EU AI Act per il FinTech:
Obblighi, Scadenze
e Come Prepararsi
Se la tua azienda usa l'intelligenza artificiale per valutare il credito, gestire il rischio finanziario o automatizzare decisioni che impattano i clienti, l'AI Act UE si applica direttamente a te. Ecco tutto quello che devi sapere per essere pronto entro agosto 2026 — senza sorprese.
Perché l'AI Act è urgente per i FinTech
Il settore finanziario è tra i più esposti al Regolamento UE 2024/1689 — comunemente noto come AI Act — per una ragione precisa: utilizza l'intelligenza artificiale per prendere decisioni che impattano direttamente la vita delle persone. Concedere o negare un prestito, calcolare il rischio di insolvenza, determinare il premio assicurativo di un cliente. Sono decisioni ad alto impatto, e l'AI Act le tratta come tali.
L'errore più comune che vediamo nei FinTech è pensare che il problema riguardi solo chi costruisce algoritmi AI da zero. È sbagliato. Se utilizzi software di terze parti per il credit scoring, sei comunque soggetto agli obblighi — come deployer. E gli obblighi dal agosto 2026 non sono affatto banali.
La scadenza del 2 agosto 2026 è non negoziabile. Le aziende che arriveranno impreparate rischiano sanzioni significative e, soprattutto, di non poter continuare a operare i propri sistemi AI fino al raggiungimento della conformità.
Chi è coinvolto: provider, deployer e il confine sottile tra loro
L'AI Act distingue due ruoli fondamentali, con obblighi molto diversi:
| Ruolo | Chi sono | Esempi FinTech | Livello di obbligo |
|---|---|---|---|
| Provider | Chi sviluppa e commercializza il sistema AI | Startup che vende un motore di credit scoring alle banche | 🔴 Molto alto |
| Deployer | Chi utilizza un sistema AI di terze parti nel proprio business | Banca o FinTech che usa un software di credit scoring acquistato | 🟠 Alto |
Quando un deployer diventa provider
Questa è la trappola in cui cadono molti FinTech. Vieni riclassificato come provider — con tutti gli obblighi più pesanti — se:
- Modifichi sostanzialmente un sistema AI di terze parti (fine-tuning su dati proprietari, modifica dei pesi del modello, aggiunta di logica decisionale)
- Utilizzi il sistema per scopi diversi da quelli previsti dal fornitore originale
- Metti un sistema AI di terze parti sotto il tuo marchio (white label)
Un FinTech acquista un modello di scoring da un provider, poi lo ri-addestra sui propri dati clienti per migliorarne l'accuratezza. Questo fine-tuning è molto probabilmente una "modifica sostanziale" che trasforma il FinTech da deployer a provider, con tutti gli obblighi di certificazione che ne derivano.
Quali sistemi AI FinTech sono ad alto rischio
L'Allegato III del Regolamento UE 2024/1689 elenca esplicitamente i sistemi AI ad alto rischio nel settore finanziario. Eccoli con esempi concreti:
| Sistema AI | Esempi concreti | Classificazione |
|---|---|---|
| Credit scoring | Algoritmi per valutare il merito creditizio di persone fisiche, scoring BNPL, pre-approvazione mutui | 🔴 Alto rischio |
| Valutazione del merito creditizio | Sistemi per determinare la capacità di rimborso, analisi automatizzata del rapporto debito/reddito | 🔴 Alto rischio |
| Scoring del rischio assicurativo | Algoritmi di pricing assicurativo personalizzato, calcolo premi in tempo reale | 🔴 Alto rischio |
| Rilevamento frodi | Rilevamento frodi in tempo reale sulle transazioni | 🟡 Dipende dall'uso — verificare |
| Trading algoritmico | Esecuzione automatizzata di ordini, algoritmi HFT | 🟡 Dipende — verificare con DORA |
| Chatbot per il servizio clienti | AI che risponde a domande su prodotti finanziari | 🟢 Rischio limitato (solo trasparenza) |
| Elaborazione documenti | OCR e AI per l'elaborazione di estratti conto, buste paga | 🟢 Rischio minimo |
I sistemi di rilevamento frodi non sono automaticamente ad alto rischio, ma possono diventarlo se producono decisioni automatizzate che limitano l'accesso ai servizi finanziari (es. blocco automatico del conto). Ogni caso deve essere valutato singolarmente.
