PARERE DELLA BANCA CENTRALE EUROPEA

del 29 dicembre 2021

relativo a una proposta di regolamento che stabilisce regole armonizzate sull’intelligenza artificiale

(CON/2021/40)

(2022/C 115/05)

Introduzione e base giuridica

Il 3 novembre 2021 la Banca centrale europea (BCE) ha ricevuto dal Consiglio dell’Unione europea una richiesta di parere su una proposta (1) di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (Legge sull’intelligenza artificiale) e modifica alcuni atti legislativi dell’Unione (di seguito la «proposta di regolamento»).

La BCE è competente a formulare un parere in virtù degli articoli 127, paragrafo 4, e 282, paragrafo 5, del trattato sul funzionamento dell’Unione europea in quanto la proposta di regolamento contiene disposizioni che ricadono negli ambiti sua di competenza, in particolare in relazione ai compiti della BCE relativi alla vigilanza prudenziale degli enti creditizi, ai sensi dell’articolo 127, paragrafo 6, del trattato. In conformità al primo periodo dell’articolo 17.5 del regolamento interno della Banca centrale europea, il Consiglio direttivo ha adottato il presente parere.

1.   Osservazioni di carattere generale

1.1.

La BCE accoglie con favore l’obiettivo della proposta di regolamento di migliorare il funzionamento del mercato interno stabilendo un quadro giuridico uniforme per lo sviluppo, la commercializzazione e l’uso di un’intelligenza artificiale (IA) affidabile in conformità ai valori dell’Unione. La BCE riconosce l’importanza di stabilire requisiti armonizzati specifici per i sistemi di IA al fine di garantire un livello elevato e coerente di protezione di motivi imperativi di interesse pubblico quali la salute, la sicurezza e i diritti fondamentali.

1.2.

La BCE riconosce inoltre la crescente importanza dell’innovazione consentita dall’IA nel settore bancario. Tenendo conto dell’intrinseca natura transfrontaliera e delle opportunità di innovazione dell’IA nelle attività bancarie, la BCE, in quanto autorità di vigilanza prudenziale a livello dell’Unione, sostiene fermamente la necessità di garantire l’attuazione armonizzata della proposta di regolamento da parte degli enti creditizi per quanto riguarda i rischi e i requisiti prudenziali. Nella stessa ottica, e data la crescente importanza dell’IA, si invita il legislatore dell’Unione a considerare in futuro la possibilità di istituire un’autorità indipendente per l’IA a livello dell’Unione responsabile dell’applicazione armonizzata della proposta di regolamento in tutto il mercato unico per quanto riguarda questioni specifiche in materia di salute, sicurezza e diritti fondamentali.

1.3.

Per quanto riguarda i sistemi di IA ad alto rischio forniti o utilizzati dagli enti creditizi, la BCE evince che la proposta di regolamento integri taluni obblighi nelle procedure di cui alla direttiva n. 2013/36/UE del Parlamento europeo e del Consiglio (2) (Capital Requirements Directive, di seguito la «CRD»). In particolare, la proposta di regolamento mira a migliorare la coerenza con la CRD integrando nel sistema di governance interna degli enti creditizi alcuni obblighi di gestione del rischio e di governance di fornitori e utenti (3). A causa del carattere innovativo e della complessità dell’IA e dei requisiti elevati della proposta di regolamento, sono necessarie ulteriori indicazioni per chiarire le aspettative di vigilanza per quanto riguarda gli obblighi in relazione alla governance interna.

1.4.

La BCE accoglie con favore l’intenzione della proposta di regolamento di evitare sovrapposizioni con il vigente quadro legislativo incorporando alcune delle sue disposizioni nelle pertinenti disposizioni della CRD (4). A tale riguardo, la BCE accoglie con favore il fatto che l’obbligo per gli enti creditizi fornitori di sistemi di IA ad alto rischio di istituire un sistema di gestione della qualità e l’obbligo per gli enti creditizi utenti di sistemi di IA ad alto rischio di monitorare il funzionamento del sistema siano considerati adempiuti laddove tali enti rispettino le norme sui dispositivi, i processi e i meccanismi di governance interna stabiliti nelle pertinenti disposizioni della CRD (5).

