L’intelligenza artificiale nei mercati finanziari italiani

Le considerazioni di policy sono raggruppate in otto aree collegate tra loro, come delineato nella Tavola 3.1. Alcune di esse sono connesse con le iniziative di regolamentazione in corso a livello della UE e la loro attuazione sarà soggetta all'evoluzione del quadro giuridico dell'Unione. Data la loro stretta interconnessione, gli otto temi richiedono un approccio integrato a livello di policy.

Le lacune informative sull'adozione dell'IA da parte delle istituzioni finanziarie rimangono una sfida comune nelle economie dell'OCSE (OECD, 2026[1]). L'obiettivo è creare, nel tempo, un sistema armonizzato, coerente e ricorrente per la raccolta di dati granulari sull'adozione dell'IA nel settore finanziario, che consenta alle autorità italiane ed europee di colmare le lacune informative, migliorare la comparabilità tra istituzioni e settori e rafforzare la loro capacità di monitorare i rischi e sostenere un'innovazione sicura dell'IA, secondo un approccio basato sui dati solido e metodologicamente allineato, volto a sostenere un'elaborazione e un'attuazione coordinate delle policy. Oltre a migliorare l'efficacia della normativa, una maggiore armonizzazione mira anche a ridurre gli oneri di segnalazione per i soggetti vigilati (in particolare quelli operanti in diversi sottosettori) e a promuovere la semplificazione.

Sfruttando la loro considerevole esperienza, le autorità di vigilanza finanziaria italiane possono valutare la possibilità di potenziare gli attuali sistemi di raccolta dei dati esistenti in modo da rilevare l'adozione e la sperimentazione dell'IA a un livello più granulare, incorporando negli esercizi di raccolta dei dati esistenti nuove metriche relative all'adozione dell'IA, prendendo spunto dall'indagine del progetto dell'OCSE del 2025 e dagli indicatori di rischio proposti dall'FSB, nonché includendo misure volte a cogliere gli ostacoli percepiti all'adozione sicura di tecnologie di IA innovative.

Un maggiore coordinamento tra le iniziative di raccolta dei dati da parte delle autorità italiane potrebbe prevedere, come primo passo, uno sforzo di armonizzazione delle definizioni e delle tassonomie relative alle nuove tecnologie di IA. Nel più lungo periodo, un approccio intersettoriale armonizzato potrebbe favorire la coerenza e la comparabilità, alleviando al contempo, per i soggetti vigilati che operano in diversi settori, gli oneri derivanti dal coinvolgimento in più indagini. Ciò potrebbe includere esercizi di raccolta dei dati coordinati congiuntamente a livello di settore, anche su base ricorrente, che tengano conto delle differenze settoriali (ad esempio per ambito di applicazione e priorità). Orientamenti concordati a livello della UE sono essenziali a rafforzare la comparabilità e ridurre gli oneri di segnalazione.

A livello della UE, occorre promuovere una più stretta convergenza tra le iniziative di raccolta dei dati da parte delle autorità europee di vigilanza (AEV) per agevolare coerenza e uniformità tra le diverse indagini condotte, anche attraverso iniziative nell'ambito del Meccanismo di vigilanza unico (MVU). Un maggiore coordinamento tra i diversi settori a livello della UE contribuirebbe a ridurre gli oneri per i soggetti vigilati, che hanno l'obbligo di rispondere a più richieste, non sempre allineate, contribuendo anche a migliorare la qualità dei dati raccolti. L'impegno a una maggiore armonizzazione della terminologia e degli approcci metodologici a livello della UE può incrementare la comparabilità dei dati raccolti all'interno dei singoli paesi, nei diversi settori, e sostenere l'adozione di tassonomie uniformi a livello nazionale.

In tale ambito, le autorità di vigilanza italiane sono incoraggiate a continuare a svolgere un ruolo attivo nelle iniziative di respiro europeo, offrendo il proprio contributo agli esercizi di raccolta dei dati, mettendo a frutto quanto appreso nell'indagine del progetto e condividendo a livello della UE tutte le conoscenze tratte dalle esperienze in campo nazionale. L'elevata qualità delle conoscenze acquisite dagli Stati membri della UE nell'ambito delle indagini condotte dalle autorità europee consente risposte più tempestive a livello di Unione, che tengano conto delle differenze nazionali senza oneri eccessivi per i soggetti vigilati.

La mancanza di chiarezza e di allineamento dei requisiti regolamentari e delle aspettative di vigilanza applicabili all'IA in ambito finanziario è stata identificata come il vincolo più significativo alla diffusione dell'IA nel settore finanziario italiano. L'obiettivo perseguito è promuovere un quadro regolamentare e di vigilanza più chiaro, coerente e semplificato per l'uso dell'IA nel settore finanziario, al fine di rafforzare l'efficacia delle attività di vigilanza, ridurre l'incertezza normativa e assicurare aspettative di vigilanza chiare e coerenti a livello della UE, salvaguardando nel contempo i diritti fondamentali e la tutela dei consumatori dei servizi finanziari. Ciò, a sua volta, consentirebbe alle istituzioni finanziarie di orientarsi con maggiore certezza nel rispetto degli obblighi normativi e incrementare gli investimenti nell'IA, promuovendone una più ampia e sicura diffusione in ambito finanziario e favorendo, in ultima analisi, una maggiore competitività del settore finanziario europeo nell'innovazione in materia di IA.

A livello della UE, le autorità dovrebbero continuare a perseguire la semplificazione in atto e rafforzare le iniziative in corso per risolvere le incertezze percepite, derivanti dalla nuova legislazione introdotta in ambito di IA e dalla sua sovrapposizione alle norme settoriali e ad altre norme esistenti. La diffusione di orientamenti di vigilanza potrebbe contribuire ad attenuare l'ambiguità percepita dalle imprese finanziarie e fornire quella certezza normativa necessaria a investire ulteriormente nell'innovazione in materia di IA. Orientamenti di vigilanza ben concepiti consentirebbero agli operatori di mercato di gestire meglio gli obblighi di conformità, riducendo l'incertezza regolamentare percepita e facilitando nel contempo una sorveglianza più efficace. Gli orientamenti dovrebbero essere attentamente calibrati in modo da evitare effetti negativi per l'adozione dell'IA, che limitino la capacità delle imprese di sperimentare attraverso le nuove tecnologie, ma avendo sempre presente l'obiettivo di proteggere al meglio i diritti fondamentali dei cittadini dell'UE. È opportuno perseguire un approccio basato sul rischio, proporzionato ai rischi e agli impatti di specifici casi d'uso dell'IA, evitando approcci eccessivamente prescrittivi, dato il rapido ritmo di innovazione in questo ambito. Gli orientamenti potrebbero assumere diverse forme (pubblicazione di chiarimenti, note interpretative, aspettative/comunicazioni di vigilanza) o essere forniti attraverso una più stretta interazione con il settore (OECD, 2026[1]). In tale contesto, le parti interessate potrebbero beneficiare anche di ulteriori chiarimenti sulle esclusioni dalla definizione normativa di IA di semplici tecniche statistiche come la regressione lineare o logistica utilizzata a scopo predittivo, oltre a sistemi finalizzati all'ottimizzazione matematica.

Le autorità di vigilanza italiane sono incoraggiate a continuare a svolgere un ruolo attivo nelle iniziative a livello della UE volte a semplificare il quadro normativo per l'IA, con particolare attenzione alle esigenze e alle caratteristiche del settore finanziario. Uno stretto coordinamento tra le autorità nazionali e la convergenza a livello della UE consentirebbero di evitare frammentazioni normative o disallineamenti nei tempi di attuazione, consentendo al contempo di rappresentare adeguatamente le istanze nazionali nel contesto europeo. Analogamente, le autorità italiane svolgono un ruolo fondamentale nel comunicare efficacemente i chiarimenti elaborati dall'UE ai soggetti vigilati a livello nazionale. È opportuno evitare requisiti inutilmente più stringenti a livello nazionale rispetto a quelli previsti dalle norme UE, poiché potrebbero creare frammentazione, aumentare gli oneri di conformità e compromettere la competitività del settore nazionale.

Un'area cui rivolgere particolare attenzione è rappresentata dalla governance e dagli assetti di gestione dei dati, dato che la conformità ai requisiti di protezione dei dati è stata identificata come un ostacolo significativo alla diffusione dell'IA nei mercati finanziari italiani, con particolare riferimento alla complessità percepita del rispetto delle norme imposte dal Regolamento generale sulla protezione dei dati (RGPD). Poiché la protezione dei dati esula in gran parte dalle competenze e dal controllo diretto delle autorità finanziarie italiane, queste dovrebbero intraprendere sforzi volti a rafforzare la cooperazione, il coordinamento e la condivisione delle informazioni con le autorità preposte alla protezione dei dati a livello nazionale e dell’ UE e iniziative di comunicazione su eventuali chiarimenti in merito a tali questioni ai soggetti vigilati. Le autorità finanziarie italiane possono pertanto considerare la possibilità di diffondere tra il pubblico chiarimenti di alto livello sugli aspetti pratici della sperimentazione e della diffusione dell'IA da parte del settore finanziario, anche in merito al trattamento dei dati nelle fasi di addestramento e sperimentazione. Tali chiarimenti dovrebbero essere strettamente allineati ai principi e agli obiettivi stabiliti/in corso di definizione a livello della UE, e in forte coordinamento con le autorità europee, per un'attuazione armonizzata a livello nazionale degli orientamenti diffusi in ambito UE, e con le autorità non finanziarie nazionali (come l’agenzia per la cybersicurezza e l’autorità preposta alla protezione dei dati). Tali iniziative potrebbero comprendere anche ulteriori chiarimenti sul trattamento dei dati non regolamentati dall'RGPD, utilizzati con finalità di addestramento e sperimentazione (ad es. i dati non personali, quelli pubblicamente disponibili o i dataset sintetici), sottoposti a protezione limitata ma con implicazioni in termini di liceità del trattamento, minimizzazione dei dati e per le questioni di tracciabilità e di rischio di modello, tra cui la propagazione del bias e l'inferenza non intenzionale di dati personali.

A livello della UE, la proposta legislativa "Digital Omnibus " della Commissione europea compie progressi costruttivi verso la semplificazione dei requisiti normativi relativi all'IA e alla governance dei dati, con l'obiettivo di conseguire un significativo alleggerimento degli oneri amministrativi.. Gli organi dell'UE responsabili della protezione dei dati, in particolare il Comitato europeo per la protezione dei dati, insieme alle autorità nazionali di protezione dei dati (European Data Protection Board, EDPB), stanno attivamente monitorando la necessità di fornire chiarimenti in merito all'applicazione di requisiti all'adozione su ampia scala dell'IA. Chiarimenti su ciò che costituirebbe un interesse legittimo come base giuridica per la raccolta di dati potrebbero essere particolarmente utili per la sperimentazione di modelli di IA in ambito finanziario.

La protezione dei dati è uno degli ambiti in cui la cooperazione tra le autorità di vigilanza finanziaria italiane, che avviene già a un livello molto avanzato, potrebbe essere ulteriormente estesa per incorporare altre autorità, non finanziarie. Un quadro più armonizzato per l'interazione con l'autorità per la protezione dei dati e con l'agenzia per la cybersicurezza, ad esempio, può essere cruciale per chiarire le sfide individuate dagli operatori del settore finanziario riguardo alla diffusione dell'IA. Le autorità italiane dovrebbero inoltre valutare metodi per rafforzare la cooperazione, il coordinamento e lo scambio di informazioni con le autorità di protezione dei dati dell'UE e con altre autorità non finanziarie competenti a livello europeo, ciascuna nell'ambito del proprio mandato.

I risultati dell'indagine del progetto indicano che le imprese italiane stanno attualmente adottando un'ampia gamma di assetti di governance. Una governance efficace può consentire un'innovazione sicura e responsabile dell'IA, accrescere la fiducia delle parti interessate, agevolare una più ampia diffusione dell'innovazione attraverso l'IA, salvaguardare imprese e clienti e promuovere la stabilità finanziaria. L'obiettivo perseguito è rafforzare la governance dell'IA facendo sì che i consigli di amministrazione e l'alta dirigenza istituiscano una sorveglianza solida e proporzionata ai rischi sui sistemi di IA. Alcuni aspetti fondamentali delle iniziative di governance dell'IA sono rappresentati da solidi assetti di resilienza cibernetica e cooperazione intersettoriale in materia di sorveglianza dei fornitori terzi, in linea con il regolamento DORA dell'UE.

Le autorità italiane dovrebbero sostenere il rafforzamento della governance organizzativa dell'IA da parte dei soggetti vigilati come parte integrante del più ampio assetto di governance societaria, la cui responsabilità finale è in capo al consiglio di amministrazione. In linea con la regolamentazione applicabile, le autorità italiane possono incoraggiare i CdA dei soggetti vigilati che intendono utilizzare l'IA nell'ambito della loro ordinaria operatività aziendale a delineare strategie efficaci per lo sviluppo e la gestione dell'IA, definendo politiche solide per la gestione e il controllo dei rischi connessi a tale tecnologia (tra cui quelli operativi, legali e reputazionali). I consigli di amministrazione dovrebbero anche valutare periodicamente il contributo dell'IA alle performance dell'organizzazione e verificare che i rischi a essa connessi siano adeguatamente monitorati e gestiti dall'alta dirigenza. Dovrebbero inoltre essere incentivate iniziative in favore dell'adozione di solidi assetti di governance dei dati e dei modelli per i sistemi di intelligenza artificiale assicurando un'adeguata sorveglianza e validazione umana in tutti i comparti del sistema finanziario.

Le autorità italiane potrebbero valutare la possibilità di sostenere strutture di governance più solide attraverso uno stretto coinvolgimento dei soggetti vigilati o mediante orientamenti intersettoriali di alto livello che adottino un approccio basato sul rischio. I processi di governance esistenti potrebbero essere potenziati per l'uso dell'IA con adattamenti proporzionali al rischio e alla rilevanza dei casi d'uso attuati, in linea con un approccio proporzionale basato sul rischio. Dovrebbe essere prestata particolare attenzione ai metodi e alle misure impiegati per la valutazione ordinaria dell'affidabilità e della robustezza dei modelli da parte dei soggetti vigilati e per la relativa sorveglianza da parte delle autorità finanziarie. Una governance efficace dovrebbe prevedere, almeno, il controllo umano, la gestione dei rischi, la sicurezza, la protezione e la responsabilità, in linea con le prescrizioni dei principi dell'OCSE sull'IA, il primo standard intergovernativo su tale tecnologie (OECD, 2019[2]).

I risultati dell'indagine indicano una forte dipendenza da un limitato numero di fornitori terzi per i servizi connessi all'IA, in Italia. Sarebbe pertanto opportuno porre l'accento sulla governance delle terze parti di rilevanza non critica che supportano funzioni critiche o rilevanti tramite l'impiego dell'IA, in particolare promuovendo la cooperazione intersettoriale in materia di sorveglianza dei fornitori terzi. Un coinvolgimento più stretto e la potenziale emanazione di orientamenti potrebbero aiutare le imprese ad aumentare la trasparenza di simili accordi e a gestire i rischi associati.