Scadenze: cosa è già in vigore oggi
Molti FinTech pensano che l'AI Act sia "una cosa del 2026." In realtà alcune scadenze sono già passate.
| Data | Cosa entra in vigore | Stato |
|---|---|---|
| 2 feb 2025 | AI Literacy obbligatoria per tutto il personale che usa AI. Pratiche vietate bandite. | ✅ Già in vigore |
| 2 ago 2025 | Obblighi per i modelli GPAI. Sanzioni attive. Regime di governance UE operativo. | ✅ Già in vigore |
| 2 ago 2026 | Piena applicazione per i sistemi ad alto rischio: credit scoring, merito creditizio, scoring del rischio. | ⏳ 18 mesi |
| 2 ago 2027 | Sistemi AI già sul mercato prima di agosto 2025. Sistemi legacy. | ⏳ 30 mesi |
Se il tuo FinTech non ha ancora avviato un programma di AI Literacy per i dipendenti che usano sistemi AI, sei fuori conformità dalla scadenza del 2 febbraio 2025. Questo è il primo obbligo da correggere — ed è il più semplice da implementare.
Obblighi concreti per i FinTech
Obblighi già in vigore (per tutti)
AI Literacy — Art. 4: ogni azienda deve garantire che il personale che utilizza sistemi AI abbia le competenze necessarie per comprenderne le capacità, i limiti e i rischi. Non si tratta di formazione tecnica approfondita: è consapevolezza operativa. Deve essere calibrata per ruolo — diversa per chi usa lo strumento operativamente, per i manager e per il C-suite.
Obblighi da agosto 2026 per i deployer (chi usa sistemi di terze parti)
- Uso conforme: utilizzare il sistema AI esattamente come previsto dal provider, senza deviazioni non autorizzate.
- Supervisione umana: garantire che persone competenti possano monitorare, comprendere e intervenire sugli output del sistema. Avere un umano nel loop non è sufficiente — devono poter intervenire efficacemente.
- Qualità dei dati di input: assicurarsi che i dati forniti al sistema siano pertinenti e di qualità adeguata.
- Conservazione dei log: mantenere i log generati automaticamente per il periodo richiesto (almeno 6 mesi, a seconda del settore).
- Informare le persone interessate: notificare i clienti quando una decisione che li riguarda è presa o supportata da un sistema AI ad alto rischio.
- Valutazione d'Impatto sui Diritti Fondamentali (FRIA): obbligatoria per gli istituti finanziari che utilizzano AI per la valutazione del merito creditizio e il credit scoring.
- Segnalazione di incidenti gravi: notificare alle autorità competenti gli incidenti gravi che coinvolgono il sistema AI.
Obblighi da agosto 2026 per i provider (chi sviluppa AI)
Provider: la lista completa
Sistema di gestione del rischio continuo: non un documento statico — un processo attivo per l'intero ciclo di vita del sistema.
Documentazione tecnica completa: architettura del modello, dati di addestramento, metriche di performance, limitazioni note, casi d'uso previsti e non previsti.
Qualità e governance dei dati: i dataset devono essere documentati, rappresentativi e privi di bias ingiustificati.
Valutazione di conformità pre-deployment: per i sistemi ad alto rischio, un processo formale di conformità prima di immettere il sistema sul mercato (autovalutazione o terza parte).
Registrazione nel database UE: obbligatoria prima della commercializzazione.
Monitoraggio post-market: raccolta sistematica di dati sulle performance reali del sistema, con piani di aggiornamento documentati.
Marcatura CE: dichiarazione di conformità UE per i sistemi ad alto rischio.
Sanzioni
L'AI Act prevede un sistema di sanzioni proporzionate su tre livelli:
| Violazione | Sanzione massima | % fatturato |
|---|---|---|
| Pratiche vietate (Art. 5) | €35.000.000 | 7% fatturato globale |
| Obblighi sistemi ad alto rischio | €15.000.000 | 3% fatturato globale |
| Informazioni false alle autorità | €7.500.000 | 1% fatturato globale |
Si applica il valore più alto tra l'importo fisso e la percentuale. Per le PMI, si applica sempre il valore inferiore. Un FinTech con €3M di fatturato rischia fino a €90.000 per non conformità sui sistemi ad alto rischio — non catastrofico, ma sufficiente a rendere la conformità un investimento razionale.