1.5.

La BCE sottolinea che la proposta di regolamento dovrebbe lasciare impregiudicati gli obblighi prudenziali più specifici o rigorosi degli enti creditizi stabiliti nella disciplina di settore e integrati da orientamenti in materia di vigilanza. Ad esempio, gli obblighi di governance interna degli enti creditizi utenti dei sistemi di IA ai sensi della CRD (6) si estendono al controllo effettivo degli accordi di esternalizzazione, compresi l’individuazione, la valutazione e la mitigazione di tutti i rischi connessi, come ulteriormente indicato negli orientamenti dell’ABE sugli accordi di esternalizzazione (7). Sebbene la proposta di regolamento attribuisca obblighi diversi ai fornitori e agli utenti di sistemi di IA ad alto rischio, gli orientamenti dell’ABE sugli accordi di esternalizzazione non operano tale distinzione nel contesto dell’esternalizzazione tra fornitori terzi di soluzioni tecnologiche ed enti creditizi. A tale riguardo, l’esternalizzazione non allevia l’obbligo degli enti creditizi di rispettare i requisiti regolamentari e l’autorità di vigilanza prudenziale rimane competente a vigilare sui rischi prudenziali posti dalle funzioni esternalizzate. In tale contesto, la BCE gradirebbe ulteriori chiarimenti in merito ai requisiti applicabili e alle autorità competenti per quanto riguarda l’esternalizzazione da parte degli enti creditizi utenti di sistemi di IA ad alto rischio.

1.6.

Il ruolo della BCE ai sensi della proposta di regolamento dovrebbe essere chiarito, in particolare per quanto riguarda: (1) le competenze di vigilanza prudenziale della BCE in generale e relativamente alla vigilanza del mercato e alla valutazione della conformità, e (2) l’applicazione della proposta di regolamento all’assolvimento dei compiti della BCE ai sensi del trattato.

1.7.

La BCE mantiene il proprio impegno a favore di un approccio neutrale dal punto di vista tecnologico nella vigilanza prudenziale degli enti creditizi. Il suo ruolo consiste nel garantire la sicurezza e la solidità degli enti creditizi, mantenendo uno standard elevato di vigilanza prudenziale indipendentemente dall’applicazione di una particolare soluzione tecnologica. La BCE mira a mantenere condizioni di parità per la vigilanza prudenziale degli enti creditizi, seguendo il principio guida «stessa attività, stessi rischi, stessa vigilanza» (8).

2.   Il ruolo della BCE ai sensi della proposta di regolamento

2.1.   Chiarimento delle competenze di vigilanza prudenziale della BCE in relazione alla vigilanza del mercato

2.1.1.

La proposta di regolamento prevede che il regolamento (UE) 2019/1020 del Parlamento europeo e del Consiglio (9) si applichi ai sistemi di IA disciplinati dalla proposta di regolamento (10) e che qualsiasi riferimento a un prodotto ai sensi del regolamento (UE) 2019/1020 debba essere inteso come comprensivo di tutti i sistemi di IA che rientrano nell’ambito di applicazione della proposta di regolamento (11). A tale riguardo, la BCE osserva che l’obiettivo del regolamento (UE) 2019/2020 è migliorare il funzionamento del mercato interno rafforzando la vigilanza del mercato dei prodotti disciplinati della normativa di armonizzazione dell’Unione al fine di garantire che siano immessi sul mercato dell’Unione solo i prodotti conformi che soddisfano requisiti tali da garantire un elevato livello di protezione di interessi pubblici, quali la salute e la sicurezza in generale, la salute e la sicurezza sul luogo di lavoro, la tutela dei consumatori, la protezione dell’ambiente e della sicurezza pubblica e qualsiasi altro interesse pubblico tutelato dalla normativa di armonizzazione dell’Unione (12).

2.1.2.

La proposta di regolamento definisce l’autorità di vigilanza del mercato come l’autorità nazionale che svolge le attività e adotta le misure ai sensi del regolamento (UE) 2019/1020 (13). Il regolamento (UE) 2019/1020 definisce a sua volta l’autorità di vigilanza del mercato come un’autorità designata da uno Stato membro ai sensi del regolamento (UE) 2019/1020 quale responsabile della vigilanza del mercato nel territorio di tale Stato membro (14). Inoltre, il considerando 9 del regolamento (UE) 2019/1020 chiarisce che la responsabilità dell’applicazione della normativa di armonizzazione dell’Unione dovrebbe spettare agli Stati membri e che le loro autorità di vigilanza del mercato dovrebbero essere tenute a garantire che la normativa sia pienamente rispettata (15). Su tale base, la BCE evince che, ai sensi della proposta di regolamento, la BCE non è in alcun modo un’autorità di vigilanza del mercato.

2.1.3.

Tuttavia, la proposta di regolamento prevede altresì che per i sistemi di IA immessi sul mercato, messi in servizio o utilizzati da istituti finanziari disciplinati dalla normativa dell’Unione in materia di servizi finanziari, l’autorità di vigilanza del mercato ai fini della proposta di regolamento sia l’autorità competente responsabile della vigilanza finanziaria di tali istituti ai sensi di tale normativa (16). Inoltre, il considerando 80 della proposta di regolamento chiarisce che la normativa dell’Unione in materia di servizi finanziari comprende regole e requisiti di governance interna e di gestione del rischio applicabili agli istituti finanziari regolamentati nel corso della fornitura di tali servizi, anche quando si avvalgono di sistemi di IA. Chiarisce inoltre che, al fine di garantire la coerenza dell’applicazione e dell’attuazione degli obblighi previsti dalla proposta di regolamento e delle regole e dei requisiti pertinenti alla normativa dell’Unione in materia di servizi finanziari, le autorità responsabili della vigilanza e dell’applicazione della normativa in materia di servizi finanziari, compresa, se del caso, la BCE, dovrebbero essere designate quali autorità competenti ai fini del controllo dell’attuazione della proposta di regolamento, anche in relazione alle attività di vigilanza del mercato, per quanto riguarda i sistemi di IA forniti o utilizzati da istituti finanziari regolamentati e sottoposti a vigilanza. A tal riguardo si fa inoltre riferimento alla necessità di migliorare ulteriormente la coerenza tra la proposta di regolamento e le norme applicabili agli enti creditizi disciplinati dalla CRD.

2.1.4.

Ai sensi dell’articolo 127, paragrafo 6, del trattato il Consiglio può affidare all’unanimità alla BCE compiti specifici in merito alle politiche che riguardano la vigilanza prudenziale degli enti creditizi e delle altre istituzioni finanziarie, escluse le imprese assicurative. Su tale base, il regolamento (UE) n. 1024/2013 del Consiglio (17) (di seguito il «regolamento sull’MVU») attribuisce alla BCE compiti specifici in merito alle politiche in materia di vigilanza prudenziale degli enti creditizi, al fine di contribuire alla sicurezza e alla solidità degli enti creditizi e alla stabilità del sistema finanziario all’interno dell’Unione e di ciascuno Stato membro, con pieno riguardo e dovere di diligenza riguardo all’unità e all’integrità del mercato interno, in base alla parità di trattamento degli enti creditizi al fine di impedire l’arbitraggio regolamentare (18). A tale riguardo, la BCE è competente in via esclusiva, a fini di vigilanza prudenziale, ad assicurare il rispetto di tutti i pertinenti atti dell’Unione che impongono agli enti creditizi l’obbligo di dotarsi, tra l’altro, di solidi processi di gestione del rischio e meccanismi di controllo interno (19). Il ruolo di vigilanza prudenziale della BCE a tale riguardo si limita ad assicurare che gli enti creditizi attuino politiche e processi per valutare e gestire la propria esposizione al rischio prudenziale, compresi i rischi connessi a diversi aspetti dei modelli aziendali, della governance e del rischio operativo delle banche, e che derivano dall’uso di soluzioni tecnologiche per garantire la sicurezza e la solidità degli enti creditizi e la stabilità del sistema finanziario (20).

2.1.5.

La vigilanza del mercato non mira a garantire la sicurezza e la solidità degli enti creditizi, ma si concentra invece sulla tutela degli interessi dei singoli che potrebbero essere potenzialmente colpiti da sistemi di IA abusivi, garantendo che tali sistemi soddisfino i requisiti necessari per garantire un elevato livello di protezione di interessi pubblici quali la salute e la sicurezza delle persone. Di conseguenza, la BCE evince che il legislatore dell’Unione non propone che la BCE agisca come autorità di vigilanza del mercato in relazione agli enti creditizi sottoposti alla sua vigilanza ai sensi della proposta di regolamento. Tale conclusione è in linea con i considerando del regolamento sull’MVU, i quali chiariscono che le autorità nazionali sono competenti a garantire un livello elevato di tutela dei consumatori (21).

2.1.6.

Su tale base, la BCE suggerisce che, per essere coerente con le sue competenze in materia di vigilanza prudenziale ai sensi dell’articolo 127, paragrafo 6, del trattato e del regolamento sull’MVU, il testo della proposta di regolamento dovrebbe chiarire in modo inequivocabile che la BCE non è designata come autorità di vigilanza del mercato né incaricata di compiti di vigilanza del mercato.

2.1.7.

Sebbene i compiti di vigilanza del mercato non siano stati attribuiti alla BCE, può accadere che alcuni Stati membri prenderanno in considerazione la designazione delle autorità nazionali competenti coinvolte nella vigilanza degli enti creditizi quali responsabili della vigilanza del mercato nel contesto della proposta di regolamento, nella misura in cui il loro mandato lo consenta e almeno nella misura in cui i compiti di vigilanza del mercato si applicano a situazioni in cui un sistema di IA è messo in servizio per uso proprio. La designazione delle autorità nazionali competenti attualmente coinvolte nella vigilanza degli enti creditizi in quanto responsabili di tale vigilanza del mercato potrebbe essere vista come una salvaguardia della coerenza e dell’efficienza in termini di costi degli esiti della vigilanza, sfruttando al contempo l’esperienza acquisita da tali autorità nell’esercizio dei loro poteri di indagine e di vigilanza in relazione agli enti creditizi.

2.1.8.

Infine, la BCE osserva che le disposizioni in materia di vigilanza del mercato contenute nella proposta di regolamento non affrontano adeguatamente le situazioni in cui un sistema di IA è messo in servizio per uso proprio. Ad esempio, il potere delle autorità di vigilanza del mercato, ai sensi della proposta di regolamento, di richiamare o ritirare un sistema di IA potrebbe non comportare con successo la cessazione di tale sistema in situazioni di uso proprio (22). Si invita pertanto il legislatore dell’Unione a chiarire quali misure restrittive e quali relativi poteri delle autorità competenti debbano applicarsi a situazioni di uso proprio.

2.2.   Chiarimento delle competenze in materia di vigilanza prudenziale della BCE nell’ambito della valutazione della conformità

2.2.1.

La proposta di regolamento dispone (23) che, per i sistemi di IA ad alto rischio destinati a essere utilizzati per valutare l’affidabilità creditizia delle persone fisiche o per stabilire il loro merito di credito (24), e che sono immessi sul mercato o messi in servizio dagli enti creditizi, una valutazione della conformità debba essere effettuata nell’ambito del processo di revisione e valutazione prudenziale (SREP) (25). La proposta di regolamento definisce (26) la valutazione della conformità come il processo di verifica del rispetto dei requisiti obbligatori per i sistemi di IA ad alto rischio stabiliti nella proposta di regolamento (27).

2.2.2.

