Con la pubblicazione avvenuta lo scorso 30 marzo in Gazzetta Ufficiale del Regolamento Prot. n. 0472870/2022 concernente “il trattamento dei dati personali effettuato dalla Banca d’Italia nell’ambito della gestione degli esposti riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari e clienti e i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento”, i consumatori vedono aumentare sensibilmente la propria tutela della privacy e dei propri dati personali nel momento in cui si muovono contro banche e finanziarie, creando in questo modo un clima di certezza giuridica e di fiducia nelle istituzioni.
Poco meno di un mese prima rispetto alla pubblicazione, il 24 febbraio 2022 - a fronte di una richiesta di parere formulata in ordine allo Schema di Regolamento, che aggiornava ed implementava il precedente regolamento emanato il 6 novembre 2015 alla luce del Regolamento (UE) 2016/679 (GDPR) - il Garante della Privacy si esprimeva favorevolmente in ordine al trattamento dei dati personali riservato alla gestione degli esposti con il parere n. 78.
Cosa prevede il Regolamento
Oggetto diretto dell’attenzione della Banca d’Italia è la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari e clienti e i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento, finalizzati a esercitare – se del caso e una volta appurati comportamenti illeciti - i poteri di vigilanza suoi proprî nei confronti delle banche e dei gruppi bancari e finanziari, nonché degli intermediari e degli istituti di pagamento. Oggetto mediato dell’attenzione della Banca d’Italia - ma nel mirino del Garante della Privacy - è il trattamento dei dati personali coinvolti nella gestione degli esposti, vieppiù alla luce della volontà della Banca d’Italia di adottare un sistema di analisi avanzata, tramite tecniche di machine learning e altri strumenti di intelligenza artificiale, che agevolano la complessa analisi degli esposti presentati e far emergere eventuali fenomeni di interesse per l’attività di vigilanza, come comportamenti scorretti e frequenti nell'offerta di prodotti bancari e finanziari.
L’intelligenza artificiale
Negli ultimi anni si è assistito a un rinnovato interesse verso la disciplina dell’AI, grazie alla crescita esponenziale della potenza di calcolo e della notevole quantità di dati disponibili, che costituiscono fattori determinanti per l’applicabilità dell’Intelligenza Artificiale. Tale attenzione è stata recentemente confermata anche a livello istituzionale attraverso la proposta di regolamento “Artificial Intelligence Act”, formulata dalla Commissione europea, in cui vengono presentate diverse misure di tutela da adottare per lo sviluppo, l’immissione sul mercato e l’utilizzo di sistemi di Intelligenza Artificiale nei vari settori, con particolare interesse per quelli ad alto impatto, tra cui il settore finanziario. Il mondo bancario, che dispone di enormi moli di dati ad alto potenziale informativo, si configura come ambito di rilievo per una proficua introduzione dei principi e dei metodi dell’AI.
La compliance
Il testo del nuovo regolamento e la relativa valutazione d’impatto sulla protezione dei dati personali mostrano di tenere già conto delle indicazioni fornite dal Garante a Banca d’Italia in numerose interlocuzioni, al fine di garantire, con l’individuazione di misure appropriate e specifiche, la tutela dei diritti fondamentali degli interessati nel rispetto del GDPR e dei suoi principi.
Nello specifico, Banca d’Italia – destinataria della segnalazione - è titolare del trattamento quando “tratta” gli esposti e quando “usa” le informazioni acquisite attraverso strumenti di intelligenza artificiale.
Se “trattare” significa gestire la questione sottoposta alla sua attenzione, attraverso una prima attività finalizzata a comprendere, identificare e rappresentare il problema, per appurare se la posizione dell’esponente va supportata o meno; “usare” le informazioni acquisite significa compiere una attività di ricerca e indagine conoscitiva sul contenuto degli esposti, nella quale vengono impiegati appunto strumenti di intelligenza artificiale e tecnologie correlate di machine learning, in grado di estrarre concetti e ricorrenze e di connettere informazioni contenute nei diversi documenti.
Le informazioni negli esposti...
Ma come avviene l’indagine degli esposti presentati? E soprattutto dove può ravvisarsi un problema di privacy? L’indagine sugli esposti viene effettuata attraverso l’utilizzo di un motore di ricerca full text, in grado di rintracciare e raggruppare in cluster (gruppi simili) tutte le informazioni presenti negli esposti riconducibili a un determinato prodotto o servizio finanziario.
… senza dati personali
Ebbene, se ben possono le informazioni essere estratte attraverso tecniche automatizzate, clusterizzate appunto per similitudine semantica, tuttavia - si badi bene! - la clusterizzazione non deve riguardare (e difatti non riguarda) i dati personali degli esponenti, né dei soggetti terzi, ivi compresi coloro che operano per conto dell’intermediario destinatario dell’esposto, bensì i soli prodotti e servizi offerti alla clientela coinvolti nella vicenda e che abbiano costituito oggetto di segnalazione di anomalia da parte dei privati.
Fugati sotto questo profilo i problemi di privacy, il regolamento prevede che tale attività di utilizzo dei dati, sempre al fine di essere in linea con il GDPR, non implichi alcuna forma di profilazione o predizione di comportamenti individuali né delle persone fisiche mittenti/esponenti né dei terzi citati negli esposti, né delle persone fisiche che a vario titolo possono essere coinvolte nella vicenda, anche in qualità di soggetti svolgenti funzione di amministrazione, direzione e controllo nell’organizzazione dell’intermediario segnalato ovvero operanti in rapporto di mandato, lavoro o collaborazione con l’intermediario stesso.
L’automazione e la protezione della persona
Da ultimo, il Regolamento in commento chiarisce che dai risultati delle analisi sviluppate con tecniche di AI, non potranno derivare conseguenze sanzionatorie o decisioni automatiche su persone fisiche. Nel Regolamento, infatti, è specificato che tutte le decisioni non saranno automatizzate, ma continueranno ad essere adottate direttamente e discrezionalmente dal personale avente funzioni di vigilanza dell’Autorità bancaria, all’interno della procedura ordinaria di gestione dei singoli esposti.
Saranno adottate anche apposite misure di sicurezza con riferimento al monitoraggio degli applicativi utilizzati a supporto della trattazione degli esposti, consentendo l’accesso alle informazioni ai soli dipendenti autorizzati. È previsto infine il periodico monitoraggio e l’aggiornamento degli algoritmi di machine learning, nonché l’implementazione di tutte le misure necessarie di protezione dell’hardware, delle reti e delle apparecchiature da eventi malevoli, sotto il controllo di tecnici esperti, al fine di assicurare alle persone interessate il rispetto dei loro diritti ed evitare qualsiasi conseguenza negativa derivante da analisi automatizzate, anche nel caso in cui si verifichino.
Da oggi, dunque, chi intende denunciare alla Banca d’Italia comportamenti scorretti e irregolari da parte di banche e finanziarie è ulteriormente tutelato dalla presenza del regolamento in commento, che se da una parte agevola l’analisi degli esposti con tecniche sempre più avanzate, dall’altra tiene conto del diritto fondamentale di protezione della persona con riguardo al trattamento dei suoi dati personali.
