Dal 10 ottobre 2025 è entrata in vigore in Italia la legge n. 132 del 23 settembre 2025, il primo intervento organico nazionale sulla regolazione dell’intelligenza artificiale, pensato per dare attuazione e integrazione alla disciplina europea già avviata con il Regolamento (UE) 2024/1689 noto come AI Act. Questa legge si propone di creare un quadro normativo chiaro e coerente per l’uso delle tecnologie di intelligenza artificiale, con un forte accento sulla tutela dei diritti fondamentali, sulla trasparenza, sulla sicurezza, sulla protezione dei dati e sulla garanzia della supervisione umana nelle decisioni automatizzate.
Nel contesto dei rapporti bancari, l’introduzione della legge 132/2025 assume un significato particolarmente rilevante. Le istituzioni finanziarie italiane e i soggetti che operano nei servizi bancari, assicurativi e di pagamento sono sempre più coinvolti nell’adozione di sistemi di intelligenza artificiale per gestire flussi di lavoro, analisi dei dati, valutazione del rischio, prevenzione delle frodi e persino interazioni con i clienti. Queste tecnologie, sebbene offrano vantaggi in termini di efficienza e di capacità predittiva, presentano anche rischi concreti di discriminazione automatica, decisioni opache o mancata accountability delle scelte algoritmiche, elementi su cui la nuova legge interviene in modo diretto.
La legge 132/2025 non contiene disposizioni “tecniche” specifiche solo per il settore bancario, ma definisce principi generali che si ripercuotono in modo significativo su come le banche devono utilizzare l’intelligenza artificiale nei loro rapporti con clienti, partner e autorità di vigilanza. Al centro del quadro normativo viene posto il concetto di AI umanocentrica, ossia l’obbligo che i sistemi basati su intelligenza artificiale supportino l’azione umana senza sostituirla integralmente nelle decisioni critiche, in particolare quando queste riguardano diritti, opportunità o l’accesso a servizi essenziali. In altre parole, anche nell’ambito bancario un algoritmo potrà aiutare a elaborare analisi o suggerire valutazioni, ma la responsabilità ultima delle scelte – per esempio quelle relative all’erogazione di un credito o alla classificazione di un cliente come “ad alto rischio” – deve rimanere in capo a un soggetto umano che ne risponda pienamente.
Questa impostazione ha un impatto concreto sui rapporti bancari a vari livelli. Da un lato, le banche dovranno adottare procedure di governance e controllo più stringenti per assicurare che gli strumenti di intelligenza artificiale siano trasparenti, sicuri e conformi alle regole di non discriminazione. Ciò significa, per esempio, che i modelli utilizzati per definire tassi di interesse personalizzati o per valutare l’affidabilità creditizia devono poter essere spiegati in modo comprensibile, e i clienti devono essere informati quando una decisione è supportata da un sistema automatizzato. La legge rafforza così la fiducia dei consumatori, perché chi si rivolge a un istituto di credito sa che la tecnologia non opererà in modo arbitrario o senza un controllo responsabile.
Un altro elemento rilevante riguarda le garanzie di sicurezza e protezione dei dati personali. Nel settore bancario, l’uso di intelligenza artificiale è spesso legato all’elaborazione di grandi quantità di informazioni sensibili, come dati finanziari, comportamenti di spesa o storico creditizio. La legge, coordinandosi con il Regolamento generale sulla protezione dei dati (GDPR), sottolinea l’importanza che tali sistemi rispettino criteri rigorosi di trasparenza, correttezza e riservatezza, e impone alle banche di adottare misure di sicurezza adeguate per prevenire accessi non autorizzati, abusi o discriminazioni basate su categorie protette come genere, età o origine.
Un aspetto meno evidente ma non meno importante della legge 132/2025 riguarda la vigilanza e la supervisione dell’adozione di intelligenza artificiale nelle istituzioni finanziarie. La normativa prevede che il Governo e le autorità competenti – tra cui AgID (Agenzia per l’Italia Digitale) e l’Autorità nazionale di cybersecurity (ACN) – definiscano criteri di controllo, valutazione e audit dei sistemi AI utilizzati nei settori critici, tra cui anche quelli finanziari. Ciò comporta che le banche dovranno non solo dotarsi di tecnologie conformi alla legge, ma anche predisporre documentazione, audit interni e report di controllo pronti per eventuali verifiche da parte delle autorità. Questa dinamica non limita l’innovazione, ma richiede alle imprese di integrare la compliance normativa nella progettazione stessa dei loro sistemi intelligenti.
Infine, la legge 132/2025 introduce anche strumenti come sandbox normative per l’intelligenza artificiale, spazi regolamentati in cui le banche e le società fintech possono sperimentare nuove applicazioni basate su AI in un ambiente controllato, con un supporto normativo semplificato e sotto la supervisione delle autorità. Queste misure sono pensate per favorire l’innovazione responsabile, evitando che l’adozione di tecnologie avanzate venga bloccata da un eccesso di rigidità, ma al contempo garantendo che le sperimentazioni non compromettano la tutela dei consumatori o la stabilità dei rapporti contrattuali.