservate su piattaforme a disposizione di analisi secondo tecniche proprie della Intelligenza Artificiale per definire una rappresentazione più ampia delle caratteristiche di coloro che fanno domanda di prestiti rispetto a quella che emerge dai sistemi di “score” usati dalle banche.

Così operando, queste imprese incrementano la fiducia dei prestatori rispetto a coloro che chiedono un prestito e di fatto si pongono come concorrenti del sistema bancario, non solo perché si dimostrano più efficienti e affidabili, ma anche perché le tecniche utilizzate, basate, come tutte le tecniche di Intelligenza Artificiale, sulla prevedibilità dei comportamenti futuri ottenuta sulla base di dati relativi alle esperienze già compiute, accelerano molto la velocità delle pratiche. Esse dunque sono molto più efficienti sia nel soddisfare le richieste di chi è in cerca di prestiti, di norma finalizzati a far fronte a necessità impreviste e urgenti, o a necessità di carattere particolare, basate più sulla fiducia alla persona che su garanzie tradizionali, come accade nel caso di prestiti agli studenti.

Sempre più ricorso all'intelligenza artificiale nel mondo finanziario, ma ci sono rischi per la privacy

In questo modo, come sottolinea Todd Schwartz, il capo esecutivo della OppFI, si riescono a soddisfare le esigenze sia di clienti che pur avendo un lavoro fisso e conti in banca non rientrano nei canoni tradizionali dei servizi finanziari, sia di quelli che non hanno i requisiti tradizionalmente richiesti ma pure, secondo le previsioni fatte dai sistemi di IA adottati, meritano fiducia.

Per essere più concreto Todd sottolinea che questa tecnologia, per operare in modo predittivo circa la affidabilità degli aspiranti debitori, analizza i debiti contratti dai richiedenti ad esempio per acquisto di abiti, il loro reddito e le informazioni reperibili presso altre fonti.

I debiti dei richiedenti analizzati sono, in particolare, quelli concessi da banche titolari di apposita licenza e dalle istituzioni finanziarie.

Guardando all’esperienza della OppFI l’articolo sottolinea che la compagnia ha favorito la contrazione di prestiti per 187 milioni di dollari negli ultimi tre mesi del 2021, registrando così un incremento del 25% rispetto al medesimo periodo dell’anno precedente.

Dal canto suo un altro operatore intervistato, Jerry Silva, vicepresidente della International Data Corp’s Financial Insights, sottolinea che a suo giudizio i prestatori on line sono in costante crescita anche come conseguenza del fatto che i prestatori di minori dimensioni e capacità hanno tratto giovamento dalla possibilità di usare tecniche di Intelligenza Artificiale e di “machine learning” per valutare la affidabilità dei richiedenti anche utilizzando documentazione digitale raccolta grazie all’accesso ai devices degli utenti: documenti che le banche tradizionali non consentono di conoscere.

In questo quadro merita anche sottolineare che la società di ricerche Allied Market Research prevede una crescita del fenomeno nei prossimi otto anni pari al 27,4% per anno, raggiungendo il giro di affari di 4.9 trilioni di dollari entro il 2030.

Non mancano tuttavia anche ombre. Uno studio congiunto della Harvard Business School e della Georgia State University, pubblicato nel 2018 e aggiornato recentemente, sottolinea, sempre secondo l’articolo che si commenta, che coloro che chiedono e ottengono prestiti on line hanno un rischio maggiore di essere poi inadempienti rispetto quelli che ottengono prestiti attraverso i circuiti tradizionali delle istituzioni finanziarie.

Proprio per questo Oppo Fi tende a caricare coloro che chiedono prestiti di costi più elevati relativi al capitale richiesto fino a che essi non offrono un tracciamento affidabile dei pagamenti effettuati da loro rispetto ai prestiti già ricevuti. Allo stesso tempo, e proprio per questo, stando sempre all’articolo citato, le iniziative operanti solo on line tendono a intrecciare relazioni di affari con banche partner per poter offrire anch’essi servizi utili ai clienti come la possibilità di avere conti di deposito e carte di credito.