I partecipanti all'indagine condotta nell'ambito del progetto hanno indicato che l'adozione di alcuni modelli di IA è spesso limitata da considerazioni di spiegabilità. Le autorità italiane dovrebbero pertanto valutare la possibilità di promuovere un uso più esteso dei metodi di spiegabilità dei modelli di IA in maniera proporzionale, a seconda del caso d'uso.1 Poiché non esiste un unico approccio “corretto” alla spiegabilità, l'orientamento e il supporto dovrebbero puntare ad agevolare un'integrazione senza soluzione di continuità, in linea con un approccio basato su principi e sul rischio, che rifletta il livello di rilevanza dei diversi casi d'uso dell'intelligenza artificiale e il loro potenziale impatto per le imprese, i clienti e i mercati. La portata e la tempistica di tali iniziative dovrebbero rimanere a discrezione delle competenti autorità di sorveglianza sui mercati, in base alle prassi di mercato osservate, alle evidenze desunte dall'esperienza di vigilanza e allo stato di evoluzione delle tecnologie di IA.

È importante sottolineare che sia le autorità italiane sia i fornitori di servizi finanziari dovrebbero promuovere l'alfabetizzazione dei consumatori in materia di IA per i servizi finanziari, in modo da contribuire alla tutela della clientela di tali servizi, consentire una maggiore sicurezza nei comportamenti online e rafforzare, più in generale, la fiducia nella finanza digitale.

Quasi la metà dei partecipanti all'indagine del progetto non ha ancora adottato alcuna misura di protezione specifica contro le minacce informatiche specifiche dell’IA. Le autorità italiane dovrebbero pertanto sottolineare l'importanza cruciale di solidi assetti di resilienza cibernetica che affrontino i rischi connessi all'IA e promuovere il rafforzamento della preparazione specifica in ambito informatico dei soggetti vigilati riguardo all'adozione dell'IA, allineandosi ai requisiti del DORA. Il costante coordinamento con le agenzie di cybersicurezza, sia a livello nazionale che della UE, sarà essenziale per garantire che le imprese adottino assetti di resilienza cibernetica efficaci, con particolare attenzione all'IA. A tal fine, gli attuali protocolli operativi per lo scambio di informazioni e la segnalazione congiunta degli incidenti tra le autorità finanziarie e di cybersicurezza potrebbero essere integrati per far fronte alle minacce specifiche derivanti dall'IA, come gli attacchi avversari e le vulnerabilità dei modelli, in modo da assicurare interventi tempestivi, evitando al contempo la duplicazione degli sforzi.

Le autorità italiane possono incoraggiare l'uso di strumenti basati sull'IA per rafforzare la cybersicurezza e la resilienza operativa in tutto il settore finanziario italiano, in particolare le infrastrutture dei mercati finanziari (IMF), in modo proporzionato e non prescrittivo, su base volontaria, nonché l'inclusione sistematica di scenari di rischio connessi all'IA nell’ambito dei quadri di riferimento esistenti in materia di resilienza operativa e di test cibernetici, come DORA e TIBER-EU, con particolare attenzione alle IMF. Per la classificazione strutturata degli incidenti connessi all'IA, si potrebbe anche incoraggiare lo sviluppo a livello nazionale di orientamenti e di una tassonomia di riferimento, accompagnati da un quadro di riferimento concreto per la segnalazione. Ciò potrebbe consentire a imprese e autorità di aggregare, analizzare e riutilizzare le informazioni sugli incidenti già raccolte nell'ambito dei quadri esistenti, in linea con le categorie e i processi di segnalazione degli incidenti previsti da DORA e sulla base di essi.

I quadri per la condivisione dei dati, come l'Open Finance, forniscono l'infrastruttura di base e i flussi di dati critici necessari per consentire una maggiore interoperabilità in tutto il settore finanziario, agendo da fattore chiave per un'efficace diffusione dell'IA nel settore finanziario, per specifici casi d'uso (OECD, 2026[3]). L'obiettivo è consentire una condivisione dei dati sicura e affidabile in grado di agevolare l'innovazione in tutto il settore finanziario e supportare l'addestramento e la validazione responsabili degli output di IA. In ultima analisi, lo scopo è sostenere assetti di condivisione dei dati sicuri, standardizzati e interoperabili, in grado di preservare la riservatezza dei flussi di dati e di fornire alle imprese dataset affidabili e di alta qualità da utilizzare nei sistemi di intelligenza artificiale. Promuovendo l'interoperabilità a livello della UE dei quadri regionali di condivisione dei dati, le autorità italiane possono contribuire a rafforzare la competitività dell'ecosistema finanziario dell'Unione. La presente considerazione di policy mira anche a sostenere gli obiettivi dell'Unione dei risparmi e degli investimenti (Savings and Investment Union, SIU) facilitando l'interoperabilità sicura dei dati, migliorando l'integrazione dei mercati all'interno dell'Unione e sostenendo gli investimenti transfrontalieri.

Attualmente, il quadro di riferimento per l'Open Finance a livello della UE è in attesa di completamento, con la proposta FiDA che introduce un diritto intersettoriale di accesso e condivisione dei dati attraverso interfacce comuni, supportato da regole di gestione del consenso e di responsabilità. A integrazione di ciò, la strategia della SIU individua nell'interoperabilità il motore della competitività, con l'obiettivo di ridurre gli attriti transfrontalieri e ampliare l'accesso dei risparmiatori ai mercati di investimento. Le autorità italiane possono trarre vantaggio da questo slancio politico rafforzando la collaborazione intersettoriale con altre autorità e, anche con l'ausilio del dialogo con l’industria, delineare le modalità di sostegno ai quadri di condivisione dei dati in ambito finanziario, con l'obiettivo di promuovere l'innovazione attraverso l'IA. Tali iniziative possono anche comprendere discussioni per sensibilizzare le parti coinvolte in merito all'importanza della condivisione dei dati, dei metodi e delle misure per gli scambi sicuri di dati e delle architetture interoperabili, ad esempio attraverso l'uso di API armonizzate, di formati dei dati uniformi e dei meccanismi di consenso verificabili.

Le autorità italiane dovrebbero inoltre prendere in considerazione la definizione degli ambiti di un possibile contributo agli spazi comuni europei di dati (Common European Data Spaces, CEDS), che mirano a creare ambienti affidabili per lo scambio di dati tra settori, compreso quello finanziario, in un quadro di governance chiaro, infrastrutture in grado di tutelare riservatezza e standard interoperabili. Lo spazio europeo di dati finanziari (European Financial Data Space, EFDS), attualmente in fase di sviluppo, consentirà una condivisione sicura dei dati finanziari a sostegno dell'innovazione e dell'Open Finance, mentre iniziative come il Centro di sostegno agli spazi di dati (Data Spaces Support Centre) e il SEMIC forniscono strumenti tecnici e semantici a supporto della gestione dell'identità, del consenso e della tracciabilità (Data Spaces Support Centre, 2025[4]; European Commission, 2025[5]). Strategie complementari come l'unione europea dei dati e Gaia‑X rafforzano questa architettura grazie meccanismi di automazione della conformità, ai dataset di alto valore e ai framework di cloud federati, consentendo alle imprese l'accesso a dati accurati e standardizzati e riducendo i costi di integrazione (European Commission, 2025[6]; Gaia-X, 2023[7]). Per l'Italia, la partecipazione a questi ecosistemi potrebbe sbloccare dataset affidabili per l'IA, rafforzare la certezza del diritto e promuovere un riutilizzo dei dati scalabile e basato sul consenso, ai sensi della normativa dell'UE. Sebbene le modalità esatte di questi ambienti siano ancora in fase di definizione, le autorità italiane potrebbero ragionare su come promuovere la partecipazione agli spazi comuni di dati dell'UE (ad esempio, EFDS, Gaia-X) fornendo orientamenti e dati di alta qualità relativi al settore pubblico, laddove legalmente possibile. Si potrebbe ipotizzare un coinvolgimento degli operatori del settore per promuovere la partecipazione delle imprese agli spazi comuni di dati dell'UE, insieme ad altri metodi per migliorare l'accesso del settore finanziario alle piattaforme di scambio di dati sicure. Le iniziative di condivisione dei dati possono essere promosse anche attraverso i facilitatori dell'innovazione, coinvolgendo gli operatori di mercato e i fornitori di tecnologie e consentendo di esplorare i benefici derivanti dalla condivisione dei dati per imprese e consumatori (ad es. in termini di nuovi prodotti, migliore protezione dei dati) e nel contempo sperimentando soluzioni ai rischi osservati nella condivisione dei dati finanziari al di fuori di un quadro strutturato.

Una maggiore interazione tra le autorità e il settore finanziario può consentire alle autorità di vigilanza di approfondire la comprensione delle modalità concrete di impiego delle tecnologie di IA innovative e dei relativi contesti operativi, rafforzando nel contempo la capacità delle autorità di individuare e affrontare i rischi emergenti in modo tempestivo e ben informato (OECD, 2026[1]). Un’interlocuzione intensa e costante con il settore può anche apportare vantaggi significativi ai soggetti vigilati, migliorando la comprensione da parte delle autorità di eventuali criticità incontrate dalle imprese soggette a supervisione nei loro sforzi di adeguamento al quadro normativo (OECD, 2026[1]). L'obiettivo è rafforzare la cooperazione pubblico-privato per promuovere un'innovazione responsabile attraverso l'IA e sostenere la competitività del settore finanziario dell'UE, favorendo la costruzione di una comprensione reciproca tra regolatori e operatori, l’arricchimento delle informazioni a disposizione della vigilanza e la creazione di un ecosistema di intelligenza artificiale più trasparente, affidabile e ben informato, salvaguardando al contempo la tutela dei consumatori di prodotti finanziari e promuovendo l'alfabetizzazione finanziaria. Tali iniziative possono contribuire anche alla creazione di ecosistemi di governance dell'IA più solidi e trasparenti in tutto il settore finanziario.

Le autorità italiane dovrebbero continuare a promuovere una più stretta cooperazione e interlocuzione con il settore, sostenendo l'innovazione e, nel contempo, perseguendo gli obiettivi di supervisione. Simili iniziative possono assumere diverse forme, tra cui forum tra più parti interessate, gruppi di lavoro tematici o ambienti di test per architetture di innovazione digitale. Le autorità italiane dovrebbero sfruttare le iniziative esistenti a livello nazionale e della UE (ad es. Financial Computer Emergency Response Team (CERTfin), Milano Hub, Canale Fintech) e le normali attività di vigilanza come le ispezioni in loco, le revisioni tematiche e la raccolta sistematica di dati, per assicurare che le istituzioni finanziarie rimangano conformi agli standard regolamentari, gestiscano adeguatamente i rischi e preservino l'integrità del mercato (OECD, 2026[1]).

Le autorità italiane dovrebbero inoltre valutare nuove modalità di coinvolgimento proattivo delle parti interessate all'interno del settore, al di là delle normali attività di vigilanza, come strumento per agevolare la comprensione reciproca. Alcuni esempi di iniziative per una maggiore cooperazione tra le autorità italiane e il settore potrebbero includere il testing dei modelli finalizzato alla validazione degli stessi o la creazione di forum di discussione sull'IA tra soggetti pubblici e privati, per l'approfondimento dei principali temi (OECD, 2026[1]). Il test dei modelli di IA offre un'occasione concreta per accrescere la fiducia e la trasparenza, consentendo nel contempo alle autorità di vigilanza di osservare il comportamento dei modelli e alle imprese di ricevere un feedback tempestivo sulle aspettative di vigilanza. I forum dedicati al dialogo tra il settore pubblico e quello privato possono favorire la convergenza su aspettative e standard, definire meglio le responsabilità e sostenere forme di sorveglianza proporzionale.

Il principale obiettivo di questa considerazione di policy è rafforzare e meglio integrare l'ecosistema italiano di facilitazione dell'innovazione in modo che le istituzioni finanziarie possano sperimentare in sicurezza l'intelligenza artificiale, sfruttare al meglio le competenze e partecipare ad ambienti di test allineati a livello della UE. In ultima analisi, l’intento è ampliare le opportunità di sperimentazione dell'intelligenza artificiale in maniera sicura, scalabile e inclusiva, in particolare per le imprese più piccole, garantendo nel contempo la coerenza con i quadri di riferimento dell'UE e migliorando la collaborazione transfrontaliera. Verosimilmente, un quadro di sperimentazione sicuro può svolgere un ruolo chiave nell'ampliare il numero di casi d'uso dell'intelligenza artificiale portati in produzione, migliorando in tal modo l'innovazione e la competitività del settore.2

L'Italia beneficia di un ecosistema di facilitatori dell'innovazione ben sviluppato, esteso a tutti i principali segmenti dell'attività finanziaria. I facilitatori esistenti già consentono test sicuri delle applicazioni di IA in ambito finanziario e promuovono un coinvolgimento costruttivo del settore. Le autorità italiane possono avvalersi degli attuali contesti di facilitatori per rafforzarne ulteriormente l'impatto secondo le modalità seguenti: promuovendo l'accesso a risorse informatiche ad alte prestazioni da parte dei facilitatori; migliorando l'accessibilità dei dati attraverso la possibile condivisione di dataset per consentire alle imprese finanziarie di testare i modelli in un ambiente sicuro; facilitando l'accesso alle competenze tecniche, alla formazione e al perfezionamento delle conoscenze nei settori connessi allo sviluppo dell'IA per le applicazioni finanziarie e, infine, ampliando la partecipazione ai facilitatori con il coinvolgimento in tali iniziative anche delle imprese più piccole, anche attraverso iniziative di sensibilizzazione sul ruolo e sulle opportunità offerte da tali strumenti. Tale maggiore partecipazione potrebbe essere incentivata tramite iniziative specifiche per le imprese di dimensioni più contenute e creando opportunità di networking tra gli operatori di mercato dell'IA. Le autorità italiane potrebbero inoltre valutare l'opportunità di un dialogo con i centri di ricerca sull'IA (come le AI Factory) per affrontare le carenze delle PMI in tale ambito. In questo contesto, Milano Hub potrebbe rafforzare il proprio ruolo organizzando workshop, seminari e masterclass per la comunità dei facilitatori dell'innovazione su specifici temi rilevanti, al fine di favorire le interazioni e il dibattito a livello nazionale.

Le autorità italiane potrebbero sfruttare il dibattito in corso sulla normativa a livello della UE come opportunità strategica per migliorare l'integrazione tra i facilitatori nazionali dell'innovazione ed eventuali iniziative a livello della UE. Tale allineamento potrebbe accrescerne l'efficacia e favorire una più ampia partecipazione del mercato, soprattutto tra le imprese finanziarie operanti nei diversi Stati membri dell'UE. Le autorità italiane potrebbero inoltre fornire il proprio ulteriore contributo a eventuali altre iniziative dell'UE per i test a livello transfrontaliero all'interno dell'Unione. La bozza di norma di attuazione incoraggia anche il coinvolgimento di altri attori all'interno della sandbox, come i laboratori di ricerca e le organizzazioni della società civile. Oltre alle sandbox, le autorità italiane possono esplorare ulteriori canali per sostenere l’innovazione e l’accrescimento delle competenze, quali l’organizzazione di “hackathon” dedicati (come l'Innovation Data Challenge (BdI, 2026[8])), o prevedendo l'adozione di strumenti di SupTech basati sull'IA.

L'obiettivo di questa considerazione di policy è rafforzare la leadership strategica a livello di intero settore pubblico nel guidare lo sviluppo e l'utilizzo dell'IA nel settore finanziario attraverso una più stretta collaborazione con il settore e il mondo accademico e sostenendo lo sviluppo di modelli di intelligenza artificiale accessibili e conformi al quadro normativo. In definitiva, tale potenziamento della cooperazione mira a garantire che tutte le imprese, comprese quelle con minori risorse, beneficino di competenze e infrastrutture condivise, favorendo uno sviluppo responsabile dell’IA e contribuendo alla creazione di un ecosistema finanziario competitivo.

