Il RegTech è uno degli ambiti più interessanti della nuova ondata di innovazione e startup fintech, come sottolineato anche nelle recenti interviste a P101 SGR e a Osborne Clarke.
In un episodio del nostro podcast #define banking abbiamo incontrato una startup RegTech, Kalipso, che ha da poco chiuso un round da 3,2 milioni di dollari.
Abbiamo intervistato la co-fondatrice, Virginia Debernardi: questo articolo è una versione testuale dell’intervista audio originale.
AG. Che cosa è Kalipso e cosa farete dopo questo round di finanziamento?
VD. Kalipso è stata fondata da me e Pierre, un ragazzo francese, abbiamo una founder story classica: ci siamo conosciuti al corso di laurea in Diritto Europeo a Maastricht, stesso anno e più o meno gli stessi corsi.
Poi le nostre strade si sono divise. Io ho lavorato in ambito proprietà intellettuale e knowledge management, e anche in Unione Europea, con la prospettiva del regolamentatore. Sono poi passata in-house come General Counsel di una scaleup in Germania, dove mi sono occupata di compliance.
Pierre scrive software da quando ha 13 anni, ma studia legge, anche a Stanford, e finisce col lavorare nel team legale di Klarna, in cui era la persona dedicata unicamente al Dipartimento di Ingegneria. È quindi un avvocato “ponte” fra diritto e IT.
Ci siamo ritrovati da ex colleghi e abbiamo ideato Kalipso per risolvere un pain point che abbiamo trovato nelle nostre esperienze: la normativa ti piomba addosso, non sai come gestirla e avresti bisogno di un sistema organizzato, chiaro e preciso che ti aiuti a gestire la compliance.
Kalipso fa proprio questo: prende la normativa e la trasforma in qualcosa su cui gli addetti alla Compliance possono concretamente agire. Non invia alert, ma ti informa che qualcosa è cambiato, ti riguarda e devi implementarlo in un dato modo.
AG. Credo che molti colleghi di Compliance si siano ritrovati nella tua descrizione, non a caso il RegTech è al centro di attenzione e investimenti. E in questo ambito si muovono sia startup sia grandi attori tecnologici che stanno cercando di sfruttare il potenziale dell'intelligenza artificiale. Come vi differenziate rispetto a ciò che già esiste sul mercato?
VD. La mia risposta ti sorprenderà. L’alternativa, oggi, non è un altro software, ma sono le persone.
La maggior parte dei team di compliance non ha gli strumenti necessari per andare a dormire la sera con la pace mentale di essere compliant. Il vero problema è questo: le aziende esternalizzano il giudizio. Hanno Excel, cartelle condivise, e-mail e si affidano a consulenti e avvocati. Perché, appunto, non hanno uno strumento.
Per questo il RegTech è così “hot” al momento.
Ci sono le classiche piattaforme GRC, che esistono da sempre e hanno molto successo, ma sono strumenti rigidi, molto anni ’90.
Abbiamo poi strumenti iper-specifici, tipo registri di privacy, che sono sostanzialmente degli Excel bene elaborati e impacchettati. Li uso anche io e sono utilissimi, ma hanno un limite che è quello dell’espansione, sono verticali e non orizzontali.
Ci sono, poi, gli strumenti di Horizon Scanning: moltissimi paesi, migliaia di fonti, continui aggiornamenti. Anche qui, però, l’utente riceve solo un alert: qualcosa è cambiato. Ma all’azienda serve di più: ha bisogno di sapere che cosa fare.
Oppure, ancora, ci sono le piattaforme di informazione legale: fondamentali, danni grande contenuto, ma non danno il workflow. Infine, le piattaforme di collaborazione che, invece, sono tutte workflow e non c’è contenuto.
A volte hai il workflow, altre il contenuto, e devi collegare le due cose. Kalipso si posiziona lì, nel mezzo, dando entrambe le cose.
E andiamo ad affrontare quello che definiamo “paradigma del rischio”: il settore ha accettato di non essere compliant e di riorganizzarsi intorno al rischio. Non riuscendo a chiudere il vuoto tra la normativa e le azioni, misuri il rischio. Dai un punteggio, lo abbassi e lo internalizzi.
Oggi, con l’AI, questo approccio non è più adeguato: sei in grado di colmare il gap, analizzando la normativa e applicandola al tuo caso specifico.
AG. La descrizione dei vostri servizi dice “Kalipso traduce la normativa in processi operativi”. Cosa significa, in concreto?
VD. Parto da un esempio noto a molti. Il DSA Europeo introduce il concetto di trader, dando una definizione estremamente generica e ampia, che include moltissimi attori. La maggior parte delle aziende non ci fa caso, ma quando si pubblica una app sull’App Store di Apple, oppure la si aggiorna, ci viene richiesto se siamo un trader ai sensi del DSA.
Sì o no? Il tuo team di ingegneria viene da te per ottenere quella risposta. Siamo un trader, sì o no? E tu passi due giorni, chiami colleghi, analizzi un testo da oltre 100 pagine per trovare la risposta in due paragrafi e alcune comunicazioni. E ci metti due giorni.