Contemporaneamente, come sottolinea Karl Jacob, CEO di Loan Snap, queste società, quando operano rispetto a crediti agli studenti o ad altri futuri debitori “deboli”, tendono a usare tecniche di Intelligenza Artificiale anche per analizzare le prospettive di rientro anche dai loro debiti contratti attraverso credit card. Una Attività questa che è presentata come un aiuto al cliente e che, con la AI, richiede un tempo minimo per essere effettuata.

Proprio le caratteristiche dei servizi offerti, in particolare agli studenti, sono, secondo David Green, chief executive della Earnest LLC (una piattaforma on line per i crediti agli studenti), un vantaggio molto apprezzato sia dai creditori che dai debitori e garantiscono che i debitori possano contare su una analisi costante dei debiti già contratti e dei relativi interessi e di quelli che stanno per contrarre e dei relativi oneri, ricevendo così essi stessi un aiuto a tenere sempre comportamenti corretti: cosa questa che i tradizionali servizi offerti dalle banche non assicurano e che comunque potrebbero offrire solo sulla base di una circolazione di dati tra le banche e gli istituti titolari delle carte di credito che comporta rischi elevati, che nel mondo on line e nei servizi offerti solo on line può essere evitato.

Financial Technology e privacy: binomio possibile?

In sostanza l’ottimismo regna fra le società che si sono lanciate nel mondo Fintech, come conferma Chris Doyle, Presidente e Ceo della piattaforma Billd LLC situata ad Austin in Texas, che è specializzata in prestiti a costruttori titolari di affidamenti nel settore delle costruzioni: un settore che meno di altri è generalmente considerato affidabile dalle banche tradizionali.

Soprattutto, come sottolinea Doyle, gli operatori in questo setto apprezzano la rapidità delle decisioni relative alle loro richieste di credito che possono essere assunte, grazie appunto alla tecnologia AI, anche in meno di 24 ore.

Come riporta l’articolo del Wall Street Journal, Mr. Doyle sottolinea che le banche tradizionali sono molto lente mentre la tecnologia AI e gli operatori online possono operare in tempi molto più ristretti.

L’articolo del WSJ non va oltre e per il momento nemmeno noi lo facciamo.

Merita tuttavia sottolineare che quanto sin qui detto offre uno spaccato molto interessante non solo sulle possibilità di utilizzazione delle tecnologie di AI nel mondo finanziario ma anche sugli enormi mutamenti in corso nella società digitale.

Ormai tutti avranno compreso, si spera, che nell’epoca digitale che è ormai in pieno sviluppo anche il mondo bancario e finanziario sono destinati ad avere profondissimi cambiamenti, così come le modalità di uso delle tecnologie di AI sono e saranno sempre più applicabili nei settori più disparati.

È ovvio che anche per questo è molto importante che la UE adotti rapidamente sia il Digital Services Act (DSA) che il Digital Market Act (DMA). Infatti, in questo contesto si capisce anche perché siano così importanti le parti di questi due Regolamenti che impongono trasparenza nelle tecniche di Intelligenza Artificiale adottate rispetto ai diversi servizi offerti dagli operatori.

Non vi è dubbio inoltre che questi mutamenti comportano, e comporteranno sempre di più, anche rilevanti problemi di protezione dei dati personali degli utenti: il che spiega anche perché già si parli di future modifiche al GDPR.

Per il momento tuttavia quanto detto conferma ancora una volta la necessità che chiunque esercita l’attività dei Data Protection Officer, così come chiunque pensa di esercitarla in futuro deve fin d’ ora mettere in conto una costante attività di aggiornamento delle sue competenze. Lo stesso peraltro devono fare le organizzazioni che, a partire dalle università, promuovono corsi di specializzazione in DPO.

Non è più possibile organizzare corsi senza prevedere anche, come da tempo sta facendo Federprivacy, successivi corsi di aggiornamento.