Le autorità italiane possono valutare l'opportunità di promuovere una maggiore collaborazione tra il settore pubblico, quello finanziario e il mondo accademico, sfruttando appieno il potenziale delle iniziative esistenti (come i centri di eccellenza e le AI Factory), ad esempio nell'ambito della Strategia italiana per l'intelligenza artificiale 2024-2026 dell'Agenzia per l'Italia digitale (AGID) o delle iniziative promosse dall’ABI Lab dell'Associazione bancaria italiana (ABI), in modo da focalizzare l'attenzione sulle applicazioni dell'IA al settore finanziario, sostenendo nel contempo la ricerca, la riqualificazione e il miglioramento delle competenze in collaborazione con il settore finanziario.

Il sostegno del settore pubblico allo sviluppo, da parte del mondo accademico e degli operatori privati, di modelli open‑weight conformi al quadro normativo potrebbe fornire benefici all'ecosistema italiano, soprattutto per quelle imprese che hanno a disposizione risorse finanziarie limitate e non sono in grado di sviluppare internamente modelli proprietari. L'elevato livello di sviluppo dell’infrastruttura informatica italiana fornisce una buona base per il sostegno del settore pubblico allo sviluppo di modelli di intelligenza artificiale, attingendo all'esperienza di altre giurisdizioni3.

È ampiamente riconosciuta la necessità di dotare le autorità di vigilanza finanziaria degli strumenti e delle competenze adeguati per un’efficace sorveglianza dell’IA nel settore finanziario (OECD and FSB, 2024[9]). Attrarre e mantenere personale con competenze in materia di IA è una sfida non solo per le imprese del settore finanziario italiano, come rilevato nell’indagine del progetto, ma anche per le autorità finanziarie italiane. L'obiettivo di questa considerazione di policy è rafforzare la capacità di supervisione necessaria per un'efficace sorveglianza dell'IA facendo sì che le autorità finanziarie siano in grado di attrarre, formare e trattenere risorse con competenze qualificate in materia di IA e dotando le autorità di vigilanza di moderni strumenti di SupTech basati sull'IA. In ultima analisi, essa punta a migliorare la capacità delle autorità di vigilanza di monitorare i rischi dell'IA, di impiegare avanzate capacità analitiche e collaborare a livello transfrontaliero.

Le autorità italiane dovrebbero valutare la possibilità di incrementare gli investimenti destinati ad attrarre talenti nel campo dell'IA, nonché alla formazione continua e all’aggiornamento delle competenze del personale in servizio affinché possa integrare le conoscenze specifiche di settore con una comprensione tecnica più approfondita dei sistemi di IA. Per sorvegliare efficacemente e monitorare nel continuo l’evolversi della diffusione di soluzioni di IA nel settore finanziario e consentire alle autorità di vigilanza di mantenersi al passo con i rapidi avanzamenti sul fronte tecnologico è necessario disporre di un numero adeguato di risorse. Le autorità italiane dovrebbero sostenere il continuo perfezionamento delle competenze in ambito IA e in altri settori dell'innovazione digitale finanziaria, sfruttando il potenziale dell'innovativa piattaforma della UE EU Supervisory Digital Finance Academy. Potrebbero essere promosse iniziative di sviluppo di un quadro di competenze e di un programma di formazione strutturati. Il modello di cooperazione con le piattaforme della UE e il mondo accademico dovrebbe essere definito e mappato con i pertinenti meccanismi di finanziamento sostenibile. Le autorità possono anche valutare l'opportunità di definire indicatori misurabili per il monitoraggio del rafforzamento della capacità di vigilanza.

Sarà necessario aumentare le capacità e perfezionare le competenze delle autorità di vigilanza finanziaria per conseguire gli obiettivi di monitoraggio e sorveglianza, ma anche per consentire al personale di sviluppare e impiegare tecnologie di IA nelle attività di vigilanza (OECD, 2026[1]). Gli strumenti di tecnologie di vigilanza (SupTech) che sfruttano l'IA possono anche svolgere un importante ruolo nel supporto alle attività di supervisione, apportando benefici quali l'automazione, il potenziamento dell’attività di analisi e una maggiore tempestività nell’individuazione dei rischi emergenti. Tali strumenti sono già ampiamente utilizzati dalle autorità finanziarie italiane e da altre autorità nazionali a livello di UE.

Le autorità di vigilanza europee dovrebbero valutare un rafforzamento delle iniziative di coordinamento per consentire la condivisione strategica delle competenze e delle capacità istituzionali, anche per gli strumenti SupTech basati sull'IA. Lo sviluppo o l'acquisizione di applicazioni SupTech che sfruttano tecnologie di IA può richiedere investimenti finanziari significativi, robuste infrastrutture tecnologiche e competenze interne specialistiche. Le tecnologie di intelligenza artificiale possono essere sfruttate per gli stress test di vigilanza e per valutare l'entità dell'automazione impiegata nella produzione di documentazione di rilevanza critica. Una più stretta collaborazione potrebbe aprire la strada al pooling di risorse e conoscenze (ad esempio mediante la condivisione di codice) e allo sviluppo di strumenti comuni basati su tecnologie di IA o la condivisione degli strumenti SupTech esistenti (OECD, 2026[1]). Gli sforzi congiunti a livello transfrontaliero per lo sviluppo e la condivisione di soluzioni SupTech, unitamente all'impiego di piattaforme comuni e iniziative di formazione coordinate potrebbero consentire di mettere a fattor comune le risorse, evitando duplicazioni. In tale ambito, occorrerebbe individuare un modello di collaborazione appropriato per agevolare le partnership tra pubblico e privato.

L'analisi dell'OCSE indica che le lacune informative sul tasso di adozione dell'IA da parte delle società finanziarie continuano a rappresentare una sfida comune nelle economie dell'OCSE. Sotto il profilo della vigilanza le difficoltà possono essere connesse alle caratteristiche distintive dell'innovazione legata all'IA, quali opacità, complessità e rapidità della sua evoluzione. A tale riguardo, la raccolta di dati granulari è un fattore chiave per il monitoraggio efficace dei rischi connessi all'uso delle tecnologie di IA in ambito finanziario (OECD, 2026[1]). I limiti relativi alla visibilità dell'adozione dell'IA sono altresì riconosciuti dall'FSB, che incoraggia le autorità di vigilanza a colmare le lacune nei dati, ove opportuno, e ad armonizzare le metodologie e le metriche di misurazione (FSB, 2025[10]).

Le autorità finanziarie italiane hanno accumulato un’esperienza significativa in tema di iniziative periodiche di raccolta dei dati presso i soggetti vigilati. La Banca d'Italia (BdI) conduce l'indagine FinTech per esaminare il livello di adozione di innovazioni tecnologiche nei servizi finanziari. L’edizione 2025 di questo esercizio biennale, che ha luogo dal 2017, ha incluso un capitolo dedicato all'uso dell'IA e alle implicazioni del recepimento del regolamento sull’IA (AI Act) (BdI, 2025[11]). Inoltre, nel 2025 la Banca d'Italia ha avviato una nuova rilevazione sugli operatori Fintech italiani non regolamentati, a integrazione della precedente rilevazione. La Banca d’Italia pubblica altresì modelli per l'autovalutazione dei rischi ICT e raccoglie dati nell’ambito dell’indagine regionale sul credito bancario (Regional Bank Lending Survey, RBLS) che esamina, tra l'altro, in che modo la digitalizzazione dei servizi bancari incida sulla struttura geografica degli intermediari e sulle relazioni tra le succursali regionali e le rispettive sedi centrali (BdI, 2022[12]). Altre indagini recenti includono la rilevazione 2023 sull’IT nel settore bancario italiano riguardante l’IA generativa (GenAI), condotta dalla Convenzione Interbancaria per l'Automazione (CIPA) e dall’ABI (CIPA, 2024[13]), nonché l'indagine economica annuale della CIPA (CIPA, 2025[14]).

La CONSOB e l'IVASS stanno inoltre monitorando attivamente l'adozione dell'IA nei settori vigilati, principalmente sulla base della documentazione periodica di vigilanza, dell’interazione diretta con i soggetti vigilati, nonché del dialogo con il mondo accademico e gli altri soggetti interessati. Tra gli esempi indicativi delle iniziative di raccolta dei dati figurano uno studio della CONSOB sull’evoluzione dell’utilizzo dell'IA nel settore della gestione patrimoniale, condotto nel 2021 con Assogestioni (CONSOB, 2022[15]), e la partecipazione all'indagine condotta dall’ESMA nel 2025 sul livello di adozione dell'IA da parte delle istituzioni finanziarie nel settore dei valori mobiliari (ESMA, 2026[16]), nonché un'indagine dell'IVASS sull'utilizzo degli algoritmi di machine learning da parte delle imprese di assicurazione nei loro rapporti con gli assicurati (IVASS, 2023[17]). È possibile ricavare dati relativi all'IA a partire da altre segnalazioni obbligatorie.

Queste iniziative mettono in luce le solide basi della raccolta di dati condotta dalle autorità finanziarie italiane sull'innovazione in materia di finanza digitale nel settore finanziario. Anziché affidarsi a metodologie distinte di raccolta dei dati, le autorità di vigilanza italiane potrebbero valutare l'opportunità di migliorare i sistemi di raccolta dei dati esistenti così da osservare con maggiore granularità l'adozione e la sperimentazione dell'IA, in una prima fase attraverso un più stretto coordinamento tra le iniziative delle autorità e gli sforzi volti ad allinearsi a definizioni comuni. Gli sforzi di cooperazione potrebbero essere gradualmente intensificati, partendo da un maggiore coordinamento tra le istituzioni sui contenuti delle indagini fino ad arrivare alla possibile realizzazione di un'indagine congiunta specifica sull’IA. Qualunque esercizio intersettoriale dovrebbe essere attentamente strutturato per assicurare una comparabilità significativa tra i sottosettori dell'attività finanziaria, tenendo conto delle specificità di ciascuno di essi. Diverse iniziative nazionali delle autorità finanziarie italiane riflettono già questo approccio (ad esempio la tassonomia della Banca d’Italia in materia di innovazione, integrata dall'IVASS per il settore assicurativo). Inoltre, l'armonizzazione delle definizioni e delle metodologie dovrebbe essere conforme alle iniziative a livello dell'UE, in quanto gli orientamenti europei svolgeranno un ruolo fondamentale nel rafforzamento della comparabilità e nella riduzione degli oneri di segnalazione. Si potrebbe altresì considerare il possibile ruolo delle autorità statistiche nel contribuire alle attività di raccolta dei dati.

Nel tempo le autorità di vigilanza italiane potrebbero valutare un approccio intersettoriale armonizzato che promuova coerenza e comparabilità, riducendo al contempo gli oneri derivanti dalla somministrazione di molteplici indagini per i soggetti vigilati che operano in diversi sottosettori. Tali esercizi coordinati di raccolta dei dati a livello di settore potrebbero essere condotti con cadenza periodica (ad esempio ogni due-tre anni), utilizzando preferibilmente un modello comune e garantendo l'allineamento di definizioni, metodologie e cicli di segnalazione. Idealmente, tale monitoraggio dovrebbe essere incorporata negli assetti organizzativi interni, ad esempio istituendo gruppi di coordinamento dedicati. In questo contesto, il coordinamento tra i referenti delle diverse autorità finanziarie italiane, messo a punto per questo progetto, potrebbe rappresentare un punto di partenza. Tale iniziativa di classificazione potrebbe anche comportare l'individuazione di differenze fondamentali tra l'IA e altre tecnologie attualmente sottoposte a vigilanza.

Quattrocentocinquanta istituzioni finanziarie italiane hanno completato l’indagine condotta nell’ambito del progetto dell’OCSE. Il numero di intervistati e la copertura di tutti i principali sottosettori dell'industria finanziaria italiana forniscono un campione rappresentativo e una nuova preziosa base di conoscenze sull’impiego dell'IA nel settore finanziario italiano. Altre giurisdizioni dell'OCSE hanno condotto indagini analoghe, sebbene con un numero inferiore di intervistati (400 in Svizzera e tra 200 e 100 in Finlandia, Giappone, Svezia e Regno Unito) (FINMA, 2025[18]; FIN-FSA, 2025[19]; Bank of Japan, 2025[20]; Finansinspektionen, 2024[21]; Bank of England and FCA, 2022[22]). Le autorità italiane di vigilanza finanziaria potrebbero partire dai risultati di questi progetti e prendere in considerazione la possibilità di condurre analoghe indagini di settore su base periodica, per rafforzare le loro attività di monitoraggio, ad esempio aggiungendo una parte distinta nell'indagine FinTech della Banca d’Italia o in altri questionari esistenti.

Le autorità finanziarie italiane potrebbero lavorare alla raccolta di dati più granulari riguardanti l'IA, che potrebbero includere l'incorporazione di nuove metriche di adozione dell'IA, attingendo all'indagine condotta nell'ambito del progetto dell'OCSE del 2025 e agli indicatori di rischio per la stabilità finanziaria proposti dall'FSB. Ad esempio, potrebbero essere riutilizzate le metriche impiegate per l'indagine del progetto relative ai dettagli tecnici dei modelli di IA adottati, agli assetti di governance e ai vincoli a un'adozione più ampia, aggiornandole alla luce dei temi emersi più di recente. Le nuove metriche di adozione dell'IA potrebbero anche includere gli indicatori relativi al rischio proposti dall'FSB tra i suoi strumenti per la gestione e la sorveglianza dei rischi derivanti da terzi. Un rapporto dell'FSB del 2025 ha individuato un ampio insieme di indicatori diretti e indiretti che facilitano il monitoraggio efficiente dell'adozione dell'IA e delle connesse vulnerabilità nel settore finanziario. L'FSB promuove la convergenza di tali indicatori con le metriche nazionali, unitamente a una più intensa condivisione dei dati tra le autorità dei diversi paesi (FSB, 2025[10]).

Le società finanziarie italiane svolgono un ruolo significativo nel mercato unico dell'UE e molte società operano all'interno di gruppi di gruppi multinazionali, in particolare le infrastrutture dei mercati finanziari (IMF). Il monitoraggio dell'attività di tali istituzioni può rappresentare una sfida per le autorità nazionali, ulteriormente accentuata dalla complessità tecnica delle tecnologie di IA e dalle interconnessioni con i fornitori terzi di IA.

La convergenza tra le iniziative di raccolta dei dati a livello dell’UE potrebbe contribuire ad aumentare la visibilità di tali operazioni, a beneficio delle attività di monitoraggio sia a livello nazionale sia a livello UE. Ciò contribuirebbe a ridurre gli oneri per i soggetti vigilati che sono obbligati a rispondere a più richieste, talvolta divergenti, migliorando al contempo la qualità dei dati raccolti. È necessario promuovere una più stretta convergenza tra le iniziative di raccolta dei dati da parte delle autorità europee di vigilanza (AEV) al fine di favorire una maggiore coerenza, in quanto le considerevoli risorse necessarie alla raccolta di dati su base periodica, insieme alla complessità intrinseca delle tecnologie di IA4, potrebbero comportare difficoltà per le autorità nazionali di vigilanza finanziaria (OECD, 2026[1]).

Il coordinamento della raccolta dei dati a livello dell’UE potrebbe rivelarsi utile grazie alla condivisione strategica delle competenze, della capacità istituzionale e del miglioramento dei dataset derivanti dall'aggregazione dei dati provenienti da vari settori e giurisdizioni dell'UE (OECD, 2026[1]). Le autorità di vigilanza italiane sono incoraggiate a continuare a svolgere un ruolo attivo nelle iniziative dell'UE, contribuendo agli esercizi di raccolta dei dati, facendo leva sugli elementi emersi nell'indagine di progetto e facendo confluire nel dibattito europeo tutte le informazioni ricavate a livello nazionale. Le informazioni di elevata qualità fornite dagli Stati membri dell'UE consentono risposte più tempestive a livello europeo, che tengono conto delle differenze nazionali. Allo stesso tempo, si dovrebbe prestare particolare attenzione a evitare inutili duplicazioni di raccolta dei dati tra le iniziative nazionali e quelle sovranazionali.

