DEV Community

Cover image for IA generativa nel banking: Conto alla rovescia per la conformità fino ad agosto 2026
Dirk Röthig
Dirk Röthig

Posted on

IA generativa nel banking: Conto alla rovescia per la conformità fino ad agosto 2026

#iacompliance #euaiact #dora #settorefinanziario

IA generativa nel banking: Conto alla rovescia per la conformità fino ad agosto 2026

Di Dirk Röthig | CEO, VERDANTIS Impact Capital | 9 marzo 2026

Per i Chief Risk Officer e i responsabili della compliance negli istituti finanziari, il 2026 non è un anno qualunque. Con DORA già in vigore, l'EU AI Act che si avvicina alla sua scadenza decisiva e il pacchetto CRR III che ricalibra i requisiti patrimoniali, si sta delineando una convergenza normativa che richiede un'azione rapida e strategica — non progetti pilota astratti.

Tags: Conformità IA, EU AI Act, DORA, Settore finanziario, Regolamentazione

Scadenza 2 agosto 2026: Perché è necessario agire adesso

Il 2 agosto 2026 segna un punto di svolta normativo la cui portata per il settore finanziario è difficilmente sovrastimabile. Da quella data entrano in vigore gli obblighi di conformità integrali dell'EU AI Act per i cosiddetti "sistemi di IA ad alto rischio" — e il settore finanziario ne è direttamente e intensamente coinvolto.

Come Dirk Röthig, osservo che molti istituti finanziari trattano ancora la scadenza di agosto come un futuro astratto. Questo è un errore strategico. L'EU AI Act non è l'unico quadro normativo a esercitare pressione: DORA è pienamente vincolante dal 17 gennaio 2025, e il pacchetto CRR III/CRD VI sta simultaneamente ridisegnando i requisiti patrimoniali per i modelli di rischio. Tre quadri normativi, una sola finestra temporale — chi non agisce adesso rischia sia sanzioni regolatorie sia costi di implementazione sostanziali sotto pressione temporale.

Questo articolo non è rivolto agli strateghi che desiderano descrivere l'IA come vantaggio competitivo. È rivolto ai CRO, ai compliance officer e ai risk manager che necessitano di risposte concrete alla domanda: Cosa deve essere implementato entro quando?

L'architettura a tre pilastri: EU AI Act, DORA e CRR III

Pilastro 1: EU AI Act — La classificazione ad alto rischio colpisce il cuore del banking

L'EU AI Act (Regolamento 2024/1689) classifica esplicitamente una serie di applicazioni IA come "sistemi ad alto rischio" — e il settore finanziario compare più volte nell'Allegato III (Parlamento Europeo, 2024). Sono specificamente interessati:

  • Valutazione del merito creditizio e credit scoring per persone fisiche
  • Modelli di rischio AML (monitoraggio delle transazioni antiriciclaggio)
  • Sistemi decisionali automatizzati nella concessione di crediti e nel calcolo dei premi assicurativi
  • Sistemi di identificazione biometrica nell'autenticazione dei clienti

Per questi sistemi, l'AI Act prescrive un ampio programma di obblighi dal 2 agosto 2026 (EU AI Act, 2024). Tra questi figurano:

  1. Quadro di gestione del rischio: Analisi del rischio scritta per ciascun sistema IA interessato
  2. Documentazione tecnica: Documentazione completa dei dati di addestramento, dell'architettura e delle procedure di validazione
  3. Valutazione di conformità: Autovalutazione o audit di terze parti, a seconda della categoria del sistema
  4. Registrazione nella banca dati UE: Iscrizione nella banca dati centrale dell'UE per i sistemi IA ad alto rischio
  5. Supervisione umana: Supervisione umana dimostrabile e capacità di intervento
  6. Monitoraggio e registrazione: Piste di audit complete per tutte le decisioni basate sull'IA

I rischi finanziari per le violazioni sono considerevoli: fino a 35 milioni di euro o il sette per cento del fatturato annuo globale per pratiche di IA vietate, fino a 15 milioni di euro o il tre per cento per altre infrazioni (EU AI Act, 2024). Va tenuto presente l'ambito di applicazione extraterritoriale: ogni istituto che serva clienti dell'UE rientra nel campo di applicazione — indipendentemente da dove i sistemi di IA vengano gestiti.

Più della metà delle organizzazioni interessate non ha ancora nemmeno creato un inventario di base dell'IA, secondo l'attuale analisi di mercato (Nortal, 2026). Nel frattempo, i costi di conformità per i sistemi ad alto rischio nei grandi istituti sono stimati tra 8 e 15 milioni di dollari per sistema — la pianificazione anticipata è considerevolmente più efficiente rispetto all'implementazione dell'ultimo minuto (Axis Intelligence, 2026).