Come osservato in precedenza, il Consiglio, ai sensi dell’articolo 127, paragrafo 6, del trattato, ha attribuito alla BCE compiti specifici in merito alle politiche in materia di vigilanza prudenziale degli enti creditizi, al fine di contribuire, tra l’altro, alla sicurezza e alla solidità degli enti creditizi e alla stabilità del sistema finanziario all’interno dell’Unione e di ciascuno Stato membro (28). Per evitare di andare oltre i compiti attribuitile dal trattato, la BCE sottolinea che potrebbe essere in grado di vigilare sull’attuazione dei requisiti pertinenti nel contesto dello SREP, concentrandosi allo stesso tempo sui rischi prudenziali cui possono essere esposti gli enti creditizi. A tale riguardo, si invita il legislatore dell’Unione a valutare fino a che punto diversi elementi della valutazione della conformità potrebbero non essere di natura prudenziale nella misura in cui riguardano in larga parte la valutazione tecnica dei sistemi di IA per salvaguardare la salute e la sicurezza delle persone e garantire il rispetto dei diritti fondamentali riducendo al minimo il rischio di processi errati o distorti assistiti dall’IA. In particolare, le disposizioni pertinenti della proposta di regolamento impongono che i sistemi di IA ad alto rischio siano progettati o progettati e sviluppati (1) sulla base di set di dati di addestramento, convalida e prova che soddisfino determinati criteri di qualità laddove utilizzano tecniche che prevedono l’uso di dati per l’addestramento di modelli; (2) con capacità che consentono la registrazione automatica degli eventi («log») al fine di assicurare un livello di tracciabilità del funzionamento del sistema durante tutto il suo ciclo di vita adeguato alla propria finalità prevista; (3) in modo tale da garantire che essi possano essere efficacemente supervisionati da persone fisiche, inclusi strumenti di interfaccia uomo-macchina, al fine di prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali che possono emergere quando è utilizzato un sistema di IA ad alto rischio; e (4) al fine di ottenere un livello adeguato di accuratezza, robustezza e cibersicurezza (29). Come chiarito nei considerando della proposta di regolamento, tali requisiti per quanto riguarda la qualità dei set di dati utilizzati, la documentazione tecnica e la conservazione delle registrazioni, la trasparenza e la fornitura di informazioni agli utenti, la sorveglianza umana e la robustezza, l’accuratezza e la cibersicurezza sono necessari per attenuare efficacemente i rischi per la salute, la sicurezza e i diritti fondamentali (30).

2.2.3.

In tale contesto, si invita il legislatore dell’Unione a riflettere ulteriormente sulla necessità di designare le pertinenti autorità competenti incaricate della vigilanza sulla valutazione della conformità condotta dagli enti creditizi per quanto riguarda questioni specifiche in materia di salute, sicurezza e diritti fondamentali, e a considerare la necessità di garantire l’applicazione armonizzata della proposta di regolamento in tutto il mercato unico istituendo in futuro un’autorità per l’IA a livello dell’Unione.

2.2.4.

Inoltre, alcuni requisiti per i sistemi di IA ad alto rischio non sono del tutto chiari o abbastanza specifici da fornire una comprensione sufficiente per informare le aspettative di vigilanza. Ad esempio, potrebbe essere necessario chiarire ulteriormente il requisito secondo cui i set di dati di addestramento, convalida e prova devono essere pertinenti, rappresentativi, esenti da errori e completi (31). Considerando l’ampia portata del mandato conferito alle organizzazioni europee di normazione (32) e quindi il rischio potenziale di indebolire le regole stabilite dalla proposta di regolamento, i requisiti relativi ai sistemi di IA ad alto rischio stabiliti nella proposta di regolamento dovrebbero essere sufficientemente specifici.

2.2.5.

Infine, la BCE evince che la valutazione della conformità dei sistemi di IA forniti dagli enti creditizi per valutare l’affidabilità creditizia delle persone fisiche o stabilire il loro merito di credito fa parte di un controllo interno ex ante effettuato dall’ente creditizio (33). A tale riguardo, la proposta di regolamento (34) dovrebbe essere modificata per rispecchiare la natura ex post della valutazione specifica che deve essere effettuata dall’autorità di vigilanza prudenziale nell’ambito dello SREP.

2.3.   Chiarimento delle competenze di vigilanza prudenziale della BCE sotto un profilo generale

La BCE può essere considerata un’autorità competente solo nella misura necessaria all’assolvimento dei compiti ad essa attribuiti dal regolamento sull’MVU. Per evitare incertezze giuridiche circa il fatto che la proposta di regolamento attribuisca nuovi compiti alla BCE, la BCE suggerisce che, anziché fare direttamente riferimento alla BCE in quanto autorità competente, la proposta di regolamento dovrebbe fare riferimento alle autorità competenti quali definite nei pertinenti atti del diritto dell’Unione, come la CRD. Dal regolamento sull’MVU risulterebbe quindi che la BCE deve essere considerata un’autorità competente solo ai fini dello svolgimento dei suoi compiti di vigilanza prudenziale (35).

