La FINMA ha pubblicato nel dicembre 2024 la Guidance 08/2024 sulla governance e sulla gestione dei rischi quando gli istituti vigilati utilizzano l’intelligenza artificiale. La governance dell’IA non è più facoltativa: è un’aspettativa prudenziale. Per i dipartimenti di compliance di banche, assicurazioni e gestori patrimoniali ciò significa nuovi obblighi, nuova documentazione, nuovi processi.
Questo articolo spiega cosa la FINMA richiede in concreto, dove si trovano oggi la maggior parte degli istituti e quali passi devono avere la priorità.
Cosa richiede la Guidance FINMA 08/2024
La guidance non crea nuove leggi. Concretizza gli obblighi prudenziali esistenti nel contesto dei sistemi di IA. I requisiti fondamentali:
1. Creare un inventario dei sistemi di IA
Ogni istituto vigilato deve sapere quali sistemi di IA utilizza. Non solo quelli evidenti (chatbot, rilevamento frodi), ma tutti i sistemi che prendono o preparano decisioni automatizzate. Un CRM con lead scoring integrato è un sistema di IA. Un classificatore automatico di documenti pure.
La FINMA si aspetta un inventario completo con: nome del sistema, scopo, dati di input, output decisionali, fornitore, ambito di impiego e valutazione del rischio.
2. Effettuare la classificazione dei rischi
Ogni sistema di IA inventariato deve essere valutato in base al rischio. La FINMA non prescrive una matrice di classificazione rigida, ma si aspetta una metodologia tracciabile. Dimensioni di rischio rilevanti: impatto sulle decisioni dei clienti, sensibilità dei dati, spiegabilità, potenziale di bias.
Un chatbot interno che assiste il personale su questioni HR presenta un rischio inferiore. Un modello di credit scoring che partecipa alle decisioni ipotecarie presenta un rischio elevato. La classificazione determina la profondità dei requisiti di governance.
3. Documentare il framework di governance
Per i rischi medi e elevati, la FINMA richiede un framework di governance documentato. Questo comprende: responsabilità chiare (chi decide sull’impiego dell’IA?), processi di approvazione (come viene autorizzato un nuovo sistema di IA?), monitoraggio continuo (come viene verificata la qualità del modello?) e gestione degli incidenti (cosa succede quando un sistema di IA fornisce risultati errati?).
4. Responsabilità nei confronti del consiglio di amministrazione
La guidance chiarisce che il consiglio di amministrazione porta la responsabilità complessiva per i rischi legati all’IA. Ciò significa: il CdA deve essere informato su quali sistemi di IA l’istituto utilizza, quali rischi esistono e come vengono mitigati. Un rapporto annuale sui rischi legati all’IA al CdA è l’aspettativa minima.
Dove si trovano oggi la maggior parte degli istituti
La realtà nella maggior parte degli istituti finanziari svizzeri di medie dimensioni si presenta così:
- Non esiste un inventario completo dei sistemi di IA. Singoli dipartimenti utilizzano strumenti di IA (spesso ChatGPT Enterprise) senza che il dipartimento di compliance ne sia a conoscenza.
- La classificazione dei rischi manca perché nessuno ha definito cosa «l’IA» comprende esattamente nel contesto istituzionale.
- Esistono framework di governance per i rischi IT in generale, ma non specificamente per l’IA.
- Il CdA ha il tema sul radar, ma non ha ricevuto un reporting strutturato.
Non è un’accusa. È il punto di partenza. La guidance è recente, i requisiti sono nuovi e la maggior parte degli istituti agisce in buona fede. Ma la FINMA chiederà alla prossima ispezione. E la documentazione dovrà essere pronta.
Cinque passi prioritari
Passo 1: creare l’inventario dei sistemi di IA (impegno: 2-4 settimane)
Interrogate ogni dipartimento: «Quali strumenti software utilizzate che generano raccomandazioni, valutazioni o decisioni automatizzate?» Registrate tutto in un elenco strutturato. Compresi gli strumenti di terzi. Compreso l’utilizzo di ChatGPT sui dispositivi aziendali.
Passo 2: effettuare la valutazione dei rischi (impegno: 1-2 settimane)
Definite una matrice di rischio con almeno tre livelli (basso, medio, elevato). Valutate ogni sistema. Documentate la motivazione. La metodologia deve essere tracciabile, non perfetta.
Passo 3: redigere le policy di governance (impegno: 2-4 settimane)
Per i sistemi ad alto rischio: chi approva il deployment? Chi monitora la qualità del modello? Quali percorsi di escalation esistono? Per tutti i sistemi: chi è il responsabile IA interno?
Passo 4: preparare un rapporto per il CdA (impegno: 1 settimana)
Un rapporto strutturato: numero di sistemi di IA, distribuzione dei rischi, stato della governance, lacune individuate, piano di misure. Il CdA ha bisogno di una visione d’insieme, non dei dettagli.
Passo 5: istituire un monitoraggio continuo (impegno: continuo)
I cambiamenti normativi nel settore dell’IA si succedono continuamente. La FINMA svilupperà ulteriormente la guidance. Chi non monitora sistematicamente i cambiamenti rimarrà indietro.
Il collegamento con il EU AI Act
Gli istituti finanziari svizzeri che servono clienti nell’UE devono osservare anche il EU AI Act oltre alla Guidance FINMA. La piena applicazione inizia il 2 agosto 2026. I requisiti si sovrappongono parzialmente (valutazione dei rischi, documentazione, sorveglianza umana), ma in alcuni ambiti vanno oltre (marcatura CE, registrazione nella banca dati UE, valutazione di conformità).
Una strategia di compliance integrata che copra entrambi i quadri normativi fa risparmiare tempo e previene la duplicazione del lavoro.
Cosa fa Mont Virtua
Stiamo costruendo una piattaforma che monitora le circolari FINMA, le linee guida e i cambiamenti normativi in tempo reale. 27 tabelle FINMA sono già strutturate e consultabili. Ogni risposta fa riferimento alla fonte ufficiale. Ospitata in Svizzera. Nessun US Cloud Act.
Offriamo inoltre una valutazione strutturata di conformità al EU AI Act: classificazione dei rischi, analisi delle lacune documentali e piano di misure. Non un onorario di consulenza aperto, ma un prezzo fisso chiaramente definito.
Ulteriori informazioni: montvirtua.com
Questo articolo ha finalità informative e non costituisce una consulenza legale.