Inoltre, l'armonizzazione della terminologia e degli approcci metodologici a livello dell'UE potrebbe contribuire a incrementare la comparabilità dei dati raccolti a livello domestico, sostenendo nel contempo l'adozione di una tassonomia uniforme a livello nazionale. L'Italia, insieme ad altri Stati membri dell'UE, potrebbe beneficiare dalla standardizzazione di tali metriche a livello europeo. In questo contesto, il rafforzamento della cooperazione e della condivisione delle informazioni tra le autorità sarebbe pertanto fondamentale per realizzare un sistema di riferimento coerente di raccolta dei dati.

Le AEV svolgono un ruolo strategico nel coordinamento delle iniziative di raccolta dei dati a livello dell'UE. Tale convergenza dovrebbe estendersi anche alle attività del Meccanismo di vigilanza unico'(MVU), in quanto un maggiore allineamento tra le indagini delle AEV e le iniziative a livello di MVU contribuirebbe a ridurre gli oneri per i soggetti vigilati, rafforzando nel contempo la coerenza complessiva della raccolta di dati di vigilanza nel settore finanziario dell'UE.

Le AEV hanno condotto indagini approfondite sull'adozione dell'IA nei diversi Stati membri dell'UE. In particolare, nel 2025 l'ESMA ha pubblicato uno studio sull'adozione dell'intelligenza artificiale nei fondi di investimento dell'UE (ESMA, 2025[23]). A febbraio 2026 l’ESMA ha pubblicato un articolo contenente una valutazione delle tendenze recenti connesse all’impiego dell'IA nei mercati dei titoli, basato su un'indagine condotta nell'estate del 2025 nell'UE (ESMA, 2026[16]). Nel 2021 l'ABE ha pubblicato un documento sull’utilizzo del machine learning nel contesto dei modelli IRB (EBA, 2021[24]). Anche l'EIOPA ha pubblicato indagini sulla digitalizzazione del settore assicurativo dell'UE, inclusa l'adozione di IA, Blockchain e Internet of Things (IoT). Il rapporto dell'EIOPA del 2024 comprende i risultati di un'indagine condotta a livello di mercato dell’UE nel 2023, che esaminava le dinamiche, le opportunità e i rischi delle iniziative di digitalizzazione nel settore assicurativo (EIOPA, 2024[25]).

Iniziative di raccolta dei dati maggiormente formalizzate e di carattere periodico potrebbero aggiungersi ai canali di comunicazione informali già attivi tra le autorità finanziarie nazionali e le corrispondenti autorità all’interno dell'UE. In particolare, tali canali stanno diventando progressivamente più formalizzati e diffusi5. Il coordinamento è fondamentale per assicurare la convergenza della vigilanza all’interno dell'UE e per attuare principi coerenti di proporzionalità e vigilanza basata sul rischio6.

Le istituzioni italiane che hanno risposto all'indagine del progetto hanno identificato la chiarezza e l'allineamento della regolamentazione come il vincolo più rilevante alla diffusione dell'IA. Una percentuale significativa di intervistati ha segnalato l'assenza di orientamenti di vigilanza come un fattore che incide sulla percezione di mancanza di chiarezza, insieme ad altre criticità di natura regolamentare. Per promuovere lo sviluppo di un'IA sicura e innovativa è fondamentale una solida comprensione dell'interazione tra le norme specifiche del settore già in vigore e il nuovo regime specifico dell'IA, nonché l'elaborazione di un'adeguata risposta di vigilanza che eviti sovrapposizioni, garantendo nel contempo una copertura coerente dei rischi.

Affrontare questa sfida richiederà sforzi mirati a livello dell'UE per ridurre l'incertezza percepita e promuovere risultati coerenti in tutti gli Stati membri in ambito normativo, rafforzando in ultima analisi la competitività dell'UE nell'innovazione in materia di IA in maniera sicura e responsabile, salvaguardando nel contempo i diritti fondamentali e garantendo la tutela dei consumatori nel comparto finanziario. Le aspettative e gli orientamenti di vigilanza potrebbero fornire maggiore chiarezza al settore finanziario quanto ai requisiti regolamentari e alle modalità per soddisfarli, favorendo al contempo esiti regolamentari più coerenti (OECD, 2026[1]).

L’emanazione di orientamenti destinati al pubblico richiede chiarimenti a livello UE sui requisiti normativi (ad esempio mediante standard e linee guida), seguiti da un coordinamento tra le autorità nazionali per evitare frammentazioni normative o disallineamenti nei tempi di attuazione. Il rischio di incoerenze e lacune nella sorveglianza regolamentare, in particolare per le istituzioni finanziarie mondiali, potrebbe portare a una frammentazione indesiderata in tutta l'UE e creare spazi suscettibili di arbitraggio regolamentare, evidenziando l'importanza della convergenza a livello UE7. Gli orientamenti di vigilanza potrebbero assumere forme diverse, come la pubblicazione di chiarimenti o aspettative di vigilanza o essere comunicati attraverso l'interlocuzione con il settore (OECD, 2026[1]). Ad esempio, nel Regno Unito la Bank of England e l'FCA hanno pubblicato un discussion paper riguardante aspetti specifici del quadro regolamentare applicabile all'uso dell'IA nei mercati finanziari britannici, fornendo una panoramica delle regole e degli orientamenti chiave nell'ambito del quadro esistente più rilevanti nel mitigare il rischio associato all'IA (OECD, 2024[26]).

Gli orientamenti forniti dovrebbero essere elaborati e calibrati con molta attenzione anzitutto a livello UE, senza essere eccessivamente prescrittivi, per evitare un effetto negativo sull'adozione dell'IA ostacolando la capacità delle imprese di esplorare con flessibilità l'uso delle nuove tecnologie, preservando al contempo il più elevato standard di tutela dei diritti fondamentali. Ogni iniziativa dovrebbe rimanere compatibile con il pertinente quadro normativo in vigore, pur riconoscendo che non tutti i sistemi di intelligenza artificiale presentano i medesimi rischi. L'approccio regolamentare e di vigilanza dovrebbe preferibilmente essere basato su principi e calibrato sui rischi e sugli impatti associati a specifici casi d'uso dell'IA, facendo leva sulle salvaguardie di vigilanza già esistenti (OECD, 2026[1]).

Promuovere l'armonizzazione a livello UE degli orientamenti di vigilanza, agevolata dall'interpretazione comune e dagli orientamenti elaborati dalle autorità dell'UE, può assicurare coerenza nell'applicazione degli approcci di vigilanza in tutti gli Stati membri ed evitare la frammentazione normativa, dotando al contempo le autorità nazionali degli strumenti adatti a monitorare il rispetto dei nuovi quadri normativi, come l’IA Act8.

Le autorità di vigilanza dell'UE monitorano attivamente l'applicazione del quadro normativo e di vigilanza per le tecnologie dell'IA e, ove necessario, emanano orientamenti. L'ESMA ha pubblicato, tra l'altro, orientamenti su: l'utilizzo di sistemi automatizzati per la prestazione di servizi di consulenza in materia di investimenti e di gestione di portafogli (ESMA, 2018[27]); l'uso dell'IA nella prestazione di servizi di investimento al dettaglio (ESMA, 2024[28]) e un avvertimento agli investitori in merito all'uso dell'IA per investire (ESMA, 2025[29]). Nel 2020 l'ABE ha pubblicato orientamenti in materia di concessione e monitoraggio dei prestiti (EBA, 2020[30]). L'EIOPA ha pubblicato, ad esempio: un rapporto che definisce i principi di governance di un’intelligenza artificiale etica e affidabile nel settore assicurativo (EIOPA, 2021[31]); un parere su governance e gestione dei rischi dell'IA (EIOPA, 2025[32]). Altre autorità dell'UE stanno monitorando la necessità di pubblicare orientamenti per questioni indirettamente connesse al settore finanziario, come la protezione dei dati.

Le autorità di vigilanza italiane dovrebbero continuare a contribuire attivamente alle iniziative dell'UE in corso per la semplificazione del quadro normativo applicabile all'IA, con particolare attenzione al settore finanziario, fermo restando che ciascuna autorità di vigilanza italiana continua a mantenere la responsabilità primaria per le attività finanziarie che rientrano nelle rispettive competenze designate. Le autorità finanziarie italiane hanno osservato che l’attuazione degli obblighi derivanti dall’AI Act richiederà intensi sforzi di coordinamento tra le autorità, sia a livello nazionale sia dell'UE, compresa la cooperazione con le autorità non finanziarie coinvolte9. Una chiara definizione dei ruoli e una migliore interlocuzione tra autorità orizzontali e settoriali dovrebbero fornire maggiore chiarezza al mercato, nel rispetto del mandato di ciascuna istituzione. Inoltre, un esercizio comparativo tra giurisdizioni dell'UE potrebbe contribuire a individuare le migliori prassi di vigilanza per specifici casi d'uso dell'IA10.

Inoltre, la cooperazione internazionale, ad esempio attraverso la condivisione di informazioni e la partecipazione a consessi internazionali, promuove l'allineamento tra le diverse giurisdizioni, con benefici anche alle autorità nazionali (OECD, 2026[1]). Le autorità italiane dovrebbero continuare a partecipare attivamente alle iniziative e ai dibattiti internazionali in materia di coordinamento nell’ambito dell’AI, come nei consessi organizzati dall'OCSE o dall'FSB, beneficiando così anche delle indicazioni provenienti da giurisdizioni non appartenenti all'UE.

Più in generale, a livello regionale, le autorità dell'UE dovrebbero continuare a perseguire gli sforzi di semplificazione in corso e rafforzare le iniziative per gestire le incertezze percepite derivanti dalla nuova legislazione e dalla sua sovrapposizione con le norme specifiche del settore già in vigore, nonché con altre norme applicabili. Chiarimenti di alto livello sugli obblighi regolamentari applicabili, unitamente alle aspettative e agli orientamenti di vigilanza, potrebbero contribuire a mitigare l'ambiguità percepita e fornire certezza giuridica, facilitando sia la governance interna sia ulteriori investimenti nell'innovazione in materia di IA. Ciò assume particolare rilievo dal momento che le autorità italiane hanno già segnalato alcune aree che beneficerebbero di un'interpretazione più chiara, in relazione alla governance e alla gestione dei rischi, nonché ai requisiti di spiegabilità11. Le parti interessate potrebbero beneficiare di ulteriori chiarimenti sulle esclusioni dalla definizione normativa dell'IA di semplici tecniche statistiche, quali la regressione lineare o logistica che rilevano applicazioni predittive, oltre a sistemi finalizzati all'ottimizzazione matematica.

Molti partecipanti all'indagine del progetto hanno espresso timori in merito all'applicazione dell’AI Act e alla sua sovrapposizione con la regolamentazione specifica del settore già esistente. Chiarire il modo in cui tale regolamento interagisce con i quadri preesistenti potrebbe aiutare le imprese a gestire più efficacemente gli obblighi di conformità e promuovere la certezza giuridica e la coerenza in tutta l'UE12.

Le istituzioni dell'UE stanno monitorando attivamente la necessità di chiarire i requisiti derivanti dall’AI Act di recente emanazione. L'ESMA sta attualmente adottando misure per facilitare la valutazione, da parte delle autorità nazionali competenti (ANC), delle tendenze di mercato in materia di IA, sostenendo il rafforzamento delle capacità di vigilanza in materia di IA, nonché per identificare eventuali lacune e le sovrapposizioni tra l’AI Act e i regolamenti specifici del settore in materia. L'ABE EBA? sta attualmente lavorando per promuovere un’attuazione coordinata e coerente del regolamento in tutto il settore bancario e dei pagamenti dell'UE, ad esempio attraverso una scheda informativa di sintesi pubblicata sul sito Internet dell'ABE EBA? nel novembre del 2025 (EBA, 2025[33]). La Banca d'Italia ha promosso l'istituzione di un network informale con molte altre autorità prudenziali e di mercato dell'UE, in relazione all’attuazione del regolamento in corso. Inoltre, la strategia dell'MVU ha incluso dei seminari sull'IA nell'ambito delle priorità di vigilanza. Un parere dell'EIOPA fornisce ulteriori chiarimenti sui principi fondamentali della normativa settoriale delle assicurazioni applicabili ai sistemi di IA, anche se non considerati come vietati o ad alto rischio ai sensi dell’ AI Act (EIOPA, 2025[32]). Inoltre, l'EU Supervisory Digital Finance Academy, istituita dalle AEV e dalla Commissione europea, fornisce una formazione relativa all'IA al personale delle ANC, come specificato nella sezione 3.2.8.

La definizione di orientamenti integra il quadro normativo esistente, in larga misura neutrale rispetto alla tecnologia, tenendo conto al contempo delle caratteristiche peculiari delle tecnologie di IA e delle sfide pratiche di coordinamento dovute ai diversi livelli di maturità della regolamentazione settoriale13. Le istituzioni finanziarie sembrano avere particolari difficoltà con l'applicazione dei quadri di gestione dei rischi connessi all'IA, con i requisiti di spiegabilità e con le questioni relative all'affidabilità dei risultati (OECD, 2026[1]).

Le autorità italiane potrebbero prendere in considerazione il consolidamento e l'armonizzazione degli esercizi di classificazione esistenti, per garantire che le differenze settoriali siano comunicate a livello dell'UE e possibilmente affrontate nei chiarimenti. A questo proposito, la Banca d'Italia, di concerto con altre ANC, sta individuando le aree in cui sono necessari ulteriori orientamenti sull'uso dell'IA nel settore bancario14. Nel comparto assicurativo sono state rilevate particolari criticità nell'applicazione di nuovi requisiti in materia di IA (e del regime delle eccezioni) ai complessi modelli statistici impiegati dagli assicuratori molto prima della vasta diffusione dell'intelligenza artificiale generativa (GenAI) sul mercato15. Le autorità italiane sono coinvolte nell'elaborazione di linee guida a livello UE sull'interazione l’AI Act e la normativa UE sui servizi finanziari. Allo stesso modo, il ruolo delle autorità italiane è fondamentale per comunicare efficacemente i risultati delle attività di chiarimento compiuti a livello dell'UE nei confronti dei soggetti vigilati sul mercato interno.

Le autorità finanziarie italiane potrebbero anche considerare di pubblicare chiarimenti di alto livello, rivolti al pubblico, sugli aspetti pratici della sperimentazione e delli impiego dell'IA da parte del settore finanziario, compreso il trattamento dei dati per l'addestramento e la sperimentazione. Ciò potrebbe tener conto del nuovo regolamento sull'intelligenza artificiale, senza creare ulteriori livelli di regolamentazione, nel rispetto delle differenze tra i diversi settori e coinvolgendo autorità al di fuori del tradizionale ambito di applicazione della regolamentazione finanziaria. Tali chiarimenti dovrebbero essere scrupolosamente allineati ai principi e agli obiettivi definiti o in corso di emanazione a livello europeo e in stretto coordinamento con le autorità europee.

In particolare, la maggior parte dei partecipanti all'indagine del progetto non riscontra conflitti rilevanti con le norme settoriali o con i requisiti normativi esistenti. Piuttosto, le imprese richiedono un orientamento regolamentare più coordinato e proporzionato, adattato alle particolari tipologie di casi d'uso del settore finanziario. Ulteriori chiarimenti possono contribuire a garantire la certezza giuridica per le imprese, con potenziale miglioramento dell'innovazione e della fiducia per gli investimenti diretti nella sperimentazione dell'IA (OECD, 2026[1]).

