L’intelligenza artificiale nel settore bancario non è più un tema da laboratorio di innovazione. Nei servizi finanziari europei, AI, AI generativa e machine learning stanno entrando nel rischio di credito, nella rilevazione delle frodi, nell’AML, nel servizio clienti, nello sviluppo software, nel reporting regolamentare e nella resilienza operativa. La domanda strategica non è più se le banche utilizzeranno l’AI. Lo faranno. La vera domanda è se riusciranno a scalarla senza perdere il controllo.

È qui che molte strategie AI nel banking falliscono. Trattano l’AI come un problema di implementazione tecnologica. In un’istituzione vigilata, invece, l’AI è un problema di modello operativo.

L’EU AI Act rende tutto questo evidente. Prendiamo la valutazione del merito creditizio. Secondo l’Annex III, i sistemi di AI utilizzati per valutare il merito creditizio di persone fisiche o stabilire il loro credit score sono classificati come sistemi ad alto rischio, salvo quando il sistema viene utilizzato per rilevare frodi finanziarie. Già questa distinzione mostra la reale complessità del tema. Una banca non può semplicemente etichettare un modello come “analytics” e andare avanti. Deve comprendere lo scopo del sistema, la popolazione di clienti interessata, il processo decisionale, la tracciabilità dei dati, il modello di supervisione umana e la catena delle responsabilità.

Questa non è burocrazia. Questo è banking.

DORA aggiunge la realtà tecnologica. Se l’AI dipende da piattaforme cloud, sviluppo esternalizzato, dati esterni, API o servizi di modello, la governance dell’AI non può essere separata dalla gestione del rischio ICT, dalla resilienza operativa e dal rischio di terze parti. Un caso d’uso di AI generativa può sembrare innocuo in una demo. In produzione, diventa parte dell’ambiente di controllo della banca.

Il Financial Stability Board ha inquadrato il rischio in termini simili: l’AI può migliorare efficienza e capacità analitiche, ma può anche amplificare vulnerabilità legate a dipendenze da terze parti, cyber risk e model governance. È esattamente per questo che le banche devono andare oltre la sperimentazione.

L’Europa dovrebbe essere onesta sul trade-off. La regolamentazione non crea automaticamente un vantaggio competitivo. Nel breve termine può aumentare i costi, rallentare il time-to-market e frustrare team che vogliono muoversi rapidamente. Alcune istituzioni useranno questo come scusa per rimanere permanentemente in modalità pilota.

Ma l’argomento più forte è diverso: il vantaggio non deriva dalla regolamentazione in sé. Deriva dal fatto che le istituzioni sono costrette a costruire la disciplina di governance di cui l’AI scalabile avrà comunque bisogno.

Diagramma: l’AI come questione di modello operativo — tracciabilità dei dati, supervisione umana, responsabilità e rischio di terze parti sotto EU AI Act e DORA

Una banca può acquistare accesso a un large language model. Non può acquistare un modello operativo AI credibile.

A vincere non saranno le istituzioni con il maggior numero di piloti AI. A vincere saranno quelle capaci di operationalise AI at scale: con data pipeline approvate, ownership chiara, inventari dei modelli, vendor oversight e monitoraggio in grado di reggere a un esame approfondito. In questo contesto, la governance non è l’opposto della velocità. Una governance debole è ciò che rende ogni nuovo caso d’uso AI lento, politico e fragile.

La differenza emerge quando si scala. Un chatbot può essere lanciato come esperimento locale. Un coding assistant può essere testato in un singolo team tecnologico. Un modello antifrode può essere migliorato da una unità analytics. Ma quando l’AI tocca risultati per i clienti, capitale, conduct risk, cyber risk o reporting regolamentare, la sperimentazione isolata non basta più. La banca ha bisogno di una capacità enterprise, non di venti iniziative disconnesse.

Questa è la vera sfida di leadership per la tecnologia bancaria europea. La strategia AI deve collegarsi al board reporting, al risk appetite, alla data governance, al model risk management e alla resilienza operativa. Altrimenti la banca si ritrova con presentazioni impressionanti e una debole readiness in produzione.

I board dovrebbero quindi smettere di chiedere soltanto: “Quanti casi d’uso AI abbiamo?” È la domanda sbagliata.

Dovrebbero porre tre domande più difficili.

Tre domande a livello di consiglio che distinguono la vera trasformazione AI dal teatro dell’innovazione: titolarità, controllo dimostrato e valore misurabile
  1. 1Quali sistemi AI potrebbero avere un impatto materiale su clienti, dipendenti, decisioni di rischio, reporting regolamentare o resilienza operativa — e chi ne è responsabile end to end?
  2. 2Il management può dimostrare, non semplicemente affermare, che la banca ha un controllo adeguato sulla qualità dei dati, sul comportamento dei modelli, sulla supervisione umana, sulle dipendenze da terze parti e sul monitoraggio continuo?
  3. 3Dove l’AI crea valore di business misurabile — e dove stiamo semplicemente aggiungendo complessità a un’architettura tecnologica già frammentata?

Queste domande separano la vera trasformazione AI dall’innovation theatre.

Per le banche europee, l’opportunità non consiste nel pubblicare un altro manifesto generico sull’AI. L’opportunità consiste nell’integrare l’AI nel modello operativo dell’istituzione: abbastanza vicina al business da creare valore, abbastanza vicina a risk e technology da rimanere controllata, e abbastanza vicina al board da essere realmente governata.

L’AI nel banking non sarà vinta dalla narrativa di innovazione più rumorosa. Sarà vinta dalle istituzioni che sapranno scalare l’AI, dimostrare il controllo e muoversi comunque più velocemente della propria legacy.