Il credito guadagna sedici mesi. Non una deroga. Con l’accordo politico raggiunto il 7 maggio da Parlamento europeo e Consiglio sul Digital Omnibus on AI (il pacchetto di modifiche mirate all’AI Act inserito nella più ampia iniziativa europea di semplificazione della normativa digitale), le regole più pesanti per i sistemi di intelligenza artificiale ad alto rischio slittano al 2 dicembre 2027 per gli applicativi stand-alone, compresi quelli richiamati dall’Annex III dell’AI Act (l’allegato che individua gli ambiti di utilizzo dell’intelligenza artificiale considerati ad alto rischio, tra cui occupazione, istruzione, servizi essenziali, giustizia, migrazione e valutazione del merito creditizio).
Per banche, intermediari finanziari, fintech, mediatori creditizi e operatori della distribuzione del credito il punto è questo: i sistemi di credit scoring restano nel perimetro high-risk. Cambia il calendario, non la natura del presidio richiesto. La conformità, secondo l’intesa politica, non scatterà più il 2 agosto 2026 ma il 2 dicembre 2027 per i sistemi ad alto rischio autonomi, cioè quelli utilizzati nelle aree indicate dall’Annex III. Un rinvio rilevante, certo. Ma non una sospensione del problema.
L’accordo si inserisce nel più ampio pacchetto Digital Omnibus, con cui la Commissione europea punta a rendere meno frammentato e più gestibile l’impianto regolatorio digitale dell’Unione. Nel pacchetto rientrano anche interventi su GDPR, direttiva ePrivacy, NIS2 e Data Act. La logica dichiarata è quella della semplificazione. La ricaduta concreta, per il mercato del credito, è più sottile: gli operatori hanno più tempo per adeguarsi, ma anche meno alibi per arrivare impreparati.
Il rinvio nasce anche da una difficoltà evidente. Una parte degli standard tecnici e degli strumenti di supporto all’applicazione dell’AI Act è ancora in costruzione. Pretendere una compliance piena prima della stabilizzazione delle regole operative avrebbe prodotto un’applicazione disomogenea, con costi elevati soprattutto per le strutture di minori dimensioni. Bruxelles prova quindi ad allineare tempi normativi e capacità effettiva di adeguamento.
Ma la classificazione del rischio resta. E nel credito questa è la vera notizia.
I sistemi che valutano il merito creditizio, supportano la pre-istruttoria, orientano il ranking della clientela o incidono sulle condizioni di accesso al finanziamento continueranno a richiedere controlli rafforzati. Non basterà dire che l’AI “assiste” l’operatore o “ottimizza” il processo. Bisognerà capire se il modello incide davvero sull’esito, quanto pesa nella decisione finale, quali dati utilizza, come viene monitorato, chi interviene in caso di errore e quale documentazione rimane agli atti.
Il tema riguarda anche chi non sviluppa direttamente algoritmi proprietari. Molti mediatori, agenti, fintech e intermediari useranno strumenti forniti da terze parti: CRM evoluti, motori di pre-screening, piattaforme di origination, sistemi di analisi documentale, soluzioni di scoring o moduli di automazione integrati nei processi commerciali. In questi casi il rischio non scompare, si sposta lungo la catena contrattuale. Ed è lì che la governance deve diventare concreta: contratti con i provider, istruzioni d’uso, tracciabilità degli output, presidio umano, gestione delle anomalie, evidenza delle verifiche svolte.
Un altro passaggio dell’accordo merita attenzione. Viene reintrodotto l’obbligo di registrazione nel database europeo anche per i sistemi che il provider considera esenti dalla qualifica high-risk ai sensi dell’articolo 6, paragrafo 3, dell’AI Act. È un messaggio chiaro. Uscire dal perimetro non potrà essere una scelta silenziosa. Se un sistema opera in un’area sensibile ma viene qualificato come non ad alto rischio, questa valutazione dovrà essere documentata, registrata e difendibile. Per gli operatori del credito significa che l’autovalutazione del fornitore non potrà essere accettata in modo passivo.
La vigilanza resta un altro punto dirimente. L’accordo non accentra tutto sull’AI Office europeo. Per il settore finanziario rimane centrale il ruolo delle autorità nazionali, con un intreccio destinato a coinvolgere disciplina bancaria, trasparenza, protezione dei dati, controlli interni, esternalizzazioni e presidi già richiesti agli operatori vigilati. In altre parole, l’AI Act non sostituirà le regole settoriali. Si aggiungerà a esse, creando un livello ulteriore di responsabilità organizzativa.
C’è poi il nodo dei dati sensibili. Il trattamento di categorie particolari di dati personali per testare e correggere bias nei modelli torna sotto il test della stretta necessità. È un’apertura solo apparente. Da un lato consente margini operativi per individuare discriminazioni e distorsioni nei sistemi; dall’altro impone un onere documentale più robusto. Finalità circoscritta, minimizzazione, misure di sicurezza, tempi di conservazione, valutazione delle alternative, motivazione delle scelte. La correzione del bias non potrà restare una frase in una policy.
Per PMI, fintech e realtà più piccole sono previste semplificazioni mirate su documentazione tecnica, quality management e regime sanzionatorio. È un passaggio importante, perché il mercato non è composto solo da grandi gruppi bancari con strutture legali, IT e risk management interne. Tuttavia, proporzionalità non significa assenza di controllo. Significa documentare meglio ciò che conta davvero, evitando sovrastrutture inutili ma senza lasciare zone cieche nei processi decisionali.
Il prossimo capitolo sarà il Data Omnibus. E potrebbe incidere ancora di più sul credito, perché la qualità giuridica e tecnica dei dati è il carburante di qualsiasi modello. Basi giuridiche, informative, consensi, conservazione, dataset di addestramento, dati inferiti, dati provenienti da fonti terze: sono questi i punti su cui si giocherà una parte rilevante della sostenibilità operativa dei sistemi AI applicati al credito.
Sedici mesi in più, quindi, sono un vantaggio solo per chi li usa bene. Servono a censire gli strumenti già in uso, classificare i casi d’uso, rivedere i contratti con i fornitori, definire responsabilità interne, aggiornare le procedure e preparare un fascicolo documentale che regga al controllo.
Chi aspetta il 2027 per iniziare rischia di trovarsi con l’AI già dentro i processi e la governance ancora ferma alla prima bozza. Di questi temi si parlerà anche il 16 giugno 2026 a Milano, al The Westin Palace, durante l’evento EGG AI “Come l’AI sta trasformando il mercato del Credito — e perché il momento è adesso”, in programma dalle 9:30, organizzato con il supporto di SimplyBiz. Un confronto rivolto agli operatori chiamati a capire come trasformare il rinvio dell’AI Act in un percorso concreto di governo dei modelli, presidio dei dati e adeguamento dei processi.
