Governare l'intelligenza: la nuova mappa dei rischi dell'AI bancaria

La diffusione della tecnologia è ormai capillare

L'integrazione dell'intelligenza artificiale (AI) nel settore finanziario ha superato la fase della mera sperimentazione di frontiera per trasformarsi in una componente strutturale dell'evoluzione digitale delle banche. La diffusione della tecnologia è ormai capillare: secondo l'indagine condotta dalla Bank of England e dalla Financial Conduct Authority, il 75% degli istituti finanziari nel Regno Unito utilizza stabilmente sistemi di AI, con un ulteriore 10% che prevede di farlo entro tre anni. In Italia, il rapporto congiunto dell'Organizzazione per la Cooperazione e lo Sviluppo Economico e della Banca d'Italia evidenzia che il 59% degli istituti di credito e il 70% delle imprese assicurative hanno adottato soluzioni basate sull'AI.

Il problema del ritorno dell'investimento in Ai

Tuttavia, l'accelerazione degli investimenti e la centralità del tema nei consigli di amministrazione non si traducono automaticamente in un ritorno economico lineare. Il report State of Organizations 2026 di McKinsey evidenzia una profonda asimmetria: sebbene l'88% delle organizzazioni stia conducendo sperimentazioni con l'AI, l'81% dichiara di non aver ancora ottenuto un impatto significativo sui propri risultati di bilancio.

Questo divario dimostra che la vera sfida per l'industria bancaria non risiede nell'adozione della tecnologia - favorita dalla disponibilità di modelli as-a-service e soluzioni cloud di terze parti - bensì nella capacità di governarla quando essa penetra nei processi decisionali critici e core dell'intermediario, dove l'errore algoritmico genera impatti reputazionali, sanzioni di vigilanza e rischi sistemici per la stabilità del mercato.

L'AI esce dalla fase sperimentale

La transizione dai progetti pilota (Proof of Concept) all'industrializzazione nei processi core rappresenta il vero spartiacque operativo per le istituzioni finanziarie. Storicamente, le banche hanno testato l'AI su casi d'uso a bassa materialità, che rappresentano tuttora il 62% delle applicazioni censite nel Regno Unito. Tuttavia, la cattura del valore economico stimato da McKinsey - compreso tra i 200 e i 340 miliardi di dollari annui a livello globale per la sola AI generativa - richiede l'applicazione della tecnologia alle funzioni centrali della banca, quali il merito creditizio, la compliance documentale e il contrasto ai crimini finanziari.

Dalle demo ai processi: perché molte banche faticano a scalare

Il passaggio dalla sperimentazione alla scala si sta rivelando molto più difficile del previsto. La Banca dei Regolamenti Internazionali rileva che molte istituzioni finanziarie stanno ancora adottando un approccio prudente, concentrando l'AI soprattutto su usi di back office e di efficienza operativa, mentre gli impieghi core e customer-facing restano più limitati. Nello stesso report si legge che i casi d'uso "in production" nelle attività core esterne non sono ancora prevalenti, e che la generative AI nelle aree ad alto impatto continua ad attirare maggiore scrutinio per ragioni di accountability, privacy, fairness, trasparenza ed explainability. Il punto, quindi, non è che le banche non vedano il valore; è che vedono con chiarezza anche il costo potenziale di un salto troppo rapido.

Se la decisione riguarda il cliente, la banca si fa prudente

I materiali raccolti dalla BCE nei workshop con le banche su credit scoring e fraud detection sono ancora più istruttivi. Nella parte relativa al credito, il documento osserva: "No banks reported using GenAI in the context of credit scoring". Non è una frase secondaria: segnala che proprio dove la decisione tocca direttamente cliente, rischio e conformità, le banche europee restano prudenti e continuano a preferire tecniche di machine learning più consolidate. Le motivazioni riportate sono molto concrete: tempi di sviluppo, costo, trustworthiness e maggiore aderenza dei modelli tradizionali alle specificità del contesto creditizio. La distanza tra demo e scala, dunque, non è solo tecnica; è prudenziale e organizzativa.

