Nel panorama della compliance finanziaria, l'intelligenza artificiale sta rapidamente trasformando le modalità con cui banche e intermediari gestiscono gli obblighi di prevenzione del riciclaggio e del finanziamento del terrorismo. Tuttavia, dietro le promesse di efficienza e automazione, si nascondono rischi regolatori e operativi che richiedono un approccio estremamente attento. Le autorità europee e nazionali stanno tracciando confini sempre più precisi sull'utilizzo di queste tecnologie, stabilendo che l'intelligenza artificiale può supportare ma non sostituire il giudizio umano nelle decisioni critiche di compliance.
La mappatura dei rischi secondo il quadro normativo europeo
Il Regolamento (UE) 2024/1689 sull'intelligenza artificiale classifica come ad alto rischio i sistemi utilizzati per il monitoraggio, la profilazione e la valutazione dei clienti, incluse le attività di due diligence antiriciclaggio. Questa categorizzazione impone ai fornitori di garantire supervisione umana, tracciabilità dei processi decisionali, qualità dei dati e trasparenza verso gli utenti finali. Non si tratta di un ostacolo all'innovazione, ma di una cornice che obbliga gli operatori a confrontarsi con audit regolari, gestione del rischio strutturata e sistemi di controllo della conformità rigorosi.
Sebbene la proposta Digital Omnibus Regulation preveda una posticipazione al 2027 dell'entrata in vigore di alcune prescrizioni relative ai sistemi ad alto rischio, questo differimento non deve ingannare gli intermediari finanziari. Gli obblighi derivanti dal GDPR, dal Decreto legislativo 231/2007 e dalle istruzioni di Banca d'Italia sono già pienamente operativi e vincolanti. Il Regolamento Generale sulla Protezione dei Dati impone valutazioni di impatto privacy, procedure informative stringenti sul trattamento automatizzato e il diritto degli interessati di opporsi a decisioni basate esclusivamente su processi algoritmici.
L'acquisizione del cliente: quando l'automazione incontra la vigilanza
Le Linee guida dell'Autorità Bancaria Europea (ABE) sull'onboarding a distanza, recepite da Banca d'Italia nel giugno 2023, delineano un approccio basato sul rischio per l'utilizzo di tecnologie innovative nell'identificazione della clientela. Prima dell'introduzione di qualsiasi soluzione tecnologica, è necessaria una valutazione preliminare che comprenda l'analisi dell'adeguatezza dei dati raccolti, l'impatto sui rischi AML/CFT e test antifrode end-to-end. Questa fase preparatoria non è un semplice adempimento formale, ma un presidio fondamentale per evitare che l'automazione diventi un punto cieco nel sistema di controlli.
L'utilizzo di strumenti biometrici, riconoscimento ottico dei caratteri (OCR) e analisi facciale automatizzata è lecito solo se validato, controllabile e integrato in un framework di gestione dei rischi adeguato. Anche quando la soluzione tecnologica viene affidata a fornitori esterni, la responsabilità rimane interamente in capo all'intermediario, che deve verificare la conformità del provider e assicurare la coerenza con i propri assetti antiriciclaggio. Le soluzioni che utilizzano identità digitali con livelli di garanzia significativi o elevati secondo il regolamento eIDAS soddisfano automaticamente alcuni requisiti, ma non esentano dall'obbligo di monitoraggio costante.
Il nodo delle segnalazioni: il confine tra algoritmo e responsabilità professionale
Nell'edizione di luglio 2025 dei Quaderni dell'Antiriciclaggio, l'Unità di Informazione Finanziaria per l'Italia ha chiarito un punto fondamentale: la valutazione finale su un'operazione sospetta deve sempre coinvolgere una componente umana responsabile, in grado di contestualizzare il sospetto. Gli algoritmi predittivi, gli indicatori quantitativi e i software di machine learning possono individuare anomalie statistiche rispetto al profilo del cliente o alla media del mercato, ma la validazione del sospetto richiede l'analisi del professionista.
