7 min di lettura

Guidance FINMA 08/2024: governance dell'IA per gli istituti finanziari svizzeri

La FINMA richiede a banche e assicurazioni una governance sistematica dell'IA. Cosa richiede concretamente la circolare 08/2024, quali scadenze si applicano e come prepararsi.

FINMAGovernance IAComplianceBancheAssicurazioniAI Governance

Guidance FINMA 08/2024: governance dell’IA per gli istituti finanziari svizzeri

Con la circolare 08/2024, la FINMA ha creato per la prima volta un quadro concreto per l’utilizzo dell’intelligenza artificiale negli istituti vigilati. Quella che era considerata una buona prassi diventa vincolante. Per i responsabili della compliance di banche e assicurazioni ciò significa: strutturare, documentare, dimostrare.

Questo articolo scompone la circolare nelle sue componenti pratiche. Nessun riassunto del documento di sintesi. Requisiti concreti, passi concreti.

Cosa richiede la FINMA: cinque pilastri

1. Inventario dei sistemi di IA

Ogni istituto vigilato deve tenere un inventario completo di tutti i sistemi di IA. A dirsi è più semplice che a farsi.

Un inventario IA conforme agli standard FINMA comprende:

  • Nome e descrizione del sistema: cosa fa il sistema? In quale processo aziendale è integrato?
  • Classificazione: supporto alla decisione o decisione autonoma? Rivolto ai clienti o interno?
  • Valutazione del rischio: basata sull’impatto di un malfunzionamento. La valutazione automatizzata del credito ha un profilo di rischio diverso da un chatbot HR interno.
  • Fonti di dati: quali dati alimentano il sistema? Dati personali? Dati finanziari? Dati dei clienti?
  • Responsabilità: chi è responsabile a livello operativo? A livello tecnico? Chi ha dato l’approvazione?
  • Ultimo riesame: quando è stato validato il sistema l’ultima volta?

La FINMA si aspetta che questo inventario sia mantenuto aggiornato. Non una volta all’anno. In modo continuativo.

Sfida pratica: nella maggior parte degli istituti, nessuno sa esattamente quanti sistemi di IA siano in uso. I fogli Excel del dipartimento IT registrano gli strumenti ufficiali. Ma l’analista che usa ChatGPT per i riassunti o il team che ha integrato un servizio di scoring esterno non vi compaiono. La FINMA intende tutto. Compresa l’IA integrata nel software acquistato.

2. Valutazione dei rischi e classificazione

La FINMA opera con un modello di rischio a tre livelli per i sistemi di IA:

Rischio elevato:

  • Sistemi con impatto diretto sui clienti (decisioni di credito, pricing, valutazione dei rischi)
  • Sistemi nella lotta al riciclaggio di denaro (LRD art. 3-7 obblighi di diligenza)
  • Sistemi che generano rapporti regolamentari (notifiche FINMA, calcoli dei fondi propri)

Rischio medio:

  • Sistemi di supporto decisionale (strumenti di analisi che alimentano decisioni umane)
  • Automazione interna con impatto sui collaboratori (screening HR, valutazione delle prestazioni)

Rischio basso:

  • Strumenti ausiliari puramente interni senza influenza diretta sulle decisioni (riassunti testuali, traduzione)

La classificazione determina l’impegno di documentazione. I sistemi ad alto rischio richiedono una validazione completa prima del deployment e ri-validazioni regolari. I sistemi a basso rischio si limitano a una documentazione iniziale.

3. Model Governance

Per ogni sistema di IA a rischio medio o elevato, la FINMA richiede un framework di governance documentato:

Prima del deployment (pre-deployment):

  • Risultati dei test documentati
  • Verifica dei bias effettuata (in particolare per le decisioni che riguardano i clienti)
  • Valutazione d’impatto sulla protezione dei dati ai sensi della LPD art. 22 (se sono coinvolti dati personali)
  • Approvazione da parte della direzione responsabile

Durante l’operatività (post-deployment):

  • Metriche di monitoraggio definite e monitorate
  • Rilevamento della deriva: la qualità del modello si deteriora nel tempo?
  • Processo per gli incidenti: cosa succede quando il sistema fornisce risultati errati?
  • Ri-validazione regolare (la FINMA raccomanda almeno annualmente per i sistemi ad alto rischio)

Obbligo di documentazione: La FINMA si aspetta che l’intera governance dei modelli sia verificabile in qualsiasi momento. Durante un’ispezione in loco, l’istituto deve poter dimostrare che ogni sistema di IA ha seguito il processo definito.

4. Outsourcing e fornitori terzi

La maggior parte degli istituti acquista capacità di IA anziché svilupparle internamente. La FINMA tratta ciò come un’esternalizzazione ai sensi della circolare 2018/3 «Outsourcing».

In concreto:

  • Ogni fornitore esterno di IA deve essere registrato nell’inventario delle esternalizzazioni.
  • Per le esternalizzazioni essenziali: due diligence, diritti di audit contrattuali, strategia di uscita.
  • L’hosting cloud di modelli di IA rientra nelle direttive cloud della FINMA.
  • Particolare attenzione ai fornitori esteri: dove vengono elaborati i dati? Si applica il US CLOUD Act? Conflitto con LPD art. 16-17 (esportazione di dati)?

Cosa viene spesso dimenticato: anche una connessione API a un servizio di IA (p. es. un modello di scoring via REST API) è un’esternalizzazione se il risultato alimenta un processo aziendale vigilato.

5. Trasparenza e tracciabilità

La FINMA richiede che le decisioni prese dall’IA siano tracciabili. Ciò non significa che ogni algoritmo debba essere spiegabile (Explainable AI in senso accademico). Significa:

  • Nei confronti dei clienti: se un sistema di IA ha partecipato a una decisione che riguarda il cliente (rifiuto del credito, aumento del premio), il cliente deve esserne informato. La base della decisione deve poter essere illustrata in modo comprensibile.
  • Nei confronti dell’autorità di vigilanza: la FINMA deve poter comprendere come il sistema giunge al suo risultato. Non al livello di ogni singola ponderazione, ma nella logica dell’approccio.
  • Internamente: la direzione deve poter comprendere e valutare i rischi dei sistemi di IA impiegati senza essere essa stessa composta da data scientist.

Scadenze e disposizioni transitorie

La FINMA non ha fissato una scadenza di transizione rigida per la circolare 08/2024. Ma la prassi prudenziale mostra:

  • Alla prossima ispezione in loco, il tema della governance dell’IA verrà sollevato.
  • Gli istituti che non potranno presentare un inventario e una struttura di governance a quel punto riceveranno prescrizioni.
  • Per gli istituti di importanza sistemica (categorie 1 e 2), le aspettative sono più elevate e le scadenze più brevi.

Raccomandazione: l’inventario IA dovrebbe essere pronto entro il T3 2026. Il framework di governance per tutti i sistemi ad alto rischio entro il T4 2026. È ambizioso ma realistico.

Sovrapposizione con il EU AI Act

Per gli istituti con attività nell’UE si aggiunge il EU AI Act (regolamento 2024/1689). I requisiti FINMA e quelli europei si sovrappongono ma non sono identici:

Tema FINMA 08/2024 EU AI Act
Inventario IA Richiesto Richiesto (art. 26)
Valutazione dei rischi Tre livelli Quattro livelli (vietato, elevato, limitato, minimo)
Trasparenza Informazione al cliente per decisioni IA Art. 50: obbligo di contrassegno
Verifica dei bias Raccomandata Art. 10: obbligatoria per alto rischio
Documentazione Esaustiva Art. 11: documentazione tecnica
Sanzioni Misure prudenziali Fino a EUR 35 mio. o 7% del fatturato

Un istituto che deve rispettare entrambi i quadri dovrebbe progettare il processo di governance in modo da coprire entrambi. Evitare la duplicazione. I requisiti FINMA sono, nella maggior parte dei casi, un sottoinsieme dei requisiti europei. Chi è conforme al EU AI Act soddisfa di norma anche le aspettative FINMA.

Dove si trovano la maggior parte degli istituti

Situazione a marzo 2026, sulla base di informazioni pubblicamente disponibili e di colloqui di settore:

  • Grandi banche: dispongono di team dedicati alla governance dell’IA. Inventari IA esistono ma sono spesso incompleti.
  • Banche cantonali: per lo più nessuna governance IA dedicata. L’utilizzo dell’IA avviene senza un censimento sistematico.
  • Gestori patrimoniali indipendenti: la governance IA esiste in pochissimi casi. Le aspettative della FINMA sono un terreno nuovo per molti.
  • Assicurazioni: eterogeneo. I grandi assicuratori hanno strutture di governance. I più piccoli no.

Non è un rimprovero. Fino a un anno fa non esisteva alcuna circolare che richiedesse esplicitamente una governance dell’IA. Ora ce n’è una.

Passi pratici: da zero a un assetto conforme FINMA

Settimane 1-2: inventario Censire tutti i sistemi di IA. Non solo quelli evidenti. Interrogare ogni dipartimento. Verificare le API esterne. Identificare l’IA integrata nel software acquistato.

Settimane 3-4: classificazione Valutare ogni sistema secondo il modello di rischio FINMA. Contrassegnare i sistemi ad alto rischio.

Settimane 5-6: framework di governance Definire i processi: chi approva i nuovi sistemi di IA? Chi valida quelli esistenti? Come viene tenuta la documentazione? Quale checklist viene utilizzata?

Settimane 7-8: implementazione alto rischio Per ogni sistema ad alto rischio: rapporto di validazione, verifica dei bias, valutazione d’impatto sulla protezione dei dati, approvazione della direzione.

In continuo: monitoraggio Tenere aggiornato l’inventario. Monitorare i sistemi. Documentare gli incidenti. Pianificare la ri-validazione annuale.

La base dati

La sfida più grande non è il processo. È la conoscenza. I responsabili della compliance devono sapere cosa la FINMA si aspetta concretamente, quali circolari si applicano e come si evolve la prassi prudenziale.

La nostra piattaforma copre tutte le 27 tabelle FINMA: circolari, decisioni di enforcement, avvertimenti, FAQ, documenti di guidance. Aggiornamento notturno. Verifica delle fonti. Ricerca possibile.

Se la Guidance FINMA 08/2024 viene modificata o integrata, ne sarete informati il giorno stesso tramite i nostri alert WatchTower.

Questo articolo ha finalità informative e non costituisce una consulenza legale. Per l’attuazione di requisiti regolamentari raccomandiamo la consulenza di professionisti qualificati.

Torna al blog

Articoli correlati

21 March 2026

Automatizzare la compliance FINMA con l'IA: opportunità e limiti

Come l'IA può supportare la compliance FINMA. AML, KYC, monitoraggio normativo e i limiti dell'automazione nel settore finanziario svizzero.
29 March 2026

EU AI Act: cosa devono fare le imprese svizzere entro agosto 2026

Il EU AI Act entra pienamente in vigore il 2 agosto 2026. Cosa significa per le imprese svizzere, quali obblighi si applicano e come prepararsi in 18 settimane.
28 March 2026

EU AI Act: cosa devono sapere ora le aziende svizzere

L'EU AI Act sarà pienamente applicato a partire da agosto 2026. Le aziende svizzere con attività nell'UE devono prepararsi. Scadenze, obblighi e passi concreti per la conformità.