Pilastro 2: DORA — Le fondamenta della resilienza operativa digitale

Il Digital Operational Resilience Act (DORA, Regolamento 2022/2554) non è più uno scenario futuro — è pienamente efficace dal 17 gennaio 2025 (Commissione Europea, 2023). I regolatori trattano il 2025 come una fase di transizione durante la quale esaminano i quadri e identificano le lacune prima che seguano misure di applicazione più rigorose.

Per gli istituti finanziari che utilizzano l'IA generativa, DORA è rilevante sotto molteplici aspetti:

Gestione del rischio di terze parti (TPRM): Le banche devono mantenere un registro completo di tutti i fornitori ICT terzi — inclusi fornitori cloud, fornitori di API IA e fornitori di infrastruttura per modelli. L'IA generativa opera prevalentemente sulle infrastrutture di pochi grandi fornitori (Microsoft/Azure OpenAI, Google, Amazon), creando rischi di concentrazione e sistemici che DORA affronta esplicitamente (Mayer Brown, 2025).

Resilienza operativa: Ogni processo basato sull'IA considerato critico per le operazioni aziendali deve essere sottoposto a test di resilienza. Ciò significa: pianificazione della continuità operativa per le interruzioni dei servizi IA, procedure di riserva e test di resilienza regolari (IBM, 2025).

Adeguamenti contrattuali: DORA prescrive clausole contrattuali specifiche con i fornitori ICT terzi — inclusi diritti di audit, obblighi di segnalazione degli incidenti e strategie di uscita. Per molte fintech fortemente dipendenti da infrastrutture esterne, ciò comporta un significativo impegno di negoziazione e consulenza legale (Freshfields, 2025).

Le sanzioni per le violazioni di DORA: fino al due per cento del fatturato annuo totale — senza soglia minima (Commissione Europea, 2023). Per i Lead Overseer di fornitori ICT terzi critici, fino all'uno per cento del fatturato giornaliero medio mondiale.

Pilastro 3: CRR III / CRD VI — Nuovi requisiti patrimoniali per i modelli di rischio basati sull'IA

Il pacchetto CRR III/CRD VI rappresenta l'iniziativa normativa più completa per il settore bancario europeo dopo Basilea III ed è in vigore dal 2025 (Comitato di Basilea per la Vigilanza Bancaria, 2024). Per i modelli di rischio basati sull'IA emerge una doppia rilevanza:

In primo luogo, le banche devono applicare metodologie più rigorose nella valutazione delle garanzie immobiliari e del rischio di credito — rendendo l'utilizzo di modelli predittivi basati sull'IA soggetto a un più stretto controllo normativo. In secondo luogo, il pacchetto impone requisiti di divulgazione ampliati per i rischi di modello, particolarmente sfidanti per i sistemi di IA generativa, i cui percorsi decisionali sono spesso difficili da ricostruire (BIS, 2024).

Il divario di spiegabilità: Il problema tecnico centrale

Quando si riducono i tre quadri normativi a un denominatore comune, convergono sullo stesso problema tecnico: Spiegabilità (Explainability). L'EU AI Act la richiede per i sistemi ad alto rischio. DORA la richiede per i processi critici. Il CRR III la richiede per i modelli di rischio.

Tuttavia, i modelli di IA generativa — in particolare i grandi modelli linguistici (LLM) — sono strutturalmente difficili da spiegare. Si basano su miliardi di parametri e generano output i cui percorsi causali non sono banalmente ricostruibili (BIS FSI Paper, 2024). L'Autorità Monetaria di Singapore (MAS) ha già osservato nel 2024 che "mancano generalmente metodi consolidati per spiegare gli output della GenAI e valutarne l'equità" (MAS, 2024).

Per i compliance officer, ciò genera un dilemma concreto: devono fornire sia spiegazioni regolatorie ("Perché il modello ha preso questa decisione?") sia spiegazioni orientate al cliente ("Perché la mia richiesta di prestito è stata rifiutata?") — e soddisfare entrambi i requisiti simultaneamente (Harvard Data Science Review, 2025).

Dirk Röthig raccomanda qui un approccio tecnologico pragmatico: architetture di Retrieval-Augmented Generation (RAG), in cui il percorso decisionale diventa tracciabile attraverso documenti referenziabili, combinate con modelli di classificazione interpretabili separati per le decisioni altamente regolate. La GenAI gestisce l'analisi e la sintesi — la decisione basata su regole rimane nelle componenti spiegabili del sistema.