Lo stesso studio del Massachusetts Institute of Technology, Humans in the Loop, aiuta a capire perché questo salto sia così difficile anche oltre il settore bancario. Analizzando più di venti aziende tra finance, insurance, retail, healthcare e manufacturing, il report mostra che tutte faticano a scalare non perché manchino gli use case, ma perché la scala esige architettura interna: comitati, controlli, dati affidabili, ownership e capacità di audit.

Governance: dati, modelli, controlli, responsabilità

È in questo punto che la parola governance smette di essere formula generica. La Banca dei Regolamenti Internazionali lo scrive in modo inequivocabile: "The board and senior management of financial institutions are ultimately accountable for their activities, including AI use cases." Il significato, per una banca, è molto chiaro. Non esiste un perimetro tecnologico nel quale il board possa limitarsi a "prendere atto" delle sperimentazioni. Se l'AI entra in processi rilevanti, la responsabilità ricade sulla struttura di governo come accade per ogni altra attività materiale dell'intermediario. Questo comporta allocazione chiara di ruoli e responsabilità lungo l'intero ciclo di vita dell'AI: design, sviluppo, validazione, deployment, monitoraggio, revisione, escalation e stop decision.

Il primo terreno della governance è il dato

Le fonti più recenti insistono sul fatto che l'AI sposta l'attenzione regolatoria a monte del modello: data lineage, rappresentatività, qualità, tracciabilità e protezione non sono più variabili ancillari, ma il materiale da cui dipende la controllabilità del sistema. La BCE nota che molte banche devono ancora rafforzare data quality controls, explainability e model governance lungo tutto il ciclo di vita, mentre l'Organizzazione per la Cooperazione e lo Sviluppo Economico, nella sua due diligence guidance, propone un approccio molto concreto: incorporare la responsible business conduct nei sistemi di gestione, identificare e valutare gli impatti, prevenirli, monitorarli e comunicare in modo adeguato. In termini bancari, significa che una policy AI non basta: serve un processo permanente di verifica e correzione.

Il secondo terreno è il rapporto tra AI Act e normativa bancaria. Qui il contributo dell'Autorità Bancaria Europea è utile perché evita letture caricaturali del nuovo quadro normativo. Nel mapping exercise del 2025, l'Autorità osserva: "No significant contradictions have been found between the AI Act and EU banking and payment legislation." È un punto importante. Non vuol dire che l'integrazione sia semplice, ma che il settore bancario non parte da zero: già dispone di una struttura di regole su governance, credito, risk management, controlli interni e tutela del cliente che può dialogare con l'AI Act. Al tempo stesso, la stessa l'Autorità bancaria europea ricorda che nei servizi bancari e di pagamento l'uso dell'AI per valutare il merito creditizio o assegnare un credit score alle persone fisiche rientra tra gli usi high-risk, e che quindi richiede salvaguardie ulteriori. La sfida è integrare due logiche: quella finanziaria prudenziale e quella, più ampia, di tutela dei diritti e della sicurezza.

Rischi: compliance, bias, cybersecurity, operational resilience

I rischi che l'AI porta con sé non sono tutti nuovi, ma cambiano scala e combinazione. La Banca dei Regolamenti Internazionali li riassume in una formula che ha il pregio della semplicità: "reliability/soundness, accountability, transparency, fairness and ethics." A questi, il report aggiunge con più forza che in passato data protection, safety and security. Per una banca, la lista va letta come una catena, non come un inventario. Se manca trasparenza, diventa più difficile verificare l'affidabilità del modello; se manca affidabilità, l'accountability si svuota; se il dato è opaco o distorto, crescono bias e rischi di compliance; se la dipendenza infrastrutturale è troppo concentrata, il rischio operativo si salda con quello cyber.

Il nodo delle fonti di distorsione. Il rischio di sottovalutare il pericolo

Il nodo del bias resta particolarmente sensibile. La Banca dei Regolamenti Internazionali ricorda che le fonti di distorsione possono essere sistemiche, computazionali-statistiche e umano-cognitive, e che possono emergere anche senza intenzione discriminatoria. In banca questo è cruciale perché il bias non è solo un problema etico o reputazionale: può diventare un problema prudenziale quando porta a sottostimare il rischio, a segmentare male la clientela o a generare decisioni di credito e pricing sistematicamente sbilanciate. Non a caso la BCE sottolinea che, se una banca non è in grado di spiegare in termini utili per la decisione perché un modello produce certi output, allora non è davvero in grado di controllarlo.

Cyber, terze parti e resilienza operativa

C'è poi la questione più dura del 2026: cyber, terze parti e resilienza operativa. L'Organizzazione per la Cooperazione e lo Sviluppo Economico, nel report sull'AI nei mercati finanziari italiani, segnala che gli operatori fanno ampio ricorso a cloud e provider esterni e che quasi metà dei rispondenti non ha ancora implementato salvaguardie specifiche contro le minacce cyber legate all'AI. La stessa fonte aggiunge che la concentrazione tra pochi provider è già molto elevata. È qui che l'AI smette definitivamente di essere solo un tema di efficienza e diventa un tema di Digital Operational Resilience Act. l'Autorità bancaria europea ricorda infatti che il Digital Operational Resilience Act istituisce un quadro europeo di resilienza operativa digitale e di oversight sui fornitori critici di servizi information and communication technology, proprio per ridurre rischi sistemici e di concentrazione collegati a poche infrastrutture esterne. In un ambiente dove molte applicazioni di AI dipendono da cloud, foundation models e servizi di terzi, il governo dell'AI coincide sempre più con il governo delle dipendenze.

Impatti organizzativi: competenze, ruoli, decisioni uomo-macchina

La trasformazione più profonda, tuttavia, non è solo tecnica o regolatoria. È organizzativa. Il Massachusetts Institute of Technology formula il punto con grande chiarezza: "workers are increasingly asked to perform supervisory control tasks as the 'human in the loop'". È un passaggio cruciale. L'AI non si limita ad automatizzare funzioni; ridisegna i compiti, spostando parte del lavoro da esecuzione manuale a supervisione, validazione, interpretazione e correzione del processo. Nelle attività cognitive ad alta intensità informativa, il lavoro si ricompone sempre più attorno a forme di judgment, escalation e controllo della macchina.

L'elemento umano rimane cruciale

In banca questa trasformazione è già visibile. Nei workshop BCE si legge che "Human in the loop remains central in banks' processes". Nel credit scoring, i modelli AI in genere supportano la decisione umana, salvo alcuni casi di piccole origination retail automatizzate; nella fraud detection gli alert operano in tempo reale, ma restano inseriti in una catena che prevede supervisione e decisione umana. La stessa Organizzazione per la Cooperazione e lo Sviluppo Economico, guardando al sistema finanziario italiano, osserva che "Half of the respondents use human oversight (human-in-the-loop) as a key safeguard". Il punto importante non è solo che l'uomo resti presente. È capire come resta presente: con potere effettivo di intervento o solo come presidio formale. La differenza, sul piano prudenziale, è enorme.

La governance è una questione di competenze del management

Da qui discende un'ultima conseguenza, spesso sottovalutata: la governance dell'AI è anche una questione di competenze del management. Le banche, osserva l'Organizzazione per la Cooperazione e lo Sviluppo Economico, segnalano difficoltà nell'attrarre profili con skill AI e citano anche una limitata comprensione dell'AI tra i livelli senior. La Banca dei Regolamenti Internazionali aggiunge che board e senior management devono possedere una comprensione sufficiente dei limiti, delle incertezze e delle dipendenze dei sistemi AI, specie quando questi sono forniti da terzi. In altri termini, non basta assumere data scientist o creare un innovation hub. La qualità del governo dipenderà sempre più dalla capacità del vertice di capire che cosa sta autorizzando, quali sono le trade-off e dove si annidano i punti di rottura.

L'AI bancaria come infrastruttura prudenziale

La banca che tratta l'AI come una disciplina stabile di governo - con responsabilità chiare, dati affidabili, controlli lungo il ciclo di vita, verifica sulle terze parti e capacità di fermare o correggere il sistema - compie il salto vero del 2026. Non si limita a innovare: riporta l'innovazione dentro la sana e prudente gestione. È qui che l'AI smette di essere progetto, demo o entusiasmo e diventa ciò che deve essere: un'infrastruttura da presidiare con la stessa serietà con cui si presidiano capitale, liquidità, outsourcing e rischio operativo.