Annex III §5(b) · alto rischio

Fintech e credit scoring e AI Act

Il credit scoring AI è il caso d'uso più chiaramente classificato dall'AI Act: Allegato III §5(b), alto rischio. Si aggiunge alle aspettative di Banca d'Italia, all'esposizione DORA (operational resilience) e — per chi tratta dati personali — al GDPR + Garante. L'integrazione fra i quattro livelli normativi è dove il compliance officer fintech passa il tempo.

Autorità di vigilanza del settore:Banca d'ItaliaAgIDGarante PrivacyConsob (per intermediari)
Fintech e credit scoring e conformità all'AI Act
Allegato III applicabile

Dove ricadi nell'Annex III.

Annex III §5(b)

Valutazione affidabilità creditizia

Sistemi che valutano l'affidabilità creditizia di persone fisiche, esclusa la sola individuazione di frodi. Sempre alto rischio.

Annex III §5(a)

Servizi pubblici e prestazioni

Sistemi che valutano l'eleggibilità a benefici e prestazioni pubbliche essenziali — rilevante per fintech che integra servizi sociali.

Sistemi tipici

I sistemi AI che probabilmente già usi.

  1. 01

    Credit scoring proprietario o di terzi

    Modelli che stimano probabilità di default, capacità di rimborso, raccomandano un limite. Inclusi i sistemi white-label di vendor terzi.

  2. 02

    AI per onboarding (KYC + behavioural)

    Verifica di identità, screening anti-frode, segmentazione comportamentale — la frode da sola è esclusa dall'Annex III §5(b), il behavioural normalmente non lo è.

  3. 03

    Underwriting automatico per prestiti personali

    Decisione di accordare il prestito senza intervento umano (o con human-in-the-loop simbolico) — alto rischio per definizione.

  4. 04

    AML transaction monitoring

    Modelli che assegnano risk scoring alle transazioni. Quando influenzano decisioni che incidono sul cliente (chiusura conto, segnalazione), Annex III §5 si applica.

Obblighi

Cosa devi fare, in ordine di urgenza.

  • Art. 6 + Annex III §5(b)Classificazione esplicita come alto rischio. La deroga par. 3 è praticamente impossibile da invocare per il credit scoring.
  • Art. 9 — RMSSistema di gestione del rischio documentato, allineato (non identico) al Risk Management Framework di Banca d'Italia.
  • Art. 10 — Data governanceQualità dei dati di training, rappresentatività, bias testing. Il Garante ha già aperto procedimenti su credit scoring discriminatori.
  • Art. 11 + Allegato IVFascicolo tecnico — sezione 4 (RMS) e sezione 9 (FRIA) sono quelle che il regolatore italiano leggerà per primo.
  • Art. 14 — Sorveglianza umanaDecisioni di credito automatizzate devono permettere a un revisore di ribaltarne l'output (anche se il revisore non interviene di default).
Italia · L. 132/2025 e autorità di settore

Banca d'Italia ha pubblicato nel 2024 attese di vigilanza sull'uso dell'IA nei processi creditizi: in pratica chiedono lo stesso impianto Art. 9 + Art. 10 dell'AI Act, ma con un focus aggiuntivo sull'auditabilità del modello (riproducibilità dei punteggi). Konformia coordina i due requisiti — il fascicolo Allegato IV soddisfa entrambi.

Konformia per il tuo verticale

Come la piattaforma ti copre.

Classificatore deterministico Annex III §5

Il questionario riconosce credit scoring (§5(b)) e — quando applicabile — i servizi pubblici (§5(a)). Verdetto «alto rischio» con riferimento esatto all'articolo.

Allegato IV in italiano, sezione per sezione

9 sezioni narrative compilabili, incluso il blocco Art. 10 (data governance) dove sviluppi e dichiari training set, validation, bias testing.

Modello RMS Art. 9 (Risk Management System)

Documento narrativo con sezioni FMEA, heat-map probabilità × gravità, misure di mitigazione e residuo accettato. Strutturalmente allineato alle attese di vigilanza italiane.

Audit log immutabile su trigger Postgres

Ogni emissione documentale e ogni classificazione è registrata in append-only. Pattern raccomandato per evidenza regolatoria.

Domande frequenti

Quello che chiedono nel tuo settore.

  • I miei modelli sono di un vendor esterno (es. Experian, CRIF). A chi spetta l'Allegato IV?
    Al vendor (fornitore) — è lui che immette sul mercato il sistema. La banca/fintech è deployer ai sensi Art. 26: usa il sistema in conformità alle IFU, conserva i log, esegue la FRIA. La tua AI Act compliance si appoggia sul fascicolo del vendor + il tuo registro deployer.
  • Se uso AI solo per frode, sono fuori dall'Annex III §5(b)?
    Sì, l'esclusione «individuazione frode finanziaria» è esplicita nel §5(b). Però se lo stesso modello viene riusato per scoring di rischio creditizio o per decisioni di chiusura conto, ricadi nell'Annex III. Documenta separatamente i due use case.
  • Aspettative Banca d'Italia e AI Act sono identiche?
    No, ma compatibili. BI focalizza riproducibilità + governance interna; AI Act focalizza diritti del consumatore + trasparenza. Un solo fascicolo tecnico copre entrambi se è scritto bene.
  • Devo la FRIA anche se il credit scoring è automatizzato ma il deal finale è umano?
    Sì. La FRIA scatta per Art. 27 quando deployi un sistema Annex III in determinati contesti, indipendentemente dal livello di automazione della decisione finale.
Inizia dal tuo verticale

Konformia per Fintech e credit scoring.

Registro pre-tag verticale, classificatore Annex III, template documentali specifici. Tre minuti di setup, dieci anni di documentazione tecnica.

  • Classificatore deterministico Annex III §5
  • Allegato IV in italiano, sezione per sezione
  • Modello RMS Art. 9 (Risk Management System)