Chiarimenti attentamente calibrati potrebbero fare riferimento ad esempi pratici di ostacoli individuati dai soggetti vigilati, relativi a specifici casi d'uso dell'IA e all’attività di sperimentazione. Fornire orientamenti interpretativi e chiarimenti pratici sui principi di alto livello esistenti o in fase di emanazione, ad esempio in relazione a una chiara distinzione tra le applicazioni dell'IA a sostegno dei processi interni o operativi e quelle che incidono direttamente sul processo decisionale, sull'integrità del mercato o sui risultati per i consumatori, potrebbe aiutare le imprese a organizzare robusti assetti di governance interna (OECD, 2026[1]). Tali orientamenti dovrebbero evitare la prescrizione eccessiva degli obblighi di conformità, in particolare per gli enti di minori dimensioni, che hanno segnalato problemi di conformità normativa durante gli incontri bilaterali nell'ambito del progetto.

Inoltre, considerando la velocità di progresso della tecnologia, orientamenti eccessivamente prescrittivi potrebbero divenire presto obsoleti. Come rilevato nell'indagine del progetto, attualmente il 39% degli intervistati utilizza l'IA nell'ambito delle proprie attività, indicando che l'adozione dell'IA non è ancora diffusa in misura pervasiva. Sebbene ciò possa lasciare spazio all’ipotesi che le autorità di vigilanza possano emanare orientamenti a tempo debito, un simile approccio deve essere bilanciato rispetto alla diffusa percezione di scarsa chiarezza, in particolare per quanto riguarda la conformità ai requisiti del nuovo regolamento sull'intelligenza artificiale.

A livello pratico, le autorità italiane potrebbero valutare l'opportunità di includere nei chiarimenti rivolti al pubblico le questioni di regolamentazione e di vigilanza che emergono nelle loro interazioni con gli operatori del settore attraverso strumenti facilitatori dell'innovazione, tra le altre forme di cooperazione tra pubblico e privato (cfr. le sezioni 3.2.5 e 3.2.6).

Le imprese italiane che hanno risposto all'indagine condotta nell'ambito del progetto dell'OCSE hanno individuato nel rispetto dei requisiti in materia di protezione dei dati un ostacolo significativo alla diffusione dell'IA, sottolineando in particolare la complessità del rispetto delle norme imposte dal Regolamento generale sulla protezione dei dati (General Data Protection Regulation - GPDR). Da sottolineare che tali evidenze riflettono la percezione degli intervistati in merito all'onere amministrativo, piuttosto che suggerire che i quadri di protezione e governance dei dati ostacolino in modo sostanziale lo sviluppo o l'adozione di sistemi di IA (inclusi i requisiti specifici del settore prescritti nella direttiva sui requisiti patrimoniali o nella direttiva in materia di assicurazione e riassicurazione). Va notato, tuttavia, che esistono sia analogie sia divergenze tra i principi dell'IA e i principi in materia di privacy (OECD, 2024[34]).

Sebbene le questioni relative alla conformità in materia di protezione dei dati personali non rientrino nei mandati delle autorità di vigilanza finanziaria, queste potrebbero prendere in considerazione il rafforzamento della cooperazione, del coordinamento e della condivisione delle informazioni con le autorità di protezione dei dati nazionali ed europee (Data Protection Authorities – DPAs). I risultati dell'indagine del progetto mostrano che le società finanziarie italiane chiedono maggiore chiarezza riguardo all'applicazione degli obblighi di protezione dei dati in un contesto finanziario specifico. Inoltre, il settore evidenzia la necessità di chiarimenti sul trattamento dei dati non disciplinati dal GDPR utilizzati per l'addestramento e la sperimentazione (ad esempio dati non personali, pubblici o dataset sintetici), soggetti a un livello di protezione ridotto, ma con implicazioni per la liceità del trattamento, per la minimizzazione dei dati e per le questioni di tracciabilità e di rischio di modello, tra cui la propagazione del bias e l'inferenza involontaria dei dati personali.

La conformità ai quadri di governance dei dati è stata segnalata come criticità per la diffusione dell'IA nelle economie dell'OCSE. L'efficienza e la robustezza dei modelli di intelligenza artificiale dipendono fortemente dalla qualità dei dati utilizzati per il loro addestramento, per la probabilità che errori o bias possano tradursi in risultati potenzialmente distorti o discriminatori (OECD, 2021[35]). L'opacità e la mancanza di spiegabilità dei sistemi di intelligenza artificiale limitano ulteriormente la capacità dei supervisori di esaminare la possibilità di risultati distorti o ingiusti. Pertanto, i compiti di vigilanza includono in misura crescente la promozione di prassi efficienti in materia di governance dei dati, necessarie per dare struttura a grandi quantità di dati non strutturati utilizzati per lo sviluppo di modelli di intelligenza artificiale (OECD, 2026[1]).

A livello UE, la proposta legislativa “digital omnibus” della Commissione europea compie progressi concreti verso la razionalizzazione dei requisiti normativi relativi all'IA e alla governance dei dati, con l'obiettivo di apportare notevoli sgravi amministrativi. Il pacchetto legislativo dovrebbe migliorare l'accesso ai dati consolidando varie normative sui dati, semplificando le segnalazioni in materia di cybersicurezza e offrendo nuovi orientamenti (EU, 2025[36]). Mentre il digital omnibus rimane una proposta, le autorità finanziarie italiane hanno l'opportunità di impegnarsi nei dibattiti in corso, ad esempio identificando i settori in cui i soggetti vigilati, in particolare le imprese di minori dimensioni, potrebbero beneficiare di chiarimenti più ampi sui requisiti di protezione e governance dei dati. Una volta individuati tali criticità, le autorità finanziarie italiane potrebbero valutare la possibilità di collaborare con l'autorità per la protezione dei dati, al fine di comunicare ai soggetti vigilati chiarimenti su tali questioni. Le autorità potrebbero promuovere, all’interno del settore, iniziative volte a reperire soluzioni pratiche ai problemi rilevati. Si potrebbe inoltre valutare la diffusione di una maggiore consapevolezza sull'utilizzo di strumenti tecnici e organizzativi a supporto di prassi robuste di governance dei dati da parte dei soggetti vigilati. L'osservatorio dell'OCSE sull'IA gestisce un catalogo di strumenti e metriche che mirano a promuovere un'IA affidabile (OECD.AI, 2026[37]). Altre categorie di strumenti procedurali e formativi possono contribuire all'orientamento operativo e agli sforzi di miglioramento delle competenze per tutti gli stakeholder. Misure quali metriche di verifiche della correttezza e strumenti di attenuazione dei bias potrebbero essere suggerite come possibili integrazioni ai quadri interni di governance dei dati (OECD.AI, 2026[37]).

La natura trasversale dell'IA e il rischio di frammentazione normativa che comporta l'interazione tra normative orizzontali e regole finanziarie settoriali evidenziano la necessità di un coordinamento strutturato tra le autorità di vigilanza finanziaria e le autorità non finanziarie (protezione dei dati, concorrenza, cybersicurezza). Quadri più armonizzati per l'interazione con le autorità non finanziarie nonché sinergie per la cooperazione tra le autorità di regolamentazione, come quelle avviate in sede OCSE, potrebbero essere cruciali per chiarire le sfide incontrate dagli operatori del settore finanziario nell’impiego dell'IA.

In Italia la legge 132/2025 "Disposizioni e deleghe al Governo in materia di intelligenza artificiale" designa l'Agenzia per l'Italia digitale (AgID) e l'Agenzia per la cybersicurezza nazionale (ACN) quali autorità nazionali per l'intelligenza artificiale. Ciò lascia impregiudicati i ruoli delle autorità di vigilanza finanziaria (Banca d'Italia, CONSOB e IVASS), che sono altresì designate quali autorità di vigilanza del mercato ai sensi e in conformità dell'articolo 74, paragrafo 6, del regolamento (UE) 2024/1689. Pertanto, l'applicazione della legge italiana sull'IA prevederà la cooperazione tra le diverse autorità, che potrebbe essere integrata con scambi meno formalizzati e rispondere alle sfide emergenti.

Gli organi dell'UE responsabili della protezione dei dati, vale a dire il Comitato europeo per la protezione dei dati (European Data Protection Board, EDPB), insieme alle autorità nazionali di protezione dei dati, stanno attivamente monitorando la necessità di fornire chiarimenti in merito all'applicabilità dei requisiti all'impiego dei modelli di IA. Ad esempio, nel 2024 il Comitato europeo per la protezione dei dati ha adottato un parere sull'uso dei dati personali per lo sviluppo e la diffusione di modelli di IA (EDPB, 2024[38]). A livello nazionale, l'Autorità italiana per la protezione dei dati (Garante per la protezione dei dati personali) sta lavorando alla stesura di orientamenti per l'applicazione delle tecnologie di IA in settori specifici, compreso l'uso dell'IA nei servizi sanitari, tra le forze dell'ordine o per l'individuazione dell'evasione fiscale (Garante, 2024[39]).

Senza pregiudicare i mandati degli organi responsabili della protezione dei dati, le autorità finanziarie italiane dovrebbero valutare un maggiore coinvolgimento nei dibattiti in corso, per arricchirli con informazioni specifiche del settore finanziario. Ad esempio, chiarimenti su ciò che costituirebbe un interesse legittimo come base giuridica per la raccolta dei dati potrebbero essere particolarmente utili per l'addestramento di modelli di intelligenza artificiale da parte del settore finanziario (e non solo).

Inoltre, la cooperazione con le autorità non finanziarie potrebbe anche facilitare l'attuazione di altre considerazioni di policy relative al rafforzamento della governance dell'IA (cfr. le sezioni 3.2.3 e 3.2.4).

Per la gestione dei rischi dell'IA in ambito finanziario è fondamentale disporre di meccanismi efficaci e solidi per la governance organizzativa dell'IA, che dovrebbero comprendere sorveglianza umana, sicurezza, protezione e responsabilità, in conformità con quanto prescritto dai principi dell'OCSE sull’IA, il primo standard intergovernativo in materia adottato dal Consiglio dell'OCSE nel 2019 e aggiornato nel 2024 (OECD, 2019[2]). Gli utilizzatori delle tecnologie di IA, così come tutti gli attori coinvolti nel ciclo di vita del sistema dell’IA, dovrebbero garantire la sicurezza, la protezione e la robustezza dei sistemi di IA durante l’intero ciclo di vita e attenuare i rischi di danni (OECD, 2024[40]).16

Dall'indagine condotta nell’ambito del progetto dell'OCSE è emerso che le imprese finanziarie applicano attualmente un'ampia gamma di approcci alla governance dell'IA, con l'uso di strategie, linee guida, principi e/o codici di condotta tarati sull’utilizzo delle applicazioni dell'IA, nonché di sistemi di cybersicurezza e di rischio operativo segnalati tra gli assetti più comuni. Ciò crea un quadro stratificato ed eterogeneo che, pur efficace nell'affrontare le questioni emergenti, può tuttavia comportare una frammentazione a livello di policy e supervisione per specifici casi d’uso dell'IA (OECD, 2025[41]). Le iniziative di sostegno possono riguardare diversi aspetti discussi nella presente sezione, quali l’offerta di un quadro d’insieme o di assistenza intersettoriale sui sistemi di governance in uso o l'impegno su questioni specifiche relative ad accordi con terze parti non critiche, oppure il rafforzamento dei sistemi di resilienza cibernetica.

Le autorità italiane potrebbero prendere in considerazione la possibilità di sostenere e promuovere il rafforzamento degli assetti di governance organizzativa, assicurando che i consigli di amministrazione e l’alta dirigenza istituiscano una governance solida e proporzionata al rischio, con responsabilità ultima a carico del consiglio di amministrazione. In linea con i requisiti normativi, le autorità possono incoraggiare i consigli di amministrazione dei soggetti che utilizzano l'IA a definire strategie efficaci per il suo sviluppo e uso e ad adottare politiche solide per la gestione dei rischi associati, compresi quelli operativi, legali e reputazionali. I consigli di amministrazione dovrebbero riesaminare periodicamente il contributo dell'IA alla performance e garantire che l'alta dirigenza monitori e mitighi adeguatamente i rischi connessi con l'IA. Garantire la protezione, la sicurezza e la robustezza dei sistemi di IA dovrebbe coinvolgere anche i produttori (sicurezza integrata già in fase di progettazione). Le autorità italiane possono inoltre incoraggiare gli istituti vigilati a fornire alle autorità di vigilanza informazioni adeguate e tempestive in merito al loro utilizzo degli strumenti di intelligenza artificiale.

Le autorità italiane potrebbero prendere in considerazione la possibilità di sostenere strutture di governance più solide mediante un più stretto coinvolgimento dei soggetti vigilati o tramite orientamenti intersettoriali di alto livello che adottino un approccio basato sul rischio. Tale collaborazione dovrebbe sottolineare l'importanza di mantenere gli approcci normativi entro quadri definiti, riducendo in tal modo al minimo gli oneri amministrativi superflui e migliorando nel contempo la resilienza complessiva del sistema.

In linea con i principi dell'OCSE sull’IA, che raccomandano approcci sistemici alla gestione dei rischi nelle diverse fasi del ciclo di vita dei sistemi di IA, e con il regolamento UE sull’IA, si raccomanda un approccio basato sul rischio, poiché i rischi possono variare da un settore all’altro ed essere più marcati in determinati ambiti (ad esempio, rischi di privacy, cibernetici, di comportamenti discriminatori o di stabilità finanziaria), pur avendo vari livelli di impatto sull'integrità e sulla resilienza del mercato (OECD, 2023[42]). Tuttavia, mentre i processi, le operazioni, l'ambito di rischio, il ciclo di vita del sistema di IA e la terminologia specifica possono divergere, lo scopo finale dei quadri di governance dell'IA rimane lo stesso, ovvero il sostegno a un'IA responsabile, etica e affidabile (NIST, 2023[43]). Gli ambienti di governance per l'IA dovrebbero essere interoperabili, in modo da poter essere potenziati per finalità specifiche. Dovrebbero essere implementati robusti assetti di governance dei dati e dei modelli per i sistemi di IA con un'adeguata sorveglianza e validazione umana in tutti i segmenti del sistema finanziario.

L'assistenza intersettoriale può sostenere le imprese nell'adeguamento dei processi di governance esistenti. Il quadro potrebbe prevedere regole e orientamenti generali relativi alla definizione, alla valutazione, al trattamento e alla governance delle minacce individuate.

Le autorità di vigilanza italiane possono aiutare le imprese ad adottare adeguate strutture di governance dell'IA sulla base di evidenze desunte dai modelli attualmente utilizzati dagli operatori del settore finanziario. In particolare, le autorità potrebbero orientare gli operatori del settore finanziario italiano fornendo un'assistenza generica e di alto livello su diversi tipi di assetti di governance, in linea con un approccio graduale e in stretto coordinamento con le altre autorità italiane. Ciò potrebbe essere particolarmente vantaggioso per gli enti e le imprese di minori dimensioni che operano in diversi settori, agevolando nel contempo l'armonizzazione intersettoriale dei requisiti regolamentari (OECD, 2024[26]). La documentazione, la comunicazione e la comparabilità tra settori consentirebbero una sorveglianza più incisiva e una formulazione proattiva delle politiche a sostegno di una solida governance dell'IA (OECD, 2023[42]).

