L’attuazione della Direttiva (UE) 2023/2225 (CCD2) attraverso lo schema di decreto legislativo di recepimento, in attesa del prescritto parere parlamentare alla Camera, prevede una revisione significativa della disciplina delle banche dati creditizie applicabile ai contratti di credito ai consumatori.
Le modifiche incidono infatti sia sui requisiti soggettivi di accesso, sia sulle tipologie di informazioni che possono essere trattate ai fini della valutazione del merito creditizio.
Il nuovo impianto normativo, che modifica in particolare l’art. 125 TUB (Testo Unico Bancario), si caratterizza in particolare per un rafforzamento dei presidi di trasparenza, per un innalzamento degli standard di qualità e aggiornamento dei dati oggetto di segnalazione, nonché per una più ampia tutela dei diritti del consumatore, in caso di registrazione di informazioni negative o di rifiuto della domanda di credito.
Si ricorda che delle modifiche alla disciplina della Centrale Rischi e SIC, se ne discuterà ampiamente, altresì, nella prima relazione del webinar organizzato dalla nostra rivista l’11 dicembre 2025 “Centrale Rischi e SIC: tra novità normative e giurisprudenziali“.
Accesso alle banche dati creditizie e criteri soggettivi di ammissibilità
L’art. 125 TUB, in attuazione del citato art. 19 della CCD 2, viene modificato introducendo un regime più rigoroso in merito ai soggetti legittimati ad accedere alle banche dati creditizie contenenti informazioni nominative sui consumatori.
In linea con l’art. 19, par. 2, CCD2, il nuovo art. 125, comma 1-bis TUB stabilisce infatti che l’accesso ai dati contenuti nelle banche dati pubbliche e private, come la Centrale Rischi e le SIC, può essere consentito solo ai finanziatori sottoposti a vigilanza e che osservano pienamente il Regolamento (UE) 2016/679 (GDPR) sulla tutela dei dati personali dei consumatori oggetto di consultazione.
La disciplina chiarisce altresì che, fermo quanto previsto dal comma 1 e 1-bis, l’accesso alla Centrale dei rischi di Banca d’Italia resta disciplinato dalle disposizioni della stessa Autorità di vigilanza (art. 125, comma 1-ter TUB), preservando quindi l’assetto regolamentare preesistente, ma inserendolo nel nuovo sistema armonizzato delineato dalla direttiva CCD2.
Contenuto minimo delle banche dati e divieti di trattamento
L’art. 19, par. 4, CCD2 stabilisce una soglia uniforme di informazioni minime che le banche dati devono necessariamente contenere, soglia che viene recepita nel nuovo art. 125, comma 1-quater TUB, con riferimento:
- agli arretrati del consumatore nel rimborso del credito
- al tipo di credito
- all’identità del finanziatore.
Tale previsione, come chiarito dalla relazione illustrativa, rientra nell’obiettivo di assicurare la piena comparabilità dei sistemi informativi esistenti negli Stati membri, facilitando l’accesso transfrontaliero e prevenendo asimmetrie informative potenzialmente distorsive
A tutela del consumatore e in coerenza con il GDPR, la riforma introduce quindi un espresso divieto di utilizzare categorie particolari di dati personali (come quelli relativi alla salute) o informazioni derivanti dai social network, per la valutazione del merito creditizio.
Tale divieto, previsto dall’art. 19, par. 5 CCD2, viene trasposto nell’ordinamento nazionale tramite l’inserimento del nuovo comma 1-quinquies all’art. 125 TUB, che rappresenta una delle innovazioni più significative rispetto alla previgente disciplina e costituisce un presidio specifico contro forme di profilazione indebita o discriminatoria.
Obblighi informativi del finanziatore verso il consumatore
Una delle innovazioni più rilevanti introdotte concerne l’ampliamento degli obblighi di trasparenza in capo ai finanziatori, e ciò soprattutto nel caso in cui la decisione sulla domanda di credito sia fondata sulle informazioni contenute in una banca dati.
L’art. 19, par. 6 CCD2 impone infatti al finanziatore di informare il consumatore senza indebito ritardo e gratuitamente del risultato della consultazione, degli estremi della banca dati e delle categorie di dati considerate.
Tale obbligo viene recepito nella riscrittura dell’art. 125, comma 2 TUB: il decreto estende il contenuto dell’informazione, specificando che il finanziatore debba comunicare anche le informazioni segnaletiche che hanno determinato il rigetto della richiesta, rafforzando così la capacità del consumatore di comprendere la logica del rifiuto e di tutelare i propri diritti.
Particolare attenzione viene inoltre dedicata alla comunicazione dell’avvenuta segnalazione delle informazioni negative.
In attuazione dell’art. 19, par. 7 CCD2, il nuovo art. 125, c. 3 TUB prevede infatti un’informativa ulteriore in capo ai finanziatori (oltre a quella preventiva), i quali dovranno informare il consumatore, entro 30 giorni dalla registrazione, dell’avvenuta iscrizione di eventuali arretrati o altri dati negativi, congiuntamente ai diritti riconosciuti dal GDPR.
La relazione illustrativa chiarisce che la duplicazione dell’obbligo informativo – preventivo e successivo – rappresenta un requisito imposto dalla direttiva e, pur comportando un aggravio operativo per gli intermediari, risulta essenziale per assicurare un livello elevato di consapevolezza del consumatore sulle segnalazioni che incidono sul suo merito creditizio.
Qualità, aggiornamento e controlli sulle informazioni contenute nelle banche dati
La CCD2 insiste in modo particolare sulla qualità delle informazioni conservate nelle banche dati creditizie, al fine di eliminare asimmetrie, errori e disallineamenti che possono incidere negativamente sulle decisioni di merito creditizio.
Il nuovo art. 125, c. 4 TUB stabilisce che i finanziatori devono garantire che le informazioni siano esatte, aggiornate e prontamente rettificate in caso di errore, recependo il dettato dell’art. 19, par. 7 CCD2.
Accanto a tali obblighi, il legislatore introduce, in recepimento dell’art. 19, par. 7, secondo periodo CCD2, il nuovo comma 4-bis dell’art. 125 TUB, che impone ai gestori delle banche dati l’obbligo di dotarsi di procedure interne idonee a verificare nel continuo che i soggetti segnalanti alimentino la banca dati con informazioni complete, aggiornate ed esatte.
Tale previsione – come chiarito dalla relazione illustrativa – costituisce una misura essenziale di supervisione interna, volta a prevenire la proliferazione di dati obsoleti o inesatti che, se non corretti tempestivamente, potrebbero compromettere la valutazione del merito creditizio del consumatore in modo improprio o pregiudizievole.
Gli operatori bancari, facendo il sunto di quanto poc’anzi esplicitato, dovrebbero dunque valutare con particolare attenzione l’adeguamento dei propri presìdi interni alla nuova disciplina CCD2 sulle banche dati creditizie, così da assicurare una piena e stabile compliance al mutato quadro regolamentare:
- aggiornando le procedure di segnalazione alle banche dati
- rafforzando i processi di controllo sulla qualità e tempestività dei dati trasmessi
- revisionando i modelli informativi destinati ai consumatori, che integrino gli obblighi di comunicazione preventiva e successiva delle informazioni negative.