Sistemi di credit scoring e consenso dell’interessato

Il merito creditizio è la capacità del cliente di restituire la somma ottenuta in prestito alle scadenze stabilite dal contratto di finanziamento. Viene valutato dal finanziatore prima di concedere il prestito, sulla base di informazioni sufficienti, proporzionate e opportunamente verificate sulla situazione economica e finanziaria del cliente. È un parametro importante, che misura la capacità di rimborso e che diventa essenziale nel rapporto banca-cliente per creare quella necessaria fiducia tra le parti perché si costituisca un rapporto economico. Indicazioni normative al riguardo sono previste dagli artt. 124-bis e 120-undecies TUB.

Il merito creditizio è dunque un criterio di giudizio essenziale, non solo per poter accedere a un finanziamento, ma anche a quali condizioni: a fronte di un maggiore rischio di insolvenza, infatti, il finanziatore potrebbe chiedere un tasso di interesse più alto per coprire i rischi connessi alla concessione del credito (fonte Banca d’Italia).

L’innovazione tecnologica ha modificato il modello tradizionale dell’attività bancaria, introducendo prodotti sofisticati e servizi finanziari particolarmente efficienti, nonché consentendo agli intermediari di ricorrere a strumenti innovativi per la valutazione e selezione dei clienti meritevoli di credito.

La decisione, da parte del potenziale finanziatore, di concedere un prestito è assunta con crescente frequenza attraverso il ricorso a sistemi algoritmici di credit scoring, i cui risultati, espressi in forma di giudizi sintetici (indicatori numerici o punteggi), offrono una rappresentazione probabilistica del profilo di rischio del soggetto valutato e della sua affidabilità nei pagamenti.

Tali sistemi raccolgono e, con l’ausilio di metodi statistici, analizzano un’ampia gamma di dati — tanto strutturati (quali indicatori sull’andamento dei conti e dei pagamenti, o dati socio-demografici), quanto non strutturati (quali dati di navigazione o informazioni conferite tramite social network) — restituendo un’immagine finanziaria del soggetto che ambisce a ottenere un finanziamento più ampia e articolata rispetto a quella ricavabile attraverso gli strumenti tradizionali.

Sulla necessità del consenso dell’interessato al trattamento automatizzato dei dati si è soffermata la Corte di cassazione con l’ordinanza 25 maggio 2021, n. 14381, in continuità con precedenti pronunce del Consiglio di Stato (Cons. Stato, sez. VI, 13 dicembre 2019, n. 8472 e 8 aprile 2019, n. 2270). La Corte ha affermato che la liceità di un trattamento automatizzato fondato sul consenso deve essere valutata alla luce di tutti gli elementi che abbiano influito sulla deliberazione dell’interessato.

Affinché il consenso possa dirsi validamente espresso — secondo quanto richiesto dal Regolamento (UE) 2016/679 (GDPR), che ne impone la forma “libera e specifica” — è necessaria la preventiva conoscibilità, da parte dell’interessato, dello schema logico seguito dall’algoritmo per giungere alla decisione. Ne consegue che non può considerarsi validamente prestato il consenso alla valutazione interamente automatizzata del merito creditizio da parte di chi richiede un prestito, qualora questi non sia posto nella condizione di conoscere anticipatamente il funzionamento dell’algoritmo impiegato.

Tale orientamento è stato confermato dalla Cassazione con ordinanza 10 ottobre 2023, n. 28358. In tale occasione, la Corte ha ribadito che, affinché il consenso possa ritenersi liberamente prestato, è necessario che l’interessato “sia in grado di conoscere l’algoritmo, inteso come procedimento affidabile per ottenere un certo risultato o risolvere un certo problema”, e che tale procedimento sia “descritto all’utente in modo non ambiguo ed in maniera dettagliata, come capace di condurre al risultato in un tempo finito”.

La Suprema Corte, dunque, non ha contestato la legittimità dei sistemi di valutazione reputazionale — e, in particolare, dell’affidabilità creditizia — anche se fondati su tecnologie di intelligenza artificiale. Ha piuttosto riconosciuto all’interessato il diritto di ottenere informazioni preventive sulla logica seguita da tali sistemi, tanto nei casi in cui la decisione sia “basata unicamente sul trattamento automatizzato” (art. 22, par. 1, GDPR), quanto nelle ipotesi in cui il risultato dell’elaborazione sia successivamente riesaminato da un essere umano.