Inoltre, una misura pratica potrebbe essere l'elaborazione di una terminologia e di cataloghi di definizioni multisettoriali standardizzati dell'IA, che possono essere utilizzati come basi di riferimento comuni per i soggetti vigilati, nonché per le autorità di vigilanza, ottimizzando in tal modo i costi di conformità e di applicazione (OECD, 2023[42]). Tale esercizio potrebbe essere integrato nello sforzo generale di garantire la chiarezza dei nuovi regolamenti in materia di IA (cfr. la sezione 3.2.2)

Per sostenere lo sviluppo di strutture intersettoriali per la governance dell'IA nel settore finanziario, la cooperazione tra le autorità di vigilanza è un prerequisito fondamentale. È incoraggiata la costituzione formale di gruppi di lavoro intersettoriali che dovrebbero avere obiettivi e piani d’azione chiari, per sostenere e rafforzare la resilienza operativa, l’affidabilità e la fiducia delle parti interessate, sostenendo e incoraggiando nel contempo l'innovazione (GARP, 2025[44]). Si raccomanda inoltre di chiarire le aspettative di vigilanza alla luce della normativa dell'UE e di affrontare la percezione di una mancanza di chiarezza regolamentare, come discusso nella sezione 3.2.2. Inoltre, tali sforzi dovrebbero essere accompagnati da iniziative generali di formazione e sviluppo, come discusso nelle sezioni 3.2.7 e 3.2.8.

I fornitori terzi possono variare da un livello di criticità elevato a un livello non critico, il quale non è soggetto allo stesso livello di sorveglianza ai sensi del quadro di riferimento dell'UE. Tuttavia, i terzi “non critici” possono svolgere un ruolo chiave nel facilitare l'impiego dell'IA. Un coinvolgimento più stretto ed eventuali orientamenti potrebbero aiutare le imprese ad aumentare la trasparenza degli accordi con terze parti e a gestire i rischi associati. Ciò potrebbe anche contribuire a far fronte alle sfide connesse con la percezione generale di certezza normativa in merito all'applicabilità delle tecnologie emergenti e alla definizione di norme settoriali, come segnalato dai partecipanti all'indagine nell’ambito del progetto dell'OCSE e discusso nella sezione 3.2.2.

Il regolamento DORA garantisce la resilienza operativa del settore finanziario dell'UE. La sua attuazione può comportare alcune sfide legate alla mappatura delle terze parti e/o a questioni definitorie (ossia l'incertezza circa la classificazione dei fornitori terzi). Poiché gli obblighi principali previsti dal regolamento DORA continuano ad applicarsi agli enti finanziari che rientrano nel suo ambito di applicazione, i servizi connessi con l'IA, quali un chatbot per il servizio clienti, possono creare un potenziale rischio operativo e di conformità per gli enti finanziari.

Tenuto conto dei diversi assetti normativi e di sorveglianza applicabili alla gestione di terze parti (ossia il regolamento DORA per i fornitori di ICT, la direttiva MiFID II per l'esternalizzazione in generale) e del fatto che non tutte le terze parti possono essere soggette agli stessi requisiti regolamentari o di sorveglianza da parte delle autorità di vigilanza del settore finanziario, è essenziale promuovere la cooperazione intersettoriale tra le autorità competenti nei settori connessi ai mercati finanziari. Un approccio proattivo e multi-comparto può consentire un’individuazione efficiente in tempo reale dei rischi connessi all’utilizzo dell'IA, anche oltre il perimetro del settore finanziario (OECD, 2024[26]; FSB, 2024[45]; US Department of the Treasury, 2024[46]; ECB, 2024[47]).

Per quanto riguarda i fornitori terzi non critici, le sfide legate alla governance di tali fornitori dovrebbero aumentare con la proliferazione di strumenti basati sull’IA generativa (GenAI), in quanto l’impiego di questi strumenti è caratterizzato da un basso livello di trasparenza (OECD, 2023[48]). Quadri di governance solidi dovrebbero tenere conto dell'evoluzione del panorama tecnologico, considerando altresì l’autonomia di azione di qualsiasi sistema dotato di capacità di GenAI (OECD, 2024[26]; OECD, 2023[48]). In un contesto più ampio, le autorità italiane possono anche monitorare e considerare la questione della concentrazione dei servizi di terze parti in una prospettiva di rischio sistemico, come ampiamente discusso nei consessi internazionali (OECD and FSB, 2024[9]; FSB, 2024[45]).

La capacità di spiegare i risultati di un modello alle persone (caratteristica nota come spiegabilità) è fondamentale per garantire la trasparenza, la responsabilità e la creazione di un clima di fiducia tra i consumatori, anche attraverso l'uso di tecniche specifiche come SHAP o LIME. L'importanza della spiegabilità delle decisioni basate sull'IA può essere particolarmente rilevante per i mercati finanziari a causa di potenziali danni per i consumatori o persino di possibili rischi sistemici (OECD, 2023[48]; OECD, 2021[35]).

I principi dell'OCSE sull’IA, i principi fondamentali di Basilea e i principi fondamentali in materia di assicurazioni hanno tutti affrontato la questione della spiegabilità e sottolineato l'importanza di una validazione indipendente, di una valutazione delle disposizioni tecniche, garantendo l'idoneità allo scopo previsto e consentendo controlli e revisioni periodiche (Perez-Cruz et al., 2025[49]). La raccomandazione del Consiglio dell'OCSE sull'IA indica nella trasparenza e nella spiegabilità un principio complementare rilevante per tutte le parti interessate (OECD, 2024[40]).

A vari livelli nazionali, il Canadian Office of the Superintendent of Financial Institutions (OSFI), la Financial Services Agency of Japan (FSA), la Prudential Regulation Authority (PRA) del Regno Unito, il Federal Reserve Board (FRB) e lo US Office of the Comptroller of the Currency (OCC) sono tutti concordi riguardo alla necessità imprescindibile di garantire la spiegabilità dell’IA (Office of the Superintendent of Financial Institutions, 2025[50]; Financial Services Agency of Japan, 2021[51]; Bank of England, 2025[52]; Federal Reserve, 2025[53]; Office of the Comptroller of the Currency, 2021[54]).

I partecipanti all'indagine relativa al progetto hanno riferito che l'adozione di alcuni modelli di intelligenza artificiale è spesso limitata a causa di considerazioni di spiegabilità, specialmente in aree altamente regolamentate come il pricing, la sottoscrizione di polizze e la gestione dei sinistri. Ai sensi del regolamento della UE sull'IA, il principio di trasparenza impone che i sistemi di IA garantiscano spiegabilità e tracciabilità.

Le autorità italiane dovrebbero pertanto valutare la possibilità di promuovere un maggiore utilizzo di metodi di spiegabilità per i modelli di IA in modo proporzionato, dato l'attuale uso limitato di tali strumenti. Poiché non esiste un unico approccio “corretto” alla spiegabilità, le linee guida e il sostegno potrebbero includere principi basati sul rischio, che riflettano il livello di materialità dei diversi casi d’uso dell'IA specifici del settore finanziario e i relativi impatti potenziali. Una panoramica dei diversi assetti di governance attualmente in uso da parte delle imprese finanziarie italiane, come discusso in precedenza, potrebbe includere anche l'individuazione di diversi metodi di spiegabilità utilizzati dai soggetti vigilati. In altre parole, una ricognizione volta a mappare i metodi di spiegabilità attualmente impiegati dalle imprese del settore finanziario italiano contribuirebbe ad approfondire la comprensione di come tali metodi siano utilizzati nella pratica nei contesti di riferimento.

I soggetti vigilati dovrebbero essere incoraggiati a fornire alle autorità di vigilanza informazioni adeguate e tempestive sull'utilizzo degli strumenti di IA. L'assistenza intersettoriale proposta sui modelli di governance garantirebbe che diversi standard e soglie di spiegabilità siano coerenti con gli articoli 13, 27 e 50 del regolamento dell’UE sull’IA (European Union, 2024[55]), ma con un'attenzione più mirata ai mercati finanziari e alle attività correlate.

In linea con una spiegabilità più chiara, come richiesto dal regolamento sull'IA, sia i fornitori di servizi finanziari sia le autorità italiane dovrebbero promuovere l'alfabetizzazione dei consumatori in materia di IA nei servizi finanziari, che aiuta gli stessi a utilizzare i servizi finanziari basati sull'IA in modo sicuro e a riconoscere le frodi online, come il phishing e altri pericoli, riducendo il rischio di furto di account o di dati. L'alfabetizzazione in materia di IA dei consumatori di prodotti e servizi finanziari integra il quadro generale di tutela di tali consumatori, consentendo loro una migliore comprensione delle pratiche di comportamento online sicure, rafforzando in tal modo la fiducia nella finanza digitale in generale (World Bank, 2025[56]; OECD, 2025[57]).

A questo proposito, la raccomandazione dell'OCSE sull'alfabetizzazione finanziaria è il principale strumento mondiale riguardante tale alfabetizzazione, concepito per assistere i governi, le autorità pubbliche e le parti interessate nei loro sforzi volti a progettare, attuare e valutare le politiche in tale ambito (OECD, 2020[58]). Tale raccomandazione incoraggia i governi e le altre parti interessate a promuovere la comprensione delle caratteristiche e dei rischi dei prodotti e dei servizi finanziari tradizionali e innovativi e a consentire agli utenti di utilizzarli in modo consapevole, a seconda della loro situazione personale. Una scarsa alfabetizzazione digitale può inoltre limitare la capacità dei consumatori e degli investitori di utilizzare gli strumenti dell'IA a proprio vantaggio, cogliendone le opportunità e i rischi (OECD, 2023[59]). Inoltre, a settembre 2025 la Commissione europea ha emanato la comunicazione relativa a una strategia per la promozione dell'alfabetizzazione finanziaria (European Commission, 2025[60]), di cui dovrebbero avvalersi sia i fornitori sia le autorità italiane nel loro impegno volto a promuovere l'alfabetizzazione dei consumatori in materia di IA nei servizi finanziari. La strategia di alfabetizzazione finanziaria mira ad aiutare i cittadini a prendere decisioni finanziarie ponderate, migliorandone in ultima analisi il benessere, la sicurezza finanziaria e l'indipendenza. Nel contesto della crescita delle applicazioni dell'IA nei mercati finanziari, può rafforzare la capacità dei cittadini di avvalersi con fiducia di prodotti e servizi finanziari basati sull'IA, consentendo loro di beneficiare dell'innovazione in modo sicuro, responsabile e ben protetto.

Come rilevato nell'indagine condotta nell’ambito del progetto, quasi la metà (46 per cento) degli intervistati non ha messo in atto alcuna misura di sicurezza specifica per affrontare le emergenti minacce informatiche connesse con l’IA. Le autorità italiane dovrebbero considerare l'opportunità di sottolineare l'importanza cruciale di solidi assetti di resilienza cibernetica che affrontino i rischi connessi con l'IA, promuovendo il rafforzamento della preparazione specifica in ambito cibernetico dei soggetti vigilati riguardo all'utilizzo dell'IA, allineando al contempo tali sforzi con il quadro delineato nel regolamento DORA. Le autorità dovrebbero continuare a perseguire uno stretto coordinamento, a livello sia nazionale sia UE, con le agenzie di cybersicurezza, per assicurare che le imprese e i loro fornitori di servizi ICT rispettino i requisiti del regolamento DORA e attuino assetti efficaci di resilienza cibernetica per l'IA.

I principi dell'OCSE sull’IA affermano che i sistemi di IA dovrebbero essere robusti, sicuri e protetti, senza comportare rischi irragionevoli per la sicurezza e/o la protezione. Tali principi raccomandano che, se i sistemi di intelligenza artificiale rischiano di essere utilizzati per scopi malevoli (ad esempio deepfake)18, causano danni indebiti o evidenziano comportamenti indesiderati, essi possano essere annullati, riparati e/o disattivati in modo sicuro, a seconda delle necessità (OECD, 2024[40]). Sebbene l'OCSE non abbia ancora stabilito una definizione esplicita e formale di resilienza cibernetica, il concetto rientra nel più ampio quadro della sicurezza digitale (OECD, 2024[40]), oltre a costituire una raccomandazione esplicita riguardo all’applicazione di un approccio sistematico alla gestione dei rischi (OECD, 2024[40]).

Gli attori dell'IA sono tenuti ad adottare una strategia sistematica di gestione dei rischi durante ogni fase del ciclo di vita del sistema dell'IA, tenendo conto dei loro specifici ruoli, contesti e capacità. Ai sensi del regolamento sull'intelligenza artificiale, l'ambito di applicazione della gestione dei rischi dovrebbe affrontare questioni quali i pregiudizi dannosi, i diritti dell’uomo (tra cui sicurezza, protezione e privacy), nonché i diritti del lavoro e della proprietà intellettuale (OECD, 2024[40]).

L'articolo 19 del regolamento DORA impone obblighi di segnalazione alle autorità competenti degli incidenti informatici gravi, nonché di tutte le informazioni pertinenti, al fine di valutarne la rilevanza e le possibili ripercussioni transfrontaliere. Lo stesso articolo crea inoltre una base volontaria affinché le imprese finanziarie notifichino alle autorità competenti le minacce cibernetiche rilevanti che potrebbero avere un impatto sul sistema finanziario (EU, 2022[61]).

I principi dell'OCSE sull’IA sono coerenti con il regolamento DORA in quanto danno risalto a una governance proattiva e adattiva, in particolare attraverso la scansione degli scenari futuri, che mostra una stretta correlazione ai test di resilienza e alle misure di preparazione agli incidenti ai sensi del citato regolamento. Un ulteriore elemento di coerenza è rappresentato dalla promozione di una sicurezza digitale guidata dalle politiche, in linea con i protocolli di segnalazione degli incidenti e con gli obblighi di sorveglianza di terze parti previsti dal regolamento DORA (OECD, 2024[40]; EU, 2022[61]).

A tal fine, gli attuali protocolli operativi per lo scambio di informazioni e la segnalazione congiunta degli incidenti tra le autorità finanziarie e di cybersicurezza potrebbero essere integrati per affrontare minacce specifiche derivanti dall'IA, come gli attacchi contro i sistemi di IA e le vulnerabilità dei modelli, assicurando tempestività ed evitando al contempo la duplicazione degli sforzi per la conformità al regolamento DORA. Il coordinamento tra le autorità di vigilanza finanziaria e l'Agenzia per la cybersicurezza nazionale è fortemente incoraggiato, sostenuto da un quadro di segnalazione degli incidenti conforme ai principi dell'OCSE sull’IA, esteso anche alla cooperazione internazionale (OECD, 2024[40]). Le autorità di vigilanza sui mercati finanziari sono inoltre incoraggiate a promuovere la ricerca e lo sviluppo nell'ambito dell'IA, anche mediante iniziative intersettoriali e interdisciplinari (OECD, 2024[40]).

Le autorità italiane possono incoraggiare l'utilizzo di strumenti basati sull'IA per rafforzare la cybersicurezza e la resilienza operativa in tutto il settore finanziario italiano, in particolare per le IMF. Le iniziative potrebbero includere sistemi volontari di certificazione, reti collaborative come CERTFin, e la condivisione delle migliori prassi tra le istituzioni finanziarie, affrontando le minacce emergenti specifiche dell'IA come la manipolazione di modelli/dati ed elementi provenienti da attacchi esterni. Ciò è particolarmente rilevante nel contesto della “Dichiarazione sull'IA e sulla cybersicurezza” del G7 Cyber Expert Group, che richiede un monitoraggio continuo dei rischi connessi con l'IA (G7, 2025[62]).

