Le banche utilizzano l’IA per le valutazioni del credito. Le assicurazioni per l’esame dei sinistri. Gli studi legali per la ricerca giuridica. I fiduciari per la consulenza fiscale. L’introduzione dell’IA nei settori regolamentati non è più una tendenza; è la quotidianità.
Ma l’introduzione nel quadro di normative (FINMA, LPD, EU AI Act, LLCA) segue regole diverse rispetto ai settori non regolamentati. Chi le ignora rischia non solo denaro, ma licenze professionali, misure prudenziali e danni reputazionali.
Questi cinque errori si ripresentano nella pratica continuamente.
Errore 1: introdurre l’IA senza sapere dove l’IA è già in uso
L’errore più frequente è anche il più fondamentale. Molte aziende iniziano a valutare un nuovo strumento di IA senza sapere quali sistemi di IA siano già in uso.
La realtà: i collaboratori usano ChatGPT sui dispositivi aziendali. Il CRM ha un lead scoring integrato. Il sistema di gestione documentale classifica i file automaticamente. Il chatbot del servizio clienti sul sito web è un sistema di IA. Il team marketing usa uno strumento per la creazione di contenuti.
Senza un inventario completo dei sistemi di IA, manca la base per qualsiasi misura successiva. La Guidance FINMA 08/2024 richiede questo inventario esplicitamente. Il EU AI Act lo presuppone. E la LPD richiede un registro delle attività di trattamento (art. 12) che deve includere i trattamenti basati sull’IA.
Meglio: create un inventario dei sistemi di IA prima di valutare un nuovo sistema. Chiedete a ogni dipartimento: «Quali strumenti utilizzate che generano raccomandazioni, valutazioni o decisioni automatizzate?» Il risultato vi sorprenderà.
Errore 2: scegliere il fornitore prima di definire i requisiti di compliance
La valutazione tecnica prima dell’analisi regolatoria è l’ordine naturale nei settori non regolamentati. Nei settori regolamentati è quello sbagliato.
Chi sceglie prima lo strumento e poi verifica la compliance si trova davanti a un problema se lo strumento scelto non soddisfa i requisiti. Il fornitore ha sede negli USA, ma la FINMA richiede la localizzazione dei dati. Il modello è una scatola nera, ma il EU AI Act richiede la spiegabilità. I dati fluiscono verso terzi, ma il processo DPA non è completato.
Invertite l’ordine: definite prima i requisiti regolamentari. Per un istituto finanziario svizzero: circolare FINMA sull’outsourcing, LPD (in particolare art. 16-17 sulla comunicazione transfrontaliera), EU AI Act (se sono coinvolti clienti UE), policy interne di sicurezza IT. Poi valutate i fornitori rispetto a questi requisiti. Il miglior algoritmo è inutile se non supera la compliance.
Errore 3: nessuna distinzione tra «supportato dall’IA» e «deciso dall’IA»
Non tutti i sistemi di IA hanno lo stesso profilo di rischio. Un’IA che ordina documenti è diversa da un’IA che valuta richieste di credito. Entrambi sono sistemi di IA. Ma i requisiti regolamentari sono fondamentalmente diversi.
Il EU AI Act eleva questa distinzione a legge: i sistemi di IA ad alto rischio (quelli che influenzano decisioni sulla concessione del credito, premi assicurativi, rapporti di lavoro o questioni giuridiche) devono soddisfare requisiti estesi. I sistemi a rischio minimo (ordinamento documenti, traduzione, riassunti) sono soggetti a meno obblighi o a nessuno.
In pratica: classificate ogni sistema di IA per rischio. Chiedete: «Questo sistema influenza una decisione che riguarda i diritti o gli interessi di una persona?» Se sì: alto rischio. Se no: rischio inferiore. L’investimento in compliance deve essere proporzionale al rischio. Trattare tutto allo stesso modo spreca risorse. Non classificare nulla è un rilievo di audit.
Errore 4: ignorare le allucinazioni perché lo strumento «di solito è corretto»
I modelli linguistici allucinano. Generano contenuti che suonano plausibili ma sono fattualmente errati. Nei settori non regolamentati è fastidioso. Nei settori regolamentati è pericoloso.
Un avvocato che cita una sentenza inventata rischia provvedimenti disciplinari. Negli USA è già successo più volte. Un compliance officer che presenta un rapporto regolamentare generato dall’IA con riferimenti normativi errati rischia misure prudenziali della FINMA. Un fiduciario che fornisce un’informazione fiscale errata basandosi su un risultato dell’IA ne risponde personalmente.
«Di solito corretto» non basta nei settori regolamentati. Lo standard è: «Verificabilmente corretto, ogni volta.»
Standard minimo: esigete i riferimenti alle fonti. Ogni risposta generata dall’IA deve essere riconducibile a una fonte verificabile: un articolo di legge, una decisione giudiziaria, una circolare. Se lo strumento non cita le fonti, non è adatto al lavoro professionale nei settori regolamentati. Punto.
Inoltre: istituite un processo di revisione. Nessun risultato dell’IA esce dall’azienda senza che una persona qualificata lo abbia verificato. Non è una debolezza dell’IA. È lo standard professionale.
Errore 5: trattare la protezione dei dati come un problema secondario
«La protezione dei dati la risolviamo dopo.» Questa frase ricorre in quasi ogni progetto di valutazione. E quasi sempre porta a problemi.
La protezione dei dati non è una funzionalità che si aggiunge a posteriori. È una condizione fondamentale. La LPD richiede la protezione dei dati fin dalla progettazione (art. 7): il trattamento deve essere concepito fin dall’inizio in modo da rispettare i principi di protezione dei dati. Non «fin dall’inizio, appena ne avremo il tempo». Fin dall’inizio.
In concreto: prima che i collaboratori inseriscano la prima richiesta in uno strumento di IA, le seguenti domande devono avere risposta:
- Dove fluiscono i dati inseriti?
- Vengono utilizzati per l’addestramento del modello?
- Chi ha accesso agli input e ai risultati?
- Dove vengono archiviati e per quanto tempo?
- È stato stipulato un contratto di trattamento dei dati (art. 9 LPD)?
- Avviene una comunicazione transfrontaliera di dati (art. 16-17 LPD)?
Dal primo giorno: integrate la verifica della protezione dei dati nel processo di valutazione dal primo giorno. Non come un ostacolo, ma come un criterio di qualità. Un fornitore che non sa rispondere chiaramente a queste domande non è pronto per i settori regolamentati.
Conclusione
L’introduzione dell’IA nei settori regolamentati non è un progetto tecnologico. È un progetto di governance con una componente tecnologica. La tecnologia è la parte facile. La compliance, i processi e le responsabilità sono la parte difficile.
Le aziende che evitano questi cinque errori risparmiano non solo costi e rischi. Costruiscono anche la fiducia dei propri clienti e delle autorità di vigilanza che, nei settori regolamentati, è la vera moneta.
Ulteriori informazioni: montvirtua.com
Questo articolo ha finalità informative e non costituisce una consulenza legale.