Chi investe professionalmente in un settore così dinamico ed importante, e si accolla impegni pesanti sia di tempo che di risorse finanziarie per specializzarsi nel trattamento dei dati nella società digitale ha il diritto di essere sicuro di potere contare su un percorso professionale costantemente assistito da attività di aggiornamento e di formazione nel tempo.

Un motivo in più per considerare quelle di Data Protection Officer o di Digital Data Manager le attività più interessanti tra le professioni di oggi e di domani.

Se poi si vuole considerare più da vicino l’ambito di estensione della responsabilità dei DPO rispetto sistemi che comportano, come in questo caso, l’uso di tecnologie di AI per l’attività di impresa si deve tenere fin da ora ben presente che è stato di recente raggiunto un compromesso a livello UE sul testo di Regolamento sulla Intelligenza Artificiale presentato dalla Commissione UE ed è quindi ragionevole attendersi che il nuovo Regolamento possa essere approvato entro l’ottobre 2022 in Commissione e in Plenaria entro il novembre 2022.

Questo Regolamento, nel testo sul quale è stato trovato l’accordo, prevede un sistema normativo a due livelli: uno nazionale, affidato agli Stati membri, e uno sovranazionale che assicura una regolazione comune su tutti i fenomeni che riguardano tutti i consumatori europei e possono determinare un significativo impatto sociale. Sulle regole contenute nei sistemi nazionali restano competenti le Autorità nazionali mentre sulle seconde la competenza è assegnata direttamente alla Commissione, prevedendo anche un rafforzamento del ruolo del Comitato europeo per l’Intelligenza Artificiale. L’accordo è assai restrittivo sulla possibilità di usare sistemi di riconoscimento biometrico (che peraltro nelle attività qui in esame sono marginali) ma è molto attento a definire il divieto di pratiche di “social scoring” poste in essere da enti privati, tanto che proprio questo è uno dei punti tuttora in discussione.

Infine il testo affronta, anche se per ora non risolve in via definitiva, il tema delle sandbox normative che dovranno essere usate per “allenare” i sistemi di Intelligenza Artificiale e gli algoritmi che dovranno essere usati, compreso il tema centrale dei dati da prendere in esame, per svolgere le attività predittive proprie della AI in modo conforme ai principi europei.

Quest’ultimo tema è particolarmente importante perché, come è evidente, la tecnologia di AI, laddove usata, diventa il canale essenziale attraverso il quale l’impresa viene a conoscenza della realtà nella quale opera e delle effettive condizioni di rischio cosicché il modo col quale questi sistemi sono “allenati” e i dati che devono essere messi a loro disposizione diventano un elemento fondamentale della valutazione dei rischi che l’uso di queste tecnologie può comportare. Valutazione dei rischi che riguarda ovviamente tutta la catena operativa attraverso la quale le tecniche di Intelligenza Artificiale sono applicate, a partire dai dati utilizzati per arrivare alle tecniche adottate dalle macchine utilizzate.

Non a caso, del resto, la valutazione di rischio è a carico di chi utilizza queste tecnologie (e dunque cura anche l’allenamento dei sistemi di AI) così come di chi fornisce gli apparati normativi necessari, comprese le piattaforme on line e i processori adottati.

La scelta fatta finora che, è ragionevole ritenere, non sarà più rimessa in discussione, comporta un doppio sistema normativo (europeo e nazionale) proprio per favore allo stesso tempo la omogeneità del mercato digitale UE e la specificità dei sistemi di IA usati in contesti particolari e specifici. Da queste scelte dovrebbero trarre forza in particolare le PMI che operano prevalentemente sui mercati nazionali e che è interesse della UE possano agire in un contesto di regole chiare e specifiche, adatte al contesto nazionale ma coerenti col quadro unitario del mercato digitale europeo.