Le autorità italiane potrebbero prendere in considerazione l'adozione di un approccio proporzionato e non prescrittivo, assicurando che le misure rimangano volontarie e di sostegno, aiutando nel contempo le imprese a individuare e mitigare i rischi connessi con l'IA in ambienti di sperimentazione pratica e apprendimento. Gli sforzi dovrebbero basarsi sulle recenti discussioni internazionali19, sugli scambi correnti di vigilanza e su seminari. Potrebbero fornire un contributo unico definendo l'IA sia come fonte di rischio operativo sia come strumento pratico per la difesa cibernetica, offrendo un sostegno concreto e basato sui dati sia alle istituzioni sia alle autorità di vigilanza, e riflettendo un approccio originale e su misura per l'ecosistema finanziario italiano.

Le autorità italiane potrebbero incoraggiare l'inclusione sistematica di scenari di rischio connesso all'IA nell’ambito dei quadri esistenti in materia di resilienza operativa e di test cibernetici, come il regolamento DORA e TIBER-EU, con particolare attenzione alle IMF. I risultati dell'indagine relativa al progetto indicano che l'IA è già stata implementata o sperimentata attivamente dalla maggior parte delle IMF italiane, mentre al tempo stesso meno di una su dieci istituzioni finanziarie segnala di disporre di misure di sicurezza mature e continuamente aggiornate contro le minacce informatiche specifiche legate all'IA, evidenziando una potenziale vulnerabilità nelle funzioni di mercato critiche.

Gli scenari di test incentrati sull'IA potrebbero quindi affrontare modalità concrete di malfunzionamento e vettori di attacco osservati nella pratica e nei dibattiti di policy internazionali, tra cui dati di addestramento compromessi o corrotti, manipolazioni di modelli, input provenienti da attacchi esterni e interruzioni che incidono sulla disponibilità o sull'integrità dei servizi basati sull'IA a sostegno di operazioni critiche. L'inserimento di tali scenari nei test di resilienza supporterebbe l’individuazione precoce delle vulnerabilità nei sistemi di IA e delle loro dipendenze, incluse le componenti di terze parti e quelle basate sul cloud.

Un percorso di implementazione pragmatico potrebbe sfruttare le sandbox dell'IA e altri facilitatori dell'innovazione come ambienti per definire e perfezionare scenari avanzati di resilienza durante la fase di sperimentazione, in particolare per soluzioni di IA destinate all'uso in infrastrutture di mercato critiche. Tale approccio consente di incorporare considerazioni sulla resilienza a monte, generando al contempo indicazioni di vigilanza ed evidenze operative che possono progressivamente alimentare le aspettative riguardanti i soggetti più rilevanti dal punto di vista sistemico, in linea con gli assetti di resilienza operativa e le migliori prassi internazionali esistenti.

Sarebbe utile promuovere lo sviluppo di linee guida e di una tassonomia di riferimento nazionali per gli incidenti connessi all'IA, accompagnati da un quadro di riferimento concreto per la segnalazione.20 Ciò fornirebbe una classificazione strutturata degli incidenti legati all’IA (ad esempio cause dirette, fattori che li hanno determinati, gravità e tipi di impatto) e un set limitato di campi di segnalazione coerenti, che consentano a imprese e autorità di aggregare, analizzare e riutilizzare le informazioni sugli incidenti già raccolte nell'ambito dei quadri di riferimento esistenti.

Le evidenze tratte dall'indagine nell’ambito del progetto dell'OCSE indicano una crescente rilevanza degli incidenti e degli eventi informatici legati all'IA, oltre alla crescente complessità e frammentazione degli obblighi di segnalazione. Ciò rappresenta una sfida particolarmente ardua per le imprese di minori dimensioni e con meno risorse, mentre per le IMF e gli intermediari di rilevanza sistemica la questione principale è l’eventuale propagazione dei rischi operativi e cibernetici nel sistema finanziario. Una tassonomia e un quadro di riferimento per le segnalazioni condivisi contribuirebbero ad affrontare entrambi gli aspetti, facilitando gli sforzi di classificazione e segnalazione per gli operatori di dimensioni più piccole e consentendo un'efficace aggregazione, l’analisi delle tendenze e il monitoraggio dei rischi per i soggetti critici, anche mediante un'analisi dei dati su base anonima, ove opportuno.

L'iniziativa sarebbe in linea con i lavori internazionali in corso sulla classificazione e la segnalazione degli incidenti legati all'IA, come il quadro FIRE dell'FSB (FSB, 2025[63]) e concepita per essere interoperabile con i sistemi esistenti, comprese le disposizioni in materia di segnalazione degli incidenti ai sensi del regolamento UE sull'IA e altri regimi di resilienza operativa applicabili. Migliorando la coerenza e la comparabilità delle informazioni sugli incidenti, tali orientamenti potrebbero rafforzare la comprensione da parte delle autorità di vigilanza dei rischi emergenti connessi con l'IA, sostenendo nel contempo gli operatori di mercato nello sviluppo di prassi di IA più resilienti.

I risultati dell'indagine evidenziano una forte dipendenza da un numero concentrato di fornitori terzi per i servizi connessi all'IA in Italia e mostrano, inoltre, che gli operatori dei mercati finanziari si attendono un crescente utilizzo di modelli di IA sviluppati da terzi per le principali funzioni dei mercati finanziari, in particolare in aree legate alla conformità come l'AML/CFT, nonché in ambiti più operativi come il riconoscimento dei pattern, la gestione di attivi e portafogli e la modellazione dei rischi.

Ulteriori evidenze tratte dall'indagine del progetto evidenziano che una quota significativa di incidenti cibernetici che interessano le istituzioni finanziarie italiane avviene attraverso fornitori di terze e quarte parti, talvolta con impatti rilevanti o sistemici. Gli operatori di mercato di dimensioni più piccole spesso non dispongono delle risorse o delle competenze necessarie per valutare e gestire efficacemente tali rischi, mentre le IMF critiche e i principali operatori di mercato operano in un ambiente in cui i malfunzionamenti possono propagarsi rapidamente in tutto il sistema.

Ulteriori indicazioni tratte dall'esercizio di mappatura mostrano inoltre che sebbene l'IA svolga attualmente un ruolo prevalentemente operativo, le autorità e gli intermediari italiani ne riconoscono il potenziale per diventare un fattore centrale dell'attività di mercato nel medio-lungo periodo. Un'opzione di policy mirata promuoverebbe pertanto un ecosistema nazionale dell'IA che fornisca soluzioni sicure, affidabili e interoperabili, accessibili agli intermediari di minori dimensioni. Questo approccio contribuirebbe a ridurre i rischi di concentrazione e di dipendenza nella catena di approvvigionamento dell'IA, faciliterebbe l'adozione di innovazioni basate sull’intelligenza artificiale e consentirebbe agli operatori di minori dimensioni di sfruttare le capacità dell'IA senza incorrere in oneri sproporzionati in termini di governance o conformità.

Per le IMF e gli operatori di rilevanza sistemica questo ecosistema supporterebbe un monitoraggio e una gestione più efficaci delle dipendenze da terze parti e dei rischi cibernetici. Per gli operatori di minori dimensioni migliorerebbe l'accesso a servizi di IA affidabili, promuoverebbe l'innovazione e ridurrebbe le barriere all'ingresso. In entrambi i casi l'approccio rafforzerebbe la resilienza complessiva, l'inclusività e la competitività del sistema finanziario italiano. L'iniziativa è in linea con i dibattiti internazionali sull'IA e la gestione dei rischi cibernetici (ad esempio, lo Statement on AI and Cybersecurity del G7 Cyber Expert Group) (G7, 2025[62]).

La presente sezione propone misure a sostegno di assetti per una condivisione efficiente e sicura dei dati in Italia, al fine di agevolare lo sviluppo di strumenti di IA tutelando nel contempo i diritti dei consumatori. Ciò integra le considerazioni di policy di cui alla sezione 3.2.2, incentrate sull’agevolare le imprese nel raggiungimento della conformità ai requisiti di governance dei dati.

In Italia l’attuale approccio alla condivisione dei dati e all’interoperabilità nel settore finanziario si basa sul quadro normativo della seconda direttiva UE sui servizi di pagamento (Payment Services Directive2, PSD2), non sulla più ampia prospettiva dell’Open Finance. In alcuni settori esiste la condivisione sicura, ma non ci sono sistemi comuni o regole chiare per farla funzionare su larga scala. Non vi è alcuna indicazione di un regime API vincolante e intersettoriale al di fuori dei conti di pagamento; la maggior parte delle condivisioni tra istituti è gestita attraverso contratti bilaterali e interfacce eterogenee che limitano la portabilità e il riutilizzo dei dati. Negli ambiti dell’automazione interbancaria e della messaggistica sicura esistono convenzioni di settore, che tuttavia non si traducono in schemi uniformi per i pacchetti di dati, tassonomie comuni o standard end-to-end che garantiscano una portabilità coordinata dei dati tra le diverse linee di prodotti. Nel settore assicurativo italiano le norme vigenti consentono, sebbene non sia ancora attuata, la portabilità dei dati IoT relativi ai veicoli e la condivisione delle informazioni sui sinistri tra tutte le aree di attività del ramo danni. Il riutilizzo autorizzato dei dati per l’analisi è ostacolato da formati non uniformi e dalla duplicazione delle fasi di onboarding.

I partecipanti all’indagine nell’ambito del progetto dell’OCSE segnalano difficoltà legate alla concessione di licenze di dati, alla disomogeneità della loro qualità e all’assenza di una standardizzazione degli schemi che rendono la condivisione tra aziende costosa da implementare. La forte dipendenza da pipeline di dati personalizzate e interfacce specifiche dei fornitori aumenta ulteriormente i costi di migrazione e riduce la portabilità. Queste condizioni rallentano la creazione di dataset condivisi, di alta qualità e specifici per settore, che altrimenti costituirebbero la base per soluzioni di IA interoperabili tra le istituzioni.

Nell’indagine, quasi un partecipante su tre indica l’accuratezza e la coerenza dei dati come barriere e oltre un partecipante su quattro ha difficoltà ad accedere ai dati necessari. Tra le imprese italiane che hanno risposto al quesito sui tipi di dati impiegati per l’addestramento, l’88% utilizza dati interni per l’addestramento o la messa a punto di applicazioni legate all’IA, mentre il 61% fa affidamento su dati disponibili pubblicamente. Solo il 22% ha dichiarato l’uso di dati autorizzati di terzi e il 18% ha indicato di impiegare dataset acquisiti a fini di addestramento o messa a punto. Questi risultati indicano l’importanza sia di mantenere dataset interni di elevata qualità per lo sviluppo interno di modelli di intelligenza artificiale, sia di migliori assetti di condivisione dei dati per lo sviluppo dell’IA per determinati casi d’uso.

L’interazione tra condivisione sicura e standardizzata dei dati, le API di Open Finance e l’IA crea vantaggi complementari in termini di innovazione, inclusione e controllo dei rischi. I flussi di dati interoperabili e basati sul consenso riducono i costi di integrazione, migliorano la qualità dei dati e consentono la portabilità tra mercati, il che a sua volta amplia i dataset di addestramento e di validazione necessari per un’IA affidabile, tutelando al contempo i consumatori attraverso la trasparenza delle responsabilità e i limiti alle finalità. Tassonomie coerenti, pacchetti di dati comuni e processi di trattamento del consenso auditabili rendono i risultati del modello più verificabili tra le istituzioni, perché le imprese interrogano campi simili piuttosto che formati personalizzati; questa prevedibilità rafforza la spiegabilità e il monitoraggio a valle e favorisce l’ingresso sul mercato e la concorrenza, riducendo la dipendenza da un unico fornitore (OECD, 2026[3]). Le autorità italiane potrebbero rafforzare la collaborazione con altre autorità finanziarie e non finanziarie per incoraggiare la condivisione standardizzata dei dati finanziari come mezzo per promuovere l’innovazione dell’IA.

La condivisione sicura dei dati rafforza inoltre la capacità delle autorità di individuare i rischi emergenti. I dati interoperabili e leggibili da sistemi automatizzati sono associati a migliori rilevamento delle anomalie e verifica dei risultati, giacché gli enti e le autorità possono interrogare campi standardizzati tra le diverse imprese senza dover ricorrere a trasformazioni personalizzate (OECD, 2024[26]). I progressi in materia di IA per la policy dipendono dalla governance dei dati e dalle infrastrutture; i percorsi di accesso standardizzati riducono i ritardi e le ambiguità che altrimenti comprometterebbero il monitoraggio dei rischi. L’interoperabilità ha pertanto un duplice vantaggio, favorendo l’innovazione di business e facilitando la comprensione da parte delle autorità di vigilanza, garantendo nel contempo chiari limiti di consenso e finalità (BIS, 2025[69]).

Un approccio incentrato sugli standard ridurrebbe anche la concentrazione dei fornitori e migliorerebbe la portabilità. API comuni e tassonomie condivise riducono la dipendenza dai gateway proprietari, facilitando l’attuazione di strategie multi-cloud e multi-fornitore. Dashboard per il consenso interoperabili e registri verificabili chiarirebbero le responsabilità ai sensi della legislazione sulla protezione dei dati, riducendo l’incertezza giuridica su larga scala. Nel corso del tempo, ciò riduce gli ostacoli per le istituzioni più piccole a partecipare agli ecosistemi dei dati, ampliando il pool di contributori e la diversità dei dati di addestramento per un’IA responsabile (OECD, 2021[35]; Crisanto et al., 2024[70]).

Gli strumenti a livello dell’UE indicano un percorso in cui API comuni, pacchetti di dati armonizzati e servizi di consenso verificabili supportano l’innovazione, salvaguardando nel contempo i diritti fondamentali. La proposta FiDA, una volta operativa, creerà un diritto intersettoriale di accesso e condivisione dei dati finanziari attraverso interfacce standardizzate, integrato da regole sulla gestione del consenso e in materia di responsabilità, nonché da standard tecnici che riducono la frammentazione (European Commission, 2023[71]). La strategia dell’Unione dei Risparmi e degli Investimenti (Savings and Investments Union, SIU) evidenzia l’interoperabilità come leva di competitività, con l’obiettivo di ridurre gli attriti nella partecipazione transfrontaliera e di ampliare l’accesso delle famiglie ai mercati degli investimenti (European Council, 2025[72]; European Commission, 2025[73]).

È importante sottolineare che, anche se l’approvazione dei quadri normativi dell’UE richiedesse tempo o si arrestasse del tutto, le iniziative nazionali possono comunque incoraggiare progetti individuali o settoriali di condivisione dei dati per accelerare i progressi. Se adottati, gli standard tecnici FiDA possono contribuire a dare priorità ad attestazioni del consenso chiare, pacchetti di dati armonizzati e ambiti di applicazione uniformi che coprano i principali dataset relativi al settore al dettaglio e alle PMI, oltre a quello dei pagamenti. Un livello di conformità e certificazione può rendere prevedibile la partecipazione sia per gli operatori esistenti che per i nuovi entranti, mentre le suite di test di riferimento pubblicate riducono i costi di negoziazione bilaterali (European Commission, 2023[71]). Gli obiettivi della strategia SIU vanno in questa direzione, in quanto l’accesso interoperabile ai dati sugli investimenti favorisce la partecipazione delle famiglie e l’innovazione dei prodotti senza prescrivere modelli di business (European Commission, 2025[74]). L’agenda SIU mette in relazione l’accesso interoperabile con la creazione di ricchezza delle famiglie e lo spessore del mercato (European Commission, 2025[74]).

