Credit scoring automatizzato ed i risvolti in ambito privacy

Avv. Elena Albricci - Centro Studi Jlc - Studio Legale Jlc

La solvibilità dei creditori è uno dei principali enigmi che caratterizzano il settore bancario e finanziario sin dalla loro origine. Per sopperire a tale rischio questi settori si sono avvicinati sempre di più alle nuove tecnologie. Negli ultimi anni, infatti, sono apparsi nuovi operatori di mercato e nuovi prodotti che utilizzano modalità di diffusione delle informazioni e strumenti di valutazione del merito creditizio dei consumatori, basati su sistemi decisionali automatizzati. In particolare, è stato elaborato un modello di credit scoring algoritmico con intelligenza artificiale. Tale modello è in grado di effettuare una valutazione del credito utilizzando modelli statistici basati su dati finanziari e comportamentali dei clienti creditori, a cui viene assegnato un punteggio di credito. Questo punteggio riflette la probabilità di un individuo o di una società di rispettare i propri obblighi finanziari.

In italia esiste un apposito organo istituzionale finalizzato alla raccolta di tale tipologia di dati, la Centrale dei Rischi, istituita con delibera del CIRC il 16/05/1962. La sua operatività si limita alla raccolta di dati forniti mensilmente dagli intermediari, che vengono elaborati individuando le posizioni di rischio globali dei debitori censiti.

I dati relativi ai clienti delle banche o degli intermediari finanziari vengono raccolti, immagazzinati ed elaborati. Dal punto di vista del diritto alla riservatezza la circolazione di tali informazioni, indubbiamente di carattere sensibile, trova giustificazione nella finalità pubblica e privata di segnalazione delle posizione di rischio dei clienti così da assicurare la conoscibilità delle loro posizioni di solvibilità ed incentivare il rispetto di eventuali obbligazioni assunte dagli stessi. Tale principio è stato assorbito anche nel D.Lgs 196/2003 (c.d. Codice Privacy), da ultimo modificato con il D.lgs n. 101/2018, in cui all’art. 2-ter è stabilito che il trattamento dei dati personali da parte di soggetti pubblici è consentito solo per lo svolgimento di funzioni istituzionali. In ambito creditizio tali funzioni sono di competenza della Banca D’Italia e della citata Centrale dei Rischi. Trova così origine la base giuridica del trattamento dei dati per finalità di credit scoring.

In Europa, al fine di disciplinare l’utilizzo di sistemi decisionali automatizzati di dati in tema creditizio, la Commissione Europea ha elaborato una proposta di Direttiva sui crediti al consumo volta a modernizzare le norme in materia.

Questa proposta mira, inoltre, a colmare le lacune normative della Direttiva n. 2008/48/CE. La proposta di modifica della Commissione ha come obiettivo principale la protezione dei consumatori, infatti, l’assenza di regole chiare e specifiche relativamente alla quantità e tipologia di dati personali dei creditori comportano rischi significativi. Lasciare che siano i finanziatori a valutare il merito creditizio determinando loro stessi i dati rilevanti potrebbe non solo essere contrario al principio di minimizzazione dei dati, ma comporterebbe anche rischi significativi di trattamenti eccessivi e scorretti, oltre alla possibilità di indirizzare a pratiche commerciali sleali. Situazioni che potrebbero portare alla perdita totale di controllo se affidate a strumenti di intelligenza artificiale.

Recentemente la Corte di Giustizia Europea, con la sentenza C-634/21, ha affermato che lo strumento di credit scoring, rientra in tutti gli effetti nel divieto previsto dal GDPR, disciplinato dall’art. 22, se non utilizzato con apposite accortezze.

Nel caso di specie, il ricorrente era venuto a conoscenza del fatto che la sua richiesta di concessione di prestito era stata rigettata da un istituto di credito destinatario delle informazioni, negative, elaborate da una società terza, incaricata di fornire una serie di informazioni sul merito creditizio dei consumatori indicati dall’istituto di credito stesso.

La CGUE ha dovuto quindi esprimersi sulla corretta interpretazione dell’art. 22 par. 1 del GDPR, elaborando il seguente principio: “il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un «processo decisionale automatizzato relativo alle persone fisiche», ai sensi di tale disposizione, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato tale tasso di probabilità”. Tuttavia, la sentenza lascia agli organi giudicanti nazionali il compito di valutare se esistono eccezioni in conformità al GDPR. La CGUE ha anche affrontato il tema della conservazione dei dati relativi alla solvibilità dei clienti, definendo chiaramente come tali pratiche siano in contraddizione con il GDPR quando il periodo di conservazione individuato viene superato. L’importanza di stabilire un termine di conservazione dei dati determina la possibilità effettiva delle persone di reintegrarsi nella vita economica e poter accedere nuovamente al credito. La decisione in commento è considerata il primo passo verso una corretta modernizzazione dei sistemi di credit scoring automatizzati utilizzati dagli istituti di credito o dai loro intermediari. Questo perché da un lato obbliga tali istituti ad attuare misure appropriate ed a rafforzare i sistemi di tutela degli interessati, dall’altro riconosce ai consumatori la possibilità di richiedere un intervento umano per contestare le decisioni dei sistemi che utilizzano l’intelligenza artificiale nei casi in cui tali decisioni siano fondamentali per la stipula, l’esecuzione o la cessazione di un rapporto contrattuale.