La condivisione della responsabilità dei rischi fra utilizzatori di tecniche di IA e fornitori di macchine adatte a mettere in atto queste tecniche è poi una scelta specifica, finalizzata a stimolare l’attenzione di tutti i protagonisti dei settori di volta in volta interessati ad essere compliant con il quadro europeo. Inoltre la condizione di responsabilità tra utilizzatori delle IA e fornitori delle strutture tecniche necessarie consente anche al Comitato europeo, al quale in ultima analisi spetta concedere o meno l’autorizzazione e il marchio necessario per attestare la conformità dei sistemi seguiti dagli operatori, di svolgere in modo più ampio e penetrante il proprio lavoro, verificando non solo la correttezza e la conformità alle regole delle analisi di IA previste ma anche delle piattaforme e delle macchine utilizzate.

È evidente che i DPO non possono non esser coinvolti in questi processi, giacché comunque si tratta di dati (e spessissimo di dati che riguardano anche la corretta applicazione del GDPR. È altrettanto evidente, però, che tutto questo richiede ai DPO, compresi quelli che assistono i fornitori dei macchinari necessari e dei processi da utilizzare, competenze elevate e specifiche, che li mettano in grado di curare gli interessi delle imprese sia verso le Autorità nazionali e europee che rispetto alle procedure da adottare e alle verifiche da fare per stipulare accordi di condivisione dei rischi conformi a quanto previsto dalla regolazione IA.

A questo si aggiunga il rilievo che assume la competenza richiesta ai DPO per valutare i dati da utilizzare nelle sandbox e la qualità dei dati stessi. Una competenza specifica e complessa, ma fondamentale così come lo è quella richiesta per verificare il corretto svolgimento delle analisi IA da parte delle procedure e dei sistemi operativi adottati.

Naturalmente questi sono solo gli aspetti principiali, ai quali va aggiunta comunque la necessità per i DPO di esser in grado di conoscere a fondo sia i sistemi nazionali adottati dagli Stati nell’ambito delle loro competenze che le regole UE e le decisioni assunte dalle Autorità europee, prima fra tutte la Commissione.

Va infine tenuto presente che è fondamentale in questo quadro una comprovata abilità dei DPO di conoscere e valutare la qualità dei dati usati e la loro pertinenza alle attività svolte e alle finalità perseguite.

È chiaro che ben difficilmente i DPO formati solo, o prevalentemente, sul GDPR possano possedere queste competenze, fermo restando che, come si è già detto molte volte, la conoscenza approfondita del GDPR e delle decisioni delle Autorità UE e nazionali sulla applicazione delle regole in esso contenute è e resta fondamentale.

Vi è insomma molto molto lavoro da fare, soprattutto quando, si spera entro il 2022, il Regolamento europeo sulla Intelligenza Artificiale sarà adottato definitivamente e anche gli altri due Regolamenti sui dai in epoca digitale (DSA e DMA) saranno entrati in vigore. Da questo punto di vista merita anche fare un cenno doveroso allo sforzo in atto da parte dell’Istituto San Paolo di Torino che ormai da due anni ha iniziato un impressionante sforzo per adottare all’interno di un sistema bancario tradizionale tecnologie Fintech molto avanzate, già in linea, in molti casi, con gli indirizzi UE.

E' necessario dunque prepararsi fin d’ora, accelerando il più possibile i tempi in modo che il sistema imprenditoriale e Fintech italiano si faccia trovare pronto all’appuntamento e l’Italia non debba rischiare di essere considerata, ancora una volta, un freno allo sviluppo comune della UE.

Al lavoro dunque, con impegno e competenza. Siamo ancora in tempo ma ormai il tempo sta per scadere.

Note Autore

Francesco Pizzetti Francesco Pizzetti

Professore ordinario di diritto costituzionale a Torino e docente alla Luiss. Presidente Autorita' Garante per la protezione dei dati personali dal 18 aprile 2005 al 17 giugno 2012.

Prev Twitter punta sulla 'gamification' per avvicinare i propri utenti alla privacy
Next Il caso della sanzione ad AccorHotels costituisce un'applicazione virtuosa del meccanismo di 'One Stop Shop' previsto dal GDPR

Umberto Rapetto: più tutelati con Gdpr ma non bisogna abbassare la guardia

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy