Le moderne tecniche di credit scoring tra GDPR, disciplina di settore e AI Act
Calogero Alberto Valenza, assegnista di ricerca, Università di Roma, La Sapienza
1. Autonomia contrattuale e impresa bancaria. – 2. GDPR e attività bancaria: premessa. – 3. Sistemi di valutazione del merito creditizio tradizionali e innovativi. – 4. Sistemi di valutazione del merito creditizio e disciplina sul trattamento dei dati personali. – 5. L’insufficienza della disciplina sul trattamento dei dati personali in relazione ai nuovi sistemi di credit scoring. – 6. La necessità di una disciplina sul credit scoring ai fini della compliance con il GDPR. – 7. La regolazione del fenomeno nella Direttiva sul credito al consumo (CCD II) e nel nuovo Regolamento UE sull’intelligenza artificiale: il superamento di alcuni problemi lasciati aperti dal GDPR.
La crisi dei mutui subprime ha confermato l'importanza che riveste la valutazione del cd. “merito creditizio” in ambito bancario. Tale attività, basata sulla raccolta e l’elaborazione di dati, non è stata però compiutamente disciplinata dal legislatore, cosicché assumono un ruolo centrale le regole e i principi del GDPR. Quest’ultimo, tuttavia, non risolve efficacemente alcune problematiche, relative principalmente all’uso dei nuovi sistemi di credit scoring basati sull'IA. Sebbene, come si avrà modo di osservare, tali criticità sembrino essere state meglio affrontate dalla CCD II e dall’AI Act, resta sullo sfondo la difficoltà di individuare una base giuridica adeguata per utilizzare i sistemi innovativi di valutazione del merito creditizio in modo conforme a quanto previsto dall’art. 22 del GDPR, che in linea di principio vieta i processi decisionali automatizzati. Sussistono, infatti, alcuni dubbi sulla possibilità di ricorrere legittimamente a tali sistemi basandosi sul consenso dell'interessato o avvalendosi dell'eccezione al divieto rappresentata dalla necessarietà del trattamento per la conclusione o l’esecuzione del contratto. In tale contesto, appare pertanto necessaria l'adozione di una legge che autorizzi l'utilizzo di questi sistemi, prevedendo al contempo misure idonee a tutelare i diritti, le libertà e i legittimi interessi degli interessati.
The subprime mortgage crisis has confirmed the centrality of the 'creditworthiness' assessment in banking. This activity, based on the collection and processing of data, has not been fully regulated by the legislator, so that the rules and principles of the GDPR assume a central role. The latter, however, does not effectively resolve certain issues, mainly related to the use of the new AI-based credit scoring systems. Although these issues appear to have been more effectively addressed by the CCD II and the AI Act, the challenge of establishing a suitable legal basis for the use of innovative credit scoring systems in compliance with Article 22 of the GDPR remains unresolved. Questions persist as to whether automated decision-making processes can legitimately be employed by relying on the data subject’s explicit consent or invoking the necessity of the processing for the conclusion or performance of a contract. In this context, it seems essential to enact specific legislation that expressly authorises the use of these systems and lays down suitable measures to safeguard the data subject’s rights, their freedoms and legitimate interests.