Nel sistema finanziario italiano l’intelligenza artificiale non è più un tema confinato alla sola innovazione di laboratorio. Nei comparti più strutturati è già entrata nei processi ordinari, mentre negli altri continua a essere testata in modo selettivo e con soluzioni ancora parziali. La trasformazione, dunque, è in corso, ma segue ritmi differenti a seconda della funzione svolta e della dimensione dell’operatore.
Le evidenze del rapporto OCSE
Un recente rapporto dell’OCSE, sviluppato nell’ambito di un progetto finanziato dall’Unione europea con la Banca d’Italia quale autorità beneficiaria, offre una fotografia aggiornata del fenomeno. L’indagine, svolta nel secondo trimestre del 2025 su 450 operatori, mostra che il 39% degli intervistati utilizza già soluzioni di IA nell’attività quotidiana. Il dato cresce nel comparto assicurativo, dove l’adozione raggiunge il 70%, e nel settore bancario, attestato al 59%. Più contenuto, ma comunque significativo, è il ricorso da parte degli operatori dei mercati finanziari, che si colloca al 31% e appare orientato a un progressivo ampliamento degli impieghi.
Gli impieghi più diffusi e il loro significato giuridico
Il dato quantitativo, però, non esaurisce il rilievo dell’indagine. Sul piano sostanziale, l’IA viene impiegata soprattutto per attività di supporto interno, analisi dei dati, generazione di contenuti, contrasto alle frodi e presidio degli obblighi antiriciclaggio. Le applicazioni più generali risultano ancora in gran parte sperimentali, segno di un approccio graduale e prudente, soprattutto quando gli strumenti tecnologici possono incidere su processi decisionali sensibili o su rapporti con la clientela.
Il coordinamento tra AI Act e disciplina finanziaria
La vera questione giuridica non riguarda soltanto la diffusione della tecnologia, ma il modo in cui essa si innesta in un quadro regolatorio già molto articolato. L’entrata in vigore dell’AI Act non ha sostituito la disciplina di settore, ma si è aggiunta a essa, imponendo agli intermediari un costante raccordo con il GDPR, con il Digital Operational Resilience Act (DORA), con la disciplina in materia di esternalizzazione e con le regole speciali che presidiano il settore bancario, assicurativo e dei mercati finanziari.
Il rapporto segnala che uno dei principali fattori di frizione percepiti dagli operatori è l’incertezza derivante dalla sovrapposizione di fonti diverse. Il problema è particolarmente avvertito dalle imprese di minori dimensioni, che devono confrontarsi con un quadro normativo complesso e con obblighi non sempre immediatamente coordinabili.
Gli snodi interpretativi per gli operatori
Per i sistemi di IA ad alto rischio, gli obblighi previsti dal regolamento (UE) 2024/1689, noto come AI Act, devono essere letti insieme ai requisiti di gestione del rischio informatico di terze parti contenuti nel regolamento (UE) 2022/2554, cioè il DORA. Questa integrazione è necessaria per evitare duplicazioni organizzative e disallineamenti nei presìdi interni.
Quando gli strumenti tecnologici incidono su decisioni destinate a produrre effetti nei confronti della clientela, entra in gioco anche l’art. 22 del regolamento (UE) 2016/679, il GDPR, in materia di processo decisionale automatizzato. A ciò si aggiunge il ricorso sempre più frequente a fornitori esterni, che richiama i principi elaborati a livello europeo in tema di esternalizzazione.
In questa prospettiva, l’attività dell’interprete non è marginale: è proprio il coordinamento fra regole generali e discipline settoriali a determinare l’effettiva operatività degli assetti di compliance.
Governance, controllo umano e sicurezza
Il rapporto mette in luce anche un altro dato rilevante: la governance dell’IA è ancora in fase di costruzione. Solo il 16% degli operatori dichiara di aver adottato un modello autonomo di governance, mentre la maggioranza ha preferito assorbire i nuovi rischi all’interno delle strutture già esistenti.
Resta centrale il principio della supervisione umana, il cosiddetto human in the loop, mentre le soluzioni pienamente autonome sono ancora residuali. Più problematico appare il fronte della sicurezza informatica, perché circa la metà degli operatori non dispone ancora di misure specificamente disegnate per i rischi connessi all’IA. Si tratta di una lacuna significativa, soprattutto se letta alla luce dell’approccio risk based che caratterizza l’AI Act e, più in generale, la regolazione europea delle tecnologie digitali.
Accountability e resilienza operativa
La logica che emerge è quella di un sistema di responsabilità distribuita, nel quale la conformità non dipende soltanto dalla qualità del modello tecnologico, ma dalla capacità dell’organizzazione di presidiare il rischio lungo l’intero ciclo di vita della soluzione adottata. In questo quadro, la governance dell’IA si intreccia con la resilienza operativa, con le procedure interne e con la capacità di reagire a eventi avversi senza compromettere la continuità dei servizi.
Il peso dei fornitori esterni e la catena del rischio
Un ulteriore profilo di rilievo riguarda la forte dipendenza dagli operatori terzi. Circa il 75% degli intervistati utilizza servizi cloud forniti da soggetti esterni e il 39% si affida a modelli di GPAI, ossia Intelligenza Artificiale per finalità generali, anch’essi implementati da terzi. Il dato è ancora più significativo se si considera la concentrazione su quattro grandi fornitori.
Questa struttura del mercato solleva questioni delicate in materia di rischio operativo, sicurezza, continuità del servizio e responsabilità. La catena tecnologica, infatti, diventa parte integrante della catena del rischio, imponendo controlli più puntuali non solo sul sistema impiegato, ma anche sul soggetto che lo mette a disposizione e sulle sue garanzie di affidabilità.
Le indicazioni dell’OCSE per il settore finanziario
Le raccomandazioni dell’OCSE si muovono lungo due direttrici principali. Da un lato, viene sollecitata una maggiore chiarezza regolatoria, insieme a una raccolta dei dati più coordinata e a una collaborazione stabile tra soggetti pubblici e privati, così da sostenere l’innovazione senza incertezze interpretative. Dall’altro, viene richiesto un rafforzamento delle strutture di governance, della resilienza cibernetica e delle capacità di vigilanza delle autorità competenti.
L’obiettivo è quello di favorire uno sviluppo dell’intelligenza artificiale capace di migliorare efficienza e competitività del sistema finanziario, senza compromettere la tutela degli investitori, dei consumatori e della stabilità dei mercati.
Il nuovo perimetro della compliance
Per gli intermediari finanziari, il tema non è più soltanto adottare strumenti innovativi, ma inserirli in un perimetro di controllo coerente con il diritto europeo. La compliance assume così una dimensione trasversale, nella quale AI Act, DORA, GDPR, regole sull’esternalizzazione e disciplina settoriale concorrono a definire un modello unitario di gestione del rischio.
In questo scenario, la fiducia diventa un elemento essenziale. Solo un uso dell’intelligenza artificiale sorretto da governance adeguata, controllo umano effettivo e presìdi di sicurezza proporzionati può trovare stabilità nel mercato finanziario e integrarsi senza attriti nel sistema delle regole.