L'altro fronte: L'IA come strumento dei criminali

Il dibattito sulla conformità nel settore finanziario non può ridursi al problema di governance interna. L'IA generativa sta contemporaneamente trasformando in modo fondamentale il panorama delle minacce esterne — e questo aspetto resta sottorappresentato nelle discussioni regolatorie.

La BioCatch Dark Economy Survey 2025, che ha intervistato 800 dirigenti di gestione delle frodi, AML e compliance in 17 paesi, dipinge un quadro preoccupante: il 70 per cento degli esperti intervistati ha dichiarato che i criminali usano l'IA in modo più efficace per commettere reati finanziari di quanto facciano le banche per prevenirli (BioCatch, 2025). Sono particolarmente allarmanti le seguenti tendenze:

  • Falsificazione d'identità basata su deepfake: "Non possiamo più fidarci dei nostri occhi e delle nostre orecchie per verificare le identità digitali", ha dichiarato il CMO di BioCatch Jonathan Daly (BioCatch, 2025)
  • Reti di conti mula su scala industriale: I clienti di BioCatch hanno identificato circa 2,3 milioni di conti mula utilizzati per il riciclaggio di denaro nel solo 2024 (BioCatch, 2025)
  • Attacchi di truffa potenziati dall'IA: Più della metà degli istituti intervistati ha perso tra 5 e 25 milioni di dollari a causa di attacchi potenziati dall'IA nel 2023 (BioCatch, 2025)

Nasdaq stima che nel 2023 siano transitati 3,1 trilioni di dollari in fondi illeciti attraverso il sistema finanziario globale (Nasdaq, 2023). I sistemi di IA per la rilevazione delle frodi non sono quindi una semplice misura di efficienza — sono una necessità normativa ed etica.

Anche FINRA ha sottolineato nel suo Rapporto di Supervisione Regolamentare 2026 che gli istituti finanziari stanno iniziando a implementare soluzioni GenAI incentrate sull'efficienza dei processi interni — la difesa dalle minacce esterne è ancora in ritardo (FINRA, 2026).

Piano d'azione in cinque passi per la conformità IA

Per CRO e compliance officer che vogliono agire adesso, Dirk Röthig raccomanda un piano di implementazione strutturato:

Passo 1 — Inventario IA (immediatamente)
Create un registro completo di tutti i sistemi IA implementati: fornitore, finalità, base dati, rilevanza decisionale. Questo inventario è un prerequisito per le valutazioni di conformità dell'EU AI Act e per i requisiti TPRM di DORA.

Passo 2 — Classificazione ad alto rischio (T1 2026)
Valutate ogni caso d'uso IA rispetto ai criteri dell'Allegato III dell'EU AI Act. Il credit scoring, il monitoraggio AML e la consulenza di investimento automatizzata hanno un'elevata probabilità di essere rilevanti come alto rischio. Per questi sistemi: avviare immediatamente la valutazione di conformità.

Passo 3 — Adeguamento contrattuale DORA (T1–T2 2026)
Verificate tutti i contratti con fornitori ICT terzi per la conformità a DORA. Se mancano clausole di audit, obblighi di segnalazione degli incidenti o disposizioni di uscita, è necessaria la rinegoziazione. I rischi di concentrazione derivanti da un numero esiguo di fornitori cloud IA devono essere valutati e documentati.

Passo 4 — Infrastruttura di spiegabilità (T2 2026)
Implementate soluzioni tecniche per decisioni IA tracciabili: architetture RAG per output fondati su documenti, livelli XAI per piste di audit regolatorie, modelli di validazione separati per le decisioni creditizie.

Passo 5 — Registrazione nella banca dati UE e documentazione di governance (entro il 1° agosto 2026)
Completate i sistemi di gestione della qualità, i quadri di rischio e la documentazione tecnica. Registrate i sistemi ad alto rischio interessati nella banca dati dell'UE. Documentate formalmente i meccanismi di supervisione umana.

Conclusione: La conformità come forza strategica

Il 2 agosto 2026 non è una fine, ma un inizio. Gli istituti finanziari che costruiscono ora la propria governance dell'IA non stanno solo creando sicurezza normativa — stanno sviluppando una competenza strutturale che costituisce un reale vantaggio competitivo in un panorama IA sempre più regolamentato.

Dirk Röthig vede quindi nella sfida regolatoria anche un'opportunità strategica: chi implementa l'IA generativa in modo precoce e conforme guadagna la fiducia delle autorità di vigilanza, dei partner istituzionali e dei clienti. Chi aspetta paga il doppio — una volta per l'implementazione affrettata, una volta per le potenziali sanzioni.

La domanda per i compliance officer non è dunque: "Dobbiamo farlo?" La domanda è: "Come sfruttiamo questa trasformazione per migliorare?"