2.4.   Chiarimento dell’indipendenza della BCE nello svolgimento dei suoi compiti ai sensi del trattato

La BCE evince che, quando agisce in qualità di fornitore che immette sul mercato o mette in servizio sistemi di IA nell’Unione, o come utente di sistemi di IA situati nell’Unione, può essere essa stessa soggetta alla proposta di regolamento (36). Lo stesso vale per le banche centrali nazionali (BCN). La proposta di regolamento prevede che, quando le istituzioni dell’Unione rientrano nel suo ambito di applicazione, il Garante europeo della protezione dei dati (GEPD) agisca in qualità di autorità competente per la loro vigilanza e in qualità di autorità di vigilanza del mercato per le stesse (37). Le BCN potrebbero essere soggette alla vigilanza delle autorità nazionali competenti (38). A tale riguardo è importante sottolineare che la BCE e le BCN dovrebbero essere in grado di svolgere in modo indipendente i compiti ad esse attribuiti dal trattato (39), ad esempio quando utilizzano qualsiasi applicazione di intelligenza artificiale per definire e attuare la politica monetaria e per promuovere il regolare funzionamento dei sistemi di pagamento (40). Occorre tuttavia riconoscere che l’indipendenza del SEBC nello svolgimento dei suoi compiti non lo esonera da ogni norma di diritto dell’Unione (41). La BCE evince che qualsiasi eventuale vigilanza della BCE da parte del GEPD e delle BCN da parte delle autorità nazionali competenti sarebbe limitata a controlli adeguati su un sistema di IA e sulla governance del sistema stesso e non sarebbe in alcun modo intesa a pregiudicare la capacità della BCE e delle BCN di svolgere in modo indipendente i compiti loro attribuiti dal trattato.

3.   Classificazione dei sistemi di IA

3.1.

La proposta di regolamento intende garantire un quadro normativo proporzionato in relazione ai suoi obiettivi adottando un approccio basato sul rischio che impone oneri normativi solo quando un sistema di IA può comportare rischi elevati per i diritti fondamentali e la sicurezza. Tuttavia, la proposta di regolamento, anticipando i futuri sviluppi della tecnologia di IA, definisce il software che si qualifica come sistema di IA in senso lato. Di conseguenza, il software sviluppato per generare output quali contenuti, previsioni, raccomandazioni o decisioni, utilizzando approcci statistici e di apprendimento automatico, nonché metodi di ricerca e ottimizzazione, costituisce un sistema di IA (42). Questa definizione ampia comprenderebbe una serie di attività svolte dagli enti creditizi, in particolare in relazione ai sistemi volti a stabilire il merito di credito delle persone fisiche.

3.2.

Ai sensi della proposta di regolamento (43), la maggior parte delle attività di credit scoring che utilizzano sistemi di IA sarebbe automaticamente soggetta ai requisiti minimi orizzontali imposti ai sistemi di IA ad alto rischio. Di conseguenza, diverse attività, tra cui l’acquisizione mirata per la commercializzazione, la modellizzazione delle collezioni e i modelli standard di credit scoring (ad esempio una scheda di valutazione che utilizza la regressione logistica), dovrebbero soddisfare gli stessi requisiti. Per migliorare la chiarezza nelle aspettative in materia di vigilanza e in linea con l’approccio neutrale rispetto alla tecnologia della BCE, si suggerisce che i sistemi di IA destinati a essere utilizzati per valutare l’affidabilità creditizia delle persone fisiche o stabilire il loro merito di credito e che fungano da leva sull’uso autonomo di regressioni lineari o logistiche o di alberi decisionali sotto la supervisione umana non dovrebbero essere classificati come sistemi di IA ad alto rischio, a condizione che l’impatto di tali approcci sulla valutazione dell’affidabilità creditizia o del merito di credito delle persone fisiche sia minimo.

3.3.