La risposta si può trovare. Ma nel frattempo hai bloccato il rinnovo della licenza o gli aggiornamenti della app. È un problema per il business, perché un’azienda non può permettersi il tempo necessario a leggere una intera regolamentazione per trovare un paio di riferimenti che forse la riguardano.
Serve uno strumento che dica all’azienda: questo ti riguarda, qui il riferimento. E che prende la normativa e la traduce in un processo operativo, così che puoi riuscire a fare il tuo business.
AG. Tra gli investitori di Kalipso c’è anche Didier Valet, ex deputy CEO di Société Générale, le cui dichiarazioni confermano l’eccessiva dipendenza della compliance bancaria dai processi manuali e report disconnessi. Quanto tempo e quante risorse potete liberare, rispetto a un processo di recepimento normativo tradizionale?
VD. La risorsa più importante è il tempo. La gran parte del lavoro di compliance non è leggere le norme, ma restare aggiornati in profondità. I controlli e le policy invecchiano rapidamente.
Quando è uscito il GDPR, non c’erano linee guida, era pura regolamentazione. In questi anni sono arrivate decine di documenti, di sentenze della Corte di Giustizia Europea e così via. Ciascuna di queste comunicazioni può, potenzialmente, costringerti a rimappare le policy e i controlli.
Se una azienda rivede policy e controlli ogni sei mesi, potenzialmente potresti trovarti non conforme per circa la metà di ogni anno. Se poi ci aggiungi più giurisdizioni, allora tutto si complica.
Il diritto è europeo, sì, ma ogni regolatore nazionale introduce una normativa secondaria diversa e il puzzle si complica ancora. Essere sempre compliant è praticamente impossibile.
Allora andiamo a tagliare il tempo, la difficoltà di agire su più giurisdizioni.
AG. E quando vi presentate a una grande banca o compagnia assicurativa, incontrate qualche resistenza culturale?
VD. In generale entriamo in contatto soprattutto con grandi aziende. Kalipso funziona bene dove c’è complessità. Il principale ostacolo culturale è legato all’AI. C’è una sorta di mania, oggi, per cui tutti ritengano che il proprio team interno dedicato all’intelligenza artificiale possa replicare qualunque soluzione sul mercato.
Non è così, ovviamente. In ambiti come il legale, l’accounting, la tassazione, servono ingegneri con competenza del settore e per il settore: non si insegna rapidamente la compliance a ingegneri che non l’hanno mai fatta prima.
AG. L’AI, lo sappiamo, sbaglia. E in ambito Compliance un errore può avere conseguenze rilevanti in termini di reputazione e sanzioni. Come garantite l’affidabilità delle raccomandazioni e come si inserisce il famoso human in the loop, quindi una validazione legale di una persona?
VD. Lo human in the loop è fondamentale, perché se no verrebbe meno il ruolo del legale. Usiamo l’AI perché è l’unico strumento per analizzare moltissime fonti, sintetizzarle e applicarle a un contesto specifico.
Ma la usiamo solo dove serve. L’AI è una infrastruttura. Elabora molto velocemente, sì, ma occorre sempre l’intervento umano, anche nelle prime fasi. Non posso alimentare l’AI con migliaia di norme: andrebbe in totale allucinazione. Noi prima organizziamo le fonti di diritto e le norme, poi le mappiamo e solo dopo le forniamo all’AI. Gli avvocati e gli esperti di legge vengono assistiti dall’AI, la guidano.
Per evitare le allucinazioni abbiamo una rigidissima tracciabilità delle fonti, cosa che faremmo anche se l’AI non esistesse. Tutto deve ricondurre a una fonte precisa, con citazione diretta della norma o della legge. Così l’utilizzatore può verificare il testo citato.
Poi arriva lo human in the loop: noi diamo una sintesi, le fonti certe e la visibilità su tutto. Poi è l’utente umano che decide se e come implementare.
Il modello, inoltre, non può mai usare la propria conoscenza oppure trovare informazioni su internet. Obblighiamo l’AI a inserire una citazione della normativa e qualunque output privo di essa viene bloccato.
Preferiamo dire all’utente che non siamo in grado di rispondere, quando c’è il rischio di dire qualcosa di fuorviante.
AG. Come si gestiscono da un lato la varietà di recepimento nelle diverse giurisdizioni, dall’altro l’aggiornamento della normativa?
VD. Come dicevo prima, lavoriamo al meglio quando c’è complessità. Vediamo molti strumenti che coprono decine di paesi e di fonti, noi ci siamo specializzati in cinquanta mercati prioritari, dove operano i nostri clienti e dove sappiamo di fare bene, lavorando su ciascuno nel dettaglio.
Per quanto riguarda l’aggiornamento, noi in realtà assistiamo l’azienda anche prima, perché il nostro monitoraggio coglie anche una normativa che sta per uscire. Quando questo accade, ti comunichiamo che c’è una novità e ti spieghiamo l’impatto sulle tue attività aziendali, sui tuoi controlli e sulle policy, con una gap analysis che spiega cosa deve cambiare e come.