Altri articoli di Dirk Röthig

Bibliografia

  1. Axis Intelligence (2026): EU AI Act News 2026: Compliance Requirements & Deadlines. Disponibile su: https://axis-intelligence.com/eu-ai-act-news-2026/

  2. Comitato di Basilea per la Vigilanza Bancaria (BCBS) (2024): Digitalisation of Finance: Risks Associated with Generative AI. Banca dei Regolamenti Internazionali. Disponibile su: https://www.bis.org/publ/othp100.pdf

  3. BioCatch (2025): Dark Economy Survey 2025: Insights into the Invisible — Perspectives on Evolving Fraud and AML Challenges. Disponibile su: https://www.biocatch.com/dark-economy-survey-2025

  4. BIS Financial Stability Institute (2024): Regulating AI in the Financial Sector: Recent Developments. FSI Insights on Policy Implementation No. 63. Disponibile su: https://www.bis.org/fsi/publ/insights63.pdf

  5. BIS Financial Stability Institute (2024): How Regulators Can Address AI Explainability. FSI Papers No. 24. Disponibile su: https://www.bis.org/fsi/fsipapers24.pdf

  6. Commissione Europea (2023): Regolamento (UE) 2022/2554 — Digital Operational Resilience Act (DORA). Gazzetta Ufficiale dell'Unione Europea. Disponibile su: https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en

  7. Parlamento Europeo (2024): Regolamento (UE) 2024/1689 — Artificial Intelligence Act. Allegato III: Sistemi IA ad alto rischio. Disponibile su: https://artificialintelligenceact.eu/annex/3/

  8. FINRA (2026): 2026 Regulatory Oversight Report. Financial Industry Regulatory Authority. Disponibile su: https://www.finra.org/media-center/newsreleases/2025/finra-publishes-2026-regulatory-oversight-report-empower-member-firm

  9. Financial Stability Board (FSB) (2025): Monitoring Adoption of Artificial Intelligence in Financial Services. Disponibile su: https://www.fsb.org/uploads/P101025.pdf

  10. Freshfields Bruckhaus Deringer (2025): Digital Operational Resilience Act (DORA). Freshfields Tech, Data and AI. Disponibile su: https://www.freshfields.com/en/our-thinking/campaigns/tech-data-and-ai-the-digital-frontier/eu-digital-strategy/digital-operational-resilience-act-dora

  11. Harvard Data Science Review (2025): The Future of Credit Underwriting and Insurance Under the EU AI Act: Implications for Europe and Beyond. Volume 7.3. Disponibile su: https://hdsr.mitpress.mit.edu/pub/19cwd6qx

  12. IBM (2025): What Is the Digital Operational Resilience Act (DORA)? IBM Think. Disponibile su: https://www.ibm.com/think/topics/digital-operational-resilience-act

  13. Mayer Brown (2025): Cybersecurity in the Financial Sector: EU's Digital Operational Resilience Act Takes Effect. Disponibile su: https://www.mayerbrown.com/en/insights/publications/2025/01/cybersecurity-in-the-financial-sector-eus-digital-operational-resilience-act-takes-effect

  14. Autorità Monetaria di Singapore (MAS) (2024): Citato in: BIS FSI Insights No. 63 — Regulating AI in the Financial Sector. Disponibile su: https://www.bis.org/fsi/publ/insights63.pdf

  15. Nasdaq (2023): Nasdaq Annual Global Financial Crime Report 2024. Stima dei flussi finanziari illeciti 2023. Disponibile su: https://www.biocatch.com/dark-economy-survey-2025

  16. Nortal (2026): 2026 EU Financial Services Compliance: Key Regulations & Technology. Disponibile su: https://nortal.com/insights/eu-financial-services-compliance

Sull'autore: Dirk Röthig è CEO di VERDANTIS Impact Capital, con sede a Zugo, Svizzera. Come investitore e imprenditore all'intersezione tra finanza a impatto, tecnologia e agricoltura sostenibile, Röthig accompagna investitori istituzionali e privati nella navigazione di sfide regolatorie e strategiche complesse. VERDANTIS Impact Capital si concentra su soluzioni di investimento basate sulla natura — crediti di carbonio, agroforestazione e nature-based solutions. Ulteriori articoli e contatti: www.verdantiscapital.com

Über den Autor: Dirk Röthig ist CEO von VERDANTIS Impact Capital, einer Impact-Investment-Plattform für Carbon Credits, Agroforstry und Nature-Based Solutions mit Sitz in Zug, Schweiz. Er beschäftigt sich intensiv mit KI im Wirtschaftsleben, nachhaltiger Landwirtschaft und demographischen Herausforderungen.

Kontakt und weitere Artikel: verdantiscapital.com | LinkedIn

Top comments (0)