Poiché le attività di credit scoring sono regolarmente svolte dagli enti creditizi nelle prassi quotidiane, la BCE suggerisce che l’entrata in vigore dei requisiti relativi alla qualificazione dei sistemi di IA destinati a essere utilizzati per valutare l’affidabilità creditizia delle persone fisiche o per stabilire il loro merito di credito come «sistemi di IA ad alto rischio» dovrebbe essere rinviata fino all’adozione da parte della Commissione di specifiche comuni (44) in materia. In particolare, tali specifiche comuni dovrebbero sia precisare le condizioni alle quali i sistemi di IA ad alto rischio in questo settore si presumeranno conformi ai requisiti applicabili, sia definire quando i sistemi di IA dovrebbero essere considerati come «messi in servizio da fornitori di piccole dimensioni per uso proprio» e rientrare pertanto nell’ambito di applicazione dell’eccezione alla qualifica di sistema di IA ad alto rischio (45). In questo contesto, la BCE dovrebbe essere inclusa nell’elenco degli organismi consultati prima dell’adozione di tali specifiche comuni, qualora esse riguardino sistemi di IA destinati a essere utilizzati per valutare l’affidabilità creditizia delle persone fisiche o per stabilire il loro merito di credito (46).

3.4.

Infine, la BCE accoglie con favore la possibilità di aggiornare l’elenco dei sistemi di IA ad alto rischio inclusi nell’allegato III della proposta di regolamento (47), ed è pronta a cooperare con la Commissione e ad essere da essa consultata in merito all’individuazione di ulteriori rischi potenziali dei sistemi di IA che possono comportare un rischio di danni per la salute e la sicurezza o un rischio di impatto negativo sui diritti fondamentali. Oltre ai sistemi di IA utilizzati per valutare il merito di credito o l’affidabilità creditizia delle persone fisiche, la proposta di regolamento non designa come ad alto rischio altri sistemi che potrebbero essere messi in servizio specificamente dagli enti creditizi. Tuttavia, gli enti creditizi stanno sviluppando o stanno valutando lo sviluppo e l’utilizzo della modellizzazione dei dati di IA che collegano vendite, transazioni e dati sulle prestazioni per garantire una chiara panoramica del rischio di condotta in un determinato settore. Analogamente, i sistemi di IA potrebbero essere utilizzati nel monitoraggio in tempo reale dei pagamenti, o nella profilazione dei clienti o delle operazioni, a fini di lotta al riciclaggio di denaro e al finanziamento del terrorismo. Quando la BCE raccomanda di modificare la proposta di regolamento, indica in un separato documento di lavoro tecnico specifiche proposte redazionali, accompagnate da note esplicative. Il documento di lavoro tecnico è disponibile in lingua inglese sul sito internet EUR-Lex.

---

(1)  COM(2021) 206 final.

(2)  Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, sull’accesso all’attività degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE (GU L 176 del 27.6.2013, pag. 338).

(3)  Cfr. gli articoli 9, paragrafo 9, 18, paragrafo 2, 20, paragrafo 2 e 29, paragrafo 5, della proposta di regolamento e l’articolo 74 della CRD.

(4)  Cfr. l’articolo 74 della CRD.

(5)  Cfr. gli articoli 17, paragrafo 3, e 29, paragrafo 4, della proposta di regolamento.

(6)  Cfr. l’articolo 74 della CRD.

(7)  Cfr. gli orientamenti dell’ABE sugli accordi di esternalizzazione (https://www.eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-outsourcing-arrangements).

(8)  Cfr. il discorso di Andrea Enria, Presidente del Consiglio di vigilanza della BCE, «A binary future? How digitalisation may change banking», De Nederlandsche Bank, Amsterdam, 11 marzo 2019, disponibile sul sito Internet della vigilanza bancaria della BCE all’indirizzo www.bankingsupervision.europa.eu.

(9)  Regolamento (UE) 2019/1020 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sulla vigilanza del mercato e sulla conformità dei prodotti e che modifica la direttiva 2004/42/CE e i regolamenti (CE) n. 765/2008 e (UE) n. 305/2011 (GU L 169 del 25 giugno 2019, pag. 1).

(10)  Cfr. l’articolo 63, paragrafo 1, della proposta di regolamento.

(11)  Cfr. l’articolo 63, paragrafo 1, lettera b), della proposta di regolamento.

(12)  Cfr. l’articolo 1, paragrafo 1, del Regolamento (UE) n. 2019/1020.