Le autorità italiane potrebbero trarre vantaggio da questo slancio politico rafforzando la collaborazione intersettoriale con altre autorità, oltre alle consultazioni all’interno del settore, per elaborare proposte su come favorire gli assetti di condivisione dei dati nel comparto finanziario, insieme all’innovazione dell’IA. Ciò contribuirebbe ad affrontare i costi connessi allo sviluppo di modelli interni di IA, che un intervistato su quattro ha segnalato come una limitazione significativa. In particolare, circa il 10% dei partecipanti all’indagine ha identificato i costi di acquisizione dei dati necessari per i modelli come un ostacolo rilevante. Le API interoperabili e le architetture di dati condivisi sono collegate a minori costi di integrazione, a catene di responsabilità più chiare e a una migliore qualità dei dati, condizioni decisive per l’addestramento e il monitoraggio dei modelli (OECD, 2024[26]).

Tali iniziative possono anche comprendere discussioni riguardanti le pratiche, i metodi e le misure pertinenti per lo scambio sicuro di dati e le architetture interoperabili, come ad esempio l’utilizzo di API armonizzate, formati di dati uniformi e meccanismi di consenso verificabili. L’interoperabilità è ottenuta attraverso standard API chiari, registri digitali del consenso e controlli di conformità. Gli elementi costitutivi tipici includono pacchetti di dati standard per conti, pagamenti, credito e investimenti; confini di accesso chiari e processi di trattamento del consenso; certificazione dei partecipanti; infine, meccanismi di risoluzione delle controversie che forniscano una rete di sicurezza agli accordi commerciali. Questi assetti sono tecnologicamente neutri ma specifici per i dati, garantendo che i controlli di privacy, sicurezza ed equità rimangano integrati a livello di interfaccia (OECD, 2023[48]).

I vantaggi in termini di produttività, inclusione e prestazioni arrivano più velocemente quando le istituzioni possono riutilizzare i dati con il consenso tra le diverse funzioni tramite interfacce stabili piuttosto che feed personalizzati (OECD, 2023[48]). Incoraggiare l’adozione di questi, o analoghi, standard di condivisione dei dati porterebbe benefici evidenti sia per le imprese sia per le autorità di vigilanza. Migliorerebbe inoltre il monitoraggio dei rischi, consentendo flussi di dati leggibili da sistemi automatizzati e basati sul consenso che supportano il rilevamento di anomalie e l’attività di vigilanza. Tale transizione dovrebbe essere effettuata a un ritmo responsabile, ponendo particolare attenzione a garantire l’applicazione di standard comuni, con l’obiettivo di realizzare dataset di alta qualità che supportino un’IA affidabile e spiegabile.

Le autorità italiane hanno promosso l’innovazione tramite facilitatori e dialoghi (cfr. la sezione 3.2.6), ma un assetto che consenta sistematicamente alle istituzioni finanziarie italiane di impegnarsi in spazi comuni di dati italiani o dell’Unione europea favorirebbe lo sviluppo dell’IA. Si osservano sforzi volti a migliorare l’interoperabilità e la qualità dei dati, ma sono ancora frammentati e in gran parte su base volontaria e le imprese segnalano difficoltà nell’accesso a dataset di addestramento completi e specifici per la finanza. L’interesse per le iniziative europee esiste, ma i meccanismi di partecipazione formale rimangono limitati, costringendo le istituzioni ad affidarsi ad accordi bilaterali o a fornitori esterni, con conseguenti limiti di scalabilità e fiducia.

Gli spazi comuni europei di dati (Common European Data Spaces, CEDS) cercheranno di fungere da spina dorsale del mercato unico dei dati. Essi stabiliscono ambienti affidabili in cui gli attori pubblici e privati possono condividere i dati con regole di accesso eque e trasparenti, infrastrutture a tutela della privacy e un sistema di governance. La finanza è uno dei 14 settori dei CEDS e lo spazio europeo di dati finanziari (European Financial Data Space, EFDS) è in fase di attuazione. I facilitatori orizzontali del CEDS sono la legislazione intersettoriale, gli strumenti condivisi e la legge di attuazione sui dataset di alto valore ai sensi della direttiva relativa all’apertura dei dati, che garantisce il libero riutilizzo di dati pubblici chiave. Per le imprese finanziarie italiane l’impegno con i CEDS consentirebbe loro di lavorare con dataset curati e standardizzati, di combinarli con aziende proprietarie e di mantenere politiche di verifica della provenienza e dell’utilizzo (European Commission, 2025[5]).

All’interno di questa architettura i facilitatori pratici aiutano le autorità e gli operatori di mercato a costruire e gestire spazi di dati. Il Centro di sostegno agli spazi di dati (Data Spaces Support Centre, DSSC) offre un progetto, una serie di strumenti, un modello di maturità e un metodo di co-creazione, descrivendo gli elementi costitutivi sui piani giuridico, tecnico e relativo alla governance. Questi livelli includono l’identità e l’attestazione, le politiche di accesso e utilizzo, lo scambio e la tracciabilità e i processi di verifica (Data Spaces Support Centre, 2025[4]). Il Centro europeo per l’interoperabilità semantica (Interoperable Europe Semantic Interoperability Community, SEMIC) completa questo contesto fornendo specifiche semantiche come il Data Catalogue Vocabulary Application Profile (DCAT‑AP), corsi di formazione e webinar, nonché lavorando sugli spazi dei dati personali in linea con il regolamento UE relativo alla governance europea dei dati,21 inclusi gli intermediari di dati e l’altruismo dei dati (European Commission, 2025[75]). Mettere le imprese italiane in connessione con queste comunità faciliterebbe l’armonizzazione dei cataloghi, la ricerca transfrontaliera e il riutilizzo nel rispetto del consenso, riducendo i costi di integrazione e rafforzando la fiducia.

Le autorità italiane dovrebbero inoltre valutare come promuovere la partecipazione agli spazi comuni di dati dell’UE (ad esempio EFDS, Gaia-X). Le iniziative potrebbero inoltre mirare a chiarire in che modo la partecipazione ai CEDS interagisca con la normativa finanziaria vigente e a fornire indicazioni ai soggetti vigilati su come debbano continuare a rispettare i requisiti di responsabilità, trasparenza e verificabilità anche quando accedono ai dati attraverso uno spazio di dati. Le autorità finanziarie italiane possono anche prendere in considerazione la possibilità di contribuire alla selezione di dataset di alta qualità del settore pubblico disponibili attraverso gli spazi europei di dati, laddove ciò sia legalmente possibile. Infine, sarebbe possibile rafforzare il coordinamento tra gli operatori di mercato nazionali e le iniziative in materia di spazi di dati a livello dell’UE, contribuendo a tali iniziative attraverso le esperienze e le migliori prassi in materia di vigilanza a livello nazionale, nonché mediante l’individuazione e la segnalazione di eventuali attriti transfrontalieri.

La strategia dell’Unione europea sui dati colloca gli spazi di dati in un piano più ampio volto a rendere disponibili dati di alta qualità per l’IA. Propone laboratori pratici dedicati ai dati per collegare gli spazi di dati e gli ecosistemi di intelligenza artificiale, ampliando l’accesso settoriale per aziende e ricercatori. Inoltre, semplifica le norme attraverso la proposta legislativa “Digital Omnibus”, insieme al regolamento riguardante l’accesso ai dati (European Data Act) per contenere i costi di conformità e ridurre le difficoltà sul piano legale. I fattori abilitanti orizzontali includono gli standard per la qualità dei dati, l’ampliamento di dataset di alto valore e gli investimenti nella capacità di dati sintetici per migliorare l’idoneità dei dataset di addestramento. Le autorità italiane dovrebbero prendere in considerazione la possibilità di partecipare a laboratori di dati per accelerare la cura e la classificazione dei dataset finanziari, mentre i token di “conformità in un click” (“one-click compliance”) e gli orientamenti contenuti nel Data Act prospettano condizioni di riutilizzo verificabili da sistemi automatizzati e una documentazione dei diritti più chiara (European Commission, 2025[6]).

Il livello di interoperabilità della Commissione europea per gli spazi di dati consentirà lo scambio sicuro di dati tra diverse infrastrutture in modalità trasparenti e verificabili. Comprende uno stack software open-source, un ambiente di test e implementazioni gestite, in modo che i partecipanti possano condividere i dati in base alle politiche di utilizzo applicabili e monitorare le prestazioni. Le autorità italiane potrebbero stimolare le imprese autorizzate a utilizzare l’ambiente di collaudo per valutare l’interoperabilità prima della messa in produzione, nonché adozioni controllate per gestire gli spazi settoriali con registri trasparenti e controlli di accesso (European Commision, 2024[76]).

Gaia-X è un’iniziativa europea guidata dal settore che coinvolge un ecosistema federato di dati e cloud e garantisce sovranità, interoperabilità e fiducia. Gaia-X sviluppa specifiche, assetti di governance e servizi di verifica, tra cui assetti di fiducia e di classificazione, servizi di identità e verifiche di conformità, fornendo processi di onboarding verificabili e controlli dell’utilizzo (Gaia-X, 2023[7]). Gaia-X è già attiva in Italia attraverso Gaia-X Italia, che riunisce importanti aziende ed enti di ricerca italiani per sviluppare hub nazionali e casi d’uso in linea con gli standard europei, offrendo agli istituti finanziari italiani un canale diretto per adottare i servizi della federazione Gaia-X (Gaia-X, 2025[77]).

L’EFDS, attualmente in fase di sviluppo, dovrebbe rendere disponibile l’Open Finance consentendo il flusso di dati finanziari tra le parti interessate secondo regole affidabili. Se attuato con solide salvaguardie, l’EFDS può contribuire a ridurre le distorsioni nell’IA offrendo agli sviluppatori l’accesso a dataset più ampi e rappresentativi, in particolare per la valutazione del merito creditizio dei consumatori; ciò richiede una chiara base giuridica ai sensi del GDPR, un’efficace trasparenza e un significativo controllo individuale sul trattamento dei dati. Il valore dell’EFDS dipenderà da una solida qualità dei dati: idoneità allo scopo, completezza, accuratezza e utilizzabilità dei formati (Penedo and Kramcsák, 2023[78]; Borowicz, 2024[79]).

Le autorità italiane potrebbero inoltre valutare la possibilità di sostenere gli sforzi delle autorità di protezione dei dati volti a sensibilizzare i cittadini sull’impiego di prassi per la condivisione sicura dei dati, sulla base di una cooperazione rafforzata per promuovere iniziative proattive ex ante. L’indagine settoriale dell’OCSE indica che le imprese italiane considerano l’incertezza normativa e i vincoli relativi alla governance dei dati come ostacoli a una più ampia diffusione dell’IA, con particolari difficoltà relative all’accesso ai dati, al rispetto della privacy, alla dipendenza da terze parti e ai costi. Le autorità finanziarie italiane potrebbero dialogare con le autorità non finanziarie (ad esempio quelle per la protezione dei dati e la cybersicurezza) per definire la promozione di sistemi di condivisione dei dati sicuri, standardizzati e interoperabili, in grado di preservare la riservatezza dei flussi di dati. Tali sistemi possono fornire dataset affidabili e di alta qualità che le imprese possono utilizzare per lo sviluppo di sistemi di IA. Le iniziative di condivisione dei dati potrebbero essere promosse anche attraverso facilitatori dell’innovazione, come illustrato nella sezione 3.2.6.

Un esempio di tali prassi può essere trovato nelle tecnologie che migliorano la privacy (Privacy Enhancing Technologies, PETs), ossia strumenti e metodi che consentono l’analisi e la condivisione dei dati garantendo al contempo la tutela della privacy, la riservatezza e la conformità. Tali presidi aiutano le istituzioni a collaborare ed estrarre valore dai dati senza divulgare informazioni personali o sensibili dal punto di vista commerciale (OECD, 2025[80]). Esistono diverse tecnologie che consentono uno sviluppo sicuro ed efficiente dell’IA. Ad esempio, la crittografia omomorfica consente di eseguire calcoli su dati crittografati, rivelando solo il risultato e riducendo il rischio di divulgazione tra partner e fornitori. Il calcolo multipartitico sicuro suddivide gli input tra le parti e combina risultati parziali per calcolare una funzione senza rivelare l’input di ciascuna parte. L’apprendimento federato addestra i modelli su dataset distribuiti in modo che i dati rimangano in ambienti locali, mentre solo i gradienti o i parametri vengono trasferiti. La generazione di dati sintetici crea dataset artificiali con proprietà statistiche simili agli originali, consentendo test, convalida e benchmarking senza l’utilizzo di dati personali reali. Quando queste PETs sono combinate con la governance e i controlli di audit, favoriscono la scalabilità, la rapidità e la fiducia nell’IA per i casi d’uso regolamentati (OECD, 2025[80]).

Le autorità italiane potrebbero anche concentrarsi sulla capacità di effettuare test sicuri e sull’apprendimento condiviso per esplorare prassi specifiche di condivisione dei dati. I facilitatori dell’innovazione in Italia possono trarre spunto da iniziative analoghe per fissare obiettivi concreti. Le autorità italiane potrebbero includere gruppi di dati specifici nelle sandbox con benchmark basati su dati sintetici per l’analisi dei portafogli, le ricerche di mercato e le attività di post-trading; Milano Hub potrebbe organizzare gruppi di discussione con banche, gestori di attivi e IMF per promuovere la comprensione reciproca. Le autorità potrebbero incoraggiare l’uso di dati sintetici per le principali funzioni di mercato, in modo che le imprese confrontino i modelli senza condividere dati reali, nonché ospitare progetti pilota di apprendimento federato per l’analisi di mercato e l’analisi post-trading per realizzare metodi di valutazione comuni. I playbook potrebbero documentare i modelli di integrazione per i flussi di lavoro finanziari, collegandoli alle aspettative in materia di audit e segnalazione, in modo che le imprese apprendano e crescano all’interno degli assetti esistenti, aumentando al contempo la fiducia e le prestazioni (OECD, 2024[26]). Le autorità di vigilanza possono ancorare tali modelli ai principi proporzionali utilizzati nella prassi prudenziale, assicurando che l’adozione di tali prassi sia complementare agli attuali requisiti di governance e di validazione dei modelli.

Favorire l’allineamento internazionale è importante perché molte imprese finanziarie italiane operano all’estero. Le pratiche consolidate di condivisione dei dati potrebbero ridurre gli attriti quando i dati non possono circolare liberamente, oltre a favorire una maggiore concorrenza, cicli di prodotto più rapidi e un rischio di modello ridotto nelle attività rivolte al mercato (OECD, 2024[26]). Con l’adozione da parte delle imprese di flussi di lavoro che tutelano la privacy, i rischi operativi diminuiscono e la governance migliora; i clienti beneficiano di una migliore protezione e di servizi più rapidi, pur rimanendo in linea con la normativa UE e le prassi internazionali, grazie all’utilizzo di dati sintetici e apprendimento federato.

Sebbene le autorità finanziarie italiane abbiano incoraggiato il dialogo con l’industria in merito all’adozione dell’IA, una cooperazione strutturata tra il settore pubblico e quello privato è ancora limitata. Le interazioni hanno assunto per lo più la forma di consultazioni e tavole rotonde, piuttosto che di assetti di riferimento permanenti, compresa la tavola rotonda sull’utilizzo dell’IA nei mercati finanziari tenutasi presso la Banca d’Italia a giugno 2025. C’è margine per ampliare l’insieme di strutture formali di collaborazione tra pubblico e privato, alla luce, ad esempio, del successo di CERTfin (cfr. di seguito), in particolare per l’adozione dell’IA. Le imprese consultate nel corso del progetto hanno manifestato un forte interesse per assetti che consentano l’esplorazione congiunta dell’impiego di IA nelle attività di mercato, ponendo l’accento sulla costruzione di un clima di fiducia e sulla convergenza in materia di governance, piuttosto che sui meccanismi operativi di collaudo. Tali iniziative potrebbero assumere diverse forme, compresi forum tra le diverse parti interessate e gruppi di lavoro tematici, oppure basarsi sull’offerta di ambienti di test per le