I FinTech devono considerare l'AI Act insieme al Digital Operational Resilience Act (DORA), pienamente applicabile da gennaio 2025. I due regolamenti si sovrappongono su audit trail, segnalazione degli incidenti e gestione del rischio ICT. Una conformità integrata è più efficiente di due percorsi separati.
Checklist: sei già conforme?
Usa questa checklist per una rapida autovalutazione iniziale. Non sostituisce un audit professionale, ma ti dà un quadro immediato del tuo livello di esposizione.
✅ Obblighi già in vigore (feb 2025)
- Ho un programma di AI Literacy per i dipendenti che usano sistemi AI
- Ho mappato quali dipendenti usano quali strumenti AI
- Non utilizzo sistemi AI per la manipolazione comportamentale o il social scoring
- Ho una policy interna sull'uso accettabile dell'AI
⏳ Da preparare per agosto 2026 (deployer)
- Ho un inventario completo di tutti i sistemi AI in uso
- Ho classificato ogni sistema per livello di rischio
- Ho richiesto la documentazione di conformità all'AI Act ai miei fornitori di software
- Ho definito procedure di supervisione umana per ogni sistema ad alto rischio
- Ho attivato la conservazione dei log per i sistemi critici
- Ho informato i clienti che le decisioni che li riguardano sono supportate dall'AI
- Ho completato la Valutazione d'Impatto sui Diritti Fondamentali (dove richiesto)
- Ho un processo per segnalare gli incidenti gravi alle autorità
⏳ Da preparare per agosto 2026 (provider)
- Ho un sistema di gestione del rischio documentato e attivo
- Ho la documentazione tecnica completa per il sistema AI
- Ho documentato i dataset di addestramento e il processo di governance dei dati
- Ho completato la valutazione di conformità pre-deployment
- Ho registrato il sistema nel database UE
- Ho un piano di monitoraggio post-market attivo
Non sai da dove iniziare?
Offriamo una valutazione iniziale gratuita di 30 minuti. In una sola call capirai il tuo livello di esposizione e i primi passi concreti da fare.
Prenota la tua valutazione gratuitaFAQ
L'AI Act si applica ai FinTech che usano provider cloud stranieri?
Sì. L'AI Act si applica a chiunque operi nel mercato europeo o i cui sistemi AI producano effetti su persone nell'UE — indipendentemente da dove si trova il provider tecnologico. Usare AWS, Azure o Google Cloud non ti esime dalla conformità.
Se uso ChatGPT o Claude per assistenza interna, sono soggetto all'AI Act?
Per usi interni non critici (redazione di testi, sintesi di documenti, supporto al servizio clienti) probabilmente no — o con obblighi molto limitati. Ma se usi questi modelli per supportare decisioni che riguardano i clienti (es. generare raccomandazioni creditizie), la situazione cambia. Ogni caso deve essere valutato nel suo contesto specifico.
Il mio fornitore di software ha detto che gestisce lui la conformità. Devo comunque preoccuparmi?
Sì, almeno in parte. Il fornitore (provider) ha i propri obblighi, ma il deployer — tu — ha obblighi indipendenti propri: supervisione umana, qualità dei dati di input, conservazione dei log, informativa ai clienti, FRIA. Non puoi delegare tutto al fornitore.
Quanto costa la conformità?
Dipende dalla complessità dei tuoi sistemi AI. Per un FinTech PMI con 1–3 sistemi AI ad alto rischio, un percorso di conformità completo (audit, documentazione, formazione, implementazione) si colloca tipicamente tra €5.000 e €20.000. Un costo una tantum, rispetto a potenziali sanzioni di decine di migliaia di euro.
Qual è la differenza tra GDPR e AI Act?
Il GDPR regola il trattamento dei dati personali. L'AI Act regola i sistemi AI in quanto tali — indipendentemente dal fatto che utilizzino dati personali. I due regolamenti si sovrappongono (un sistema AI ad alto rischio spesso tratta anche dati personali) ma hanno obblighi distinti e autorità di vigilanza diverse. Sono necessari due percorsi di conformità separati, anche se coordinati.
Questo articolo ha finalità informative e non costituisce consulenza legale. Per decisioni aziendali specifiche, consulta un professionista qualificato. Fonte: Reg. UE 2024/1689. Aggiornato febbraio 2026.