(13)  Cfr. l’articolo 3, paragrafo 26, della proposta di regolamento.

(14)  Cfr. l’articolo 3, paragrafo 4, del Regolamento (UE) n. 2019/1020.

(15)  Cfr. il considerando 9 del Regolamento (UE) n. 2019/1020.

(16)  Cfr. l’articolo 63, paragrafo 4, della proposta di regolamento.

(17)  Regolamento (UE) n. 1024/2013 del Consiglio, del 15 ottobre 2013, che attribuisce alla Banca centrale europea compiti specifici in merito alle politiche in materia di vigilanza prudenziale degli enti creditizi (GU L 287 del 29.10.2013, pag. 63).

(18)  Cfr. il primo paragrafo dell’articolo 1, del regolamento sull’MVU.

(19)  Cfr. l’articolo 4, paragrafo 1, lettera e), del regolamento sull’MVU.

(20)  Cfr. il considerando 30 del regolamento sull’MVU, nonché le pagine 53 e 54 della «Risposta del SEBC e della vigilanza bancaria europea alla consultazione pubblica della Commissione europea relativa a una nuova strategia sulla finanza digitale per l’Europa/piano d’azione per le tecnologie finanziarie» (agosto 2020), disponibile sul sito internet della vigilanza bancaria della BCE.

(21)  Cfr. i considerando 28 e 29 del regolamento sull’MVU.

(22)  Cfr. articolo 3, punti 16 e 17, articolo 65, paragrafo 2, secondo comma, e articoli 65, paragrafo 5, e 67, paragrafo 1, della proposta di regolamento.

(23)  Cfr. l’articolo 19, paragrafo 2, e l’articolo 43, paragrafo 2, della proposta di regolamento.

(24)  Cfr. il punto 5, lettera b), dell’allegato III alla proposta di regolamento.

(25)  Gli articoli da 97 a 101 della CRD riguardano lo SREP.

(26)  Cfr. l’articolo 3, paragrafo 20, della proposta di regolamento.

(27)  Cfr. gli articoli da 8 a 15 del capitolo 2 del Titolo III della proposta di regolamento.

(28)  Cfr. il primo paragrafo dell’articolo 1 del regolamento sull’MVU.

(29)  Cfr. gli articoli 10, 12, 14 e 15, della proposta di regolamento.

(30)  Cfr. considerando 43 della proposta di regolamento.

(31)  Cfr. l’articolo 10, paragrafo 3, della proposta di regolamento.

(32)  Cfr. l’articolo 40 e il considerando 61 della proposta di regolamento.

(33)  Cfr. il primo periodo dell’articolo 43, paragrafo 2, e l’annesso VI alla proposta di regolamento.

(34)  Cfr. l’articolo 19, paragrafo 2, e in particolare il secondo periodo dell’articolo 43, paragrafo 2, della proposta di regolamento.

(35)  Cfr. l’articolo 6 del regolamento sull’MVU.

(36)  Cfr. l’articolo 2 della proposta di regolamento.

(37)  Cfr. l’articolo 59, paragrafo 8, e l’articolo 63, paragrafo 6, della proposta di regolamento.

(38)  Cfr. l’articolo 59, paragrafo 2, della proposta di regolamento.

(39)  Cfr. l’articolo 130 dello Statuto.

(40)  Cfr. primo e quarto trattino dell’articolo 127, paragrafo 2, del trattato.

(41)  Cfr. sentenza della Corte di giustizia del 10 luglio 2003, C-11/00, Commissione/Banca centrale europea, ECLI:EU:C:2003:3, punti da 130 a 135.

(42)  Cfr. l’articolo 3, paragrafo 1, e l’allegato I alla proposta di regolamento.

(43)  Cfr. punto 5, lettera b), dell’allegato III alla proposta di regolamento.

(44)  Cfr. l’articolo 41, paragrafo 1, della proposta di regolamento.

(45)  Ai sensi del punto 5, lettera b), dell’allegato III alla proposta di regolamento.

(46)  Cfr. l’articolo 41, paragrafo 2, della proposta di regolamento.

(47)  Cfr. l’articolo 7, paragrafo 1, della proposta di regolamento.