La UIF ha stabilito che i modelli algoritmici non possono essere "scatole nere" e che ogni segnalazione deve poter essere spiegata in termini comprensibili. Il controllo deve avvenire sia ex ante, sulla validità statistica dei modelli, sia ex post, sui risultati prodotti, con particolare attenzione ai falsi positivi e alle omissioni rilevanti. Per le strutture più complesse, viene suggerito l'adozione di un presidio specifico per la validazione e supervisione dei modelli automatizzati, che coinvolga le funzioni di compliance, audit interno e risk management in modo sistematico.
Lo stato dell'arte: tra sperimentazione e adozione strutturale
L'indagine qualitativa condotta da Banca d'Italia tra il 2023 e il 2024 ha rivelato un quadro di adozione disomogeneo. Quasi tutte le banche utilizzano identità digitali come SPID e CIE, firme elettroniche qualificate e riconoscimento biometrico nell'onboarding. Circa la metà impiega machine learning, OCR e natural language processing per l'acquisizione e verifica automatizzata dei dati. Tuttavia, l'uso di tecnologie avanzate per la profilatura del rischio e la verifica continuativa rimane contenuto, mentre il monitoraggio delle transazioni rappresenta ancora un terreno di sperimentazione limitata, con solo un quinto delle banche che dichiara di adottare soluzioni innovative in questo ambito strategico.
I benefici dell'automazione sono evidenti: riduzione della manualità, maggiore accuratezza dei dati, miglioramento dell'esperienza cliente. Tuttavia, l'indagine ha anche evidenziato rischi significativi legati alla tecnologia ICT, alle frodi connesse a identità digitali rilasciate da terzi e all'esternalizzazione. Banca d'Italia sottolinea che l'adozione di strumenti di intelligenza artificiale deve inserirsi all'interno di una strategia complessiva di trasformazione digitale guidata dal management, con il coinvolgimento sistematico della Funzione Antiriciclaggio e della Funzione Risk Management.
Governance algoritmica e trasparenza: i pilastri della conformità
Il concetto di governance algoritmica emerge come elemento centrale delle indicazioni regolamentari. I soggetti obbligati devono garantire che i sistemi basati su machine learning siano impiegati in coerenza con i principi di tracciabilità, trasparenza, non discriminazione e verificabilità. Questo significa che ogni alert generato dai software di verifica della clientela deve essere analizzato e validato da personale qualificato, e che la responsabilità della trasmissione delle segnalazioni di operazioni sospette alle autorità resta sempre in capo al soggetto obbligato.
Il rischio di bias algoritmici, l'opacità delle decisioni automatizzate e il mancato rispetto dei principi di proporzionalità e minimizzazione del trattamento dei dati rappresentano criticità che richiedono un bilanciamento attento tra innovazione e tutela dei diritti fondamentali. Le procedure devono prevedere misure correttive per i casi in cui si concretizzi un rischio o vengano individuati errori con impatto sull'efficacia della soluzione adottata, incluse eventuali segnalazioni all'UIF in presenza di malfunzionamenti o rischi accertati.
Il riconoscimento internazionale delle potenzialità tecnologiche
A livello globale, il Financial Action Task Force ha incoraggiato già nel luglio 2021 l'adozione dell'intelligenza artificiale nei processi antiriciclaggio, riconoscendo le potenzialità di queste tecnologie nel miglioramento della rilevazione di anomalie e nell'analisi predittiva di comportamenti sospetti. Le tecnologie digitali sono sempre più al centro dell'attività regolatoria e investigativa, rafforzando sia i presidi preventivi che le attività repressive attraverso tecniche di network analysis e inferenze algoritmiche sofisticate. Questa apertura internazionale non elimina però la necessità di presidi di controllo rigorosi.
Il quadro che emerge dalle normative e dalle indicazioni delle autorità di vigilanza è chiaro: l'intelligenza artificiale rappresenta uno strumento legittimo e potenzialmente molto efficace per gli obblighi di compliance antiriciclaggio, ma solo se inserita in un contesto di governance responsabile, controllabile e trasparente. I vantaggi vengono massimizzati esclusivamente quando sono presenti competenze specialistiche interne e un approccio consapevole al governo della tecnologia. La sinergia tra regolazione, innovazione e controllo umano costituisce la chiave per un uso efficace, legittimo e sostenibile dell'intelligenza artificiale nel settore antiriciclaggio, dove l'automazione deve potenziare e non sostituire la diligenza professionale.