Il FSB ha posto in consultazione delle buone pratiche per un’adozione responsabile dell’intelligenza artificiale (IA) da parte degli enti finanziari, che si concentrano su aspetti e rischi specifici dell’IA rilevanti altresì per la stabilità finanziaria.
L’FSB ha individuato in particolare 12 buone pratiche per aiutare gli enti finanziari ad adottare l’IA in modo responsabile e sono volte a promuovere il coordinamento, la cooperazione e la condivisione di informazioni tra le parti interessate, comprese le istituzioni finanziarie e le autorità di vigilanza, all’interno delle singole giurisdizioni e tra di esse.
Le buone pratiche per l’adozione responsabile dell’IA da parte degli enti finanziari riguardano in particolare:
- la governance dell’IA, a livello di organizzazione dell’ente:
- Sound practice 1 (orientamento strategico e supervisione): il consiglio di amministrazione e l’alta dirigenza allineano l’adozione e la governance dell’IA al modello di business, alla propensione al rischio e alla strategia dell’istituto finanziario
- Sound practice 2 (governance e responsabilità): gli istituti finanziari definiscono ruoli e responsabilità chiari e mantengono un quadro di governance adeguato per consentire un’adozione responsabile dell’IA
- Sound practice 3 (integrazione dei rischi legati all’IA nel quadro di gestione dei rischi): gli istituti finanziari adottano quadri di gestione dei rischi che affrontino efficacemente i rischi legati all’IA e includono processi per l’identificazione e la documentazione dell’IA, nonché per la valutazione della rilevanza e del rischio
- Sound practice 4 (adattabilità organizzativa): gli istituti finanziari apprendono, si adattano e adeguano le proprie pratiche e capacità di supervisione, governance e gestione dei rischi man mano che l’IA si evolve.
- la gestione e la mitigazione dei rischi legati all’IA nelle diverse fasi di sviluppo e implementazione dell’IA:
- Sound practice 5 (rilevanza e valutazione dei rischi): gli istituti finanziari adottano un approccio efficace e sistematico per valutare la rilevanza e i rischi dei casi d’uso dell’IA nella fase iniziale e successivamente
Sound practice 6 (selezione): nella selezione dei modelli o dei sistemi di IA, gli istituti finanziari tengono conto degli obiettivi aziendali, delle esigenze operative e tecniche, nonché della rilevanza e dei rischi dei casi d’uso dell’IA
Sound practice 7 (governance dei dati): gli istituti finanziari stabiliscono un’adeguata governance dei dati per mantenere dati idonei allo scopo per l’addestramento, il collaudo e l’utilizzo dell’IA (ovvero accurati, completi, coerenti, affidabili, sicuri)
Sound practice 8 (spiegabilità e trasparenza): alla luce delle differenze nella spiegabilità dei vari tipi di IA, che gli istituti finanziari devono comprendere, adottano se possibile un’IA più spiegabile, oppure prendono in considerazione controlli compensativi; gli istituti finanziari garantiscono inoltre un’adeguata trasparenza su misura per i diversi stakeholder
Sound practice 9 (gestione delle prestazioni): gli istituti finanziari valutano le prestazioni dei casi d’uso dell’IA in modo proporzionato alla loro rilevanza e al rischio, anche attraverso valutazioni delle prestazioni, test e monitoraggio continuo
Sound practice 10 (supervisione umana): gli istituti finanziari attuano una supervisione umana adeguata ed efficace in relazione alla rilevanza, al rischio, all’autonomia, alla complessità e alla spiegabilità dei diversi casi d’uso dell’IA
- Sound practice 5 (rilevanza e valutazione dei rischi): gli istituti finanziari adottano un approccio efficace e sistematico per valutare la rilevanza e i rischi dei casi d’uso dell’IA nella fase iniziale e successivamente
- la gestione dei rischi informatici, legati alle tecnologie dell’informazione e della comunicazione (TIC) e di terze parti connessi all’IA:
- Sound practice 11 (gestione dei rischi informatici e delle TIC): gli istituti finanziari gestiscono i rischi informatici e delle TIC legati all’IA, anche, ove opportuno, integrando scenari di rischio informatico e delle TIC legati all’IA nelle prove e nelle esercitazioni, condividendo le informazioni pertinenti e utilizzando strumenti di IA nella gestione dei rischi informatici e delle TIC
- Sound practice 12 (gestione dei rischi legati all’IA di terze parti): gli istituti finanziari gestiscono in modo appropriato i rischi derivanti dall’uso dell’IA da parte di terzi, concentrandosi su prestazioni, trasparenza, qualità dei dati, rischi legati alla catena di fornitura e di concentrazione, nonché sulla continuità operativa.
L’FSB incoraggia i consigli di amministrazione e l’alta dirigenza delle istituzioni finanziarie a fare riferimento al toolkit posto in consultazione nel valutare la strategia aziendale, l’adozione di tecnologie e la gestione dei rischi in un contesto sempre più caratterizzato dall’intelligenza artificiale.
Le buone pratiche non intendono stabilire uno standard internazionale, imporre un approccio prescrittivo per l’adozione responsabile dell’IA da parte degli istituti finanziari, né influenzare le decisioni aziendali relative all’adozione di una determinata tecnologia di IA; si precisa inoltre che le buone pratiche non sono state sviluppate per affrontare i rischi emersi di recente in relazione ai modelli di IA più evoluti, sebbene, secondo il FSB, alcune buone pratiche aiuterebbero gli istituti finanziari a rispondere a tali rischi.
La consultazione è aperta sino al 22 luglio 2026, ed il rapporto finale verrà pubblicato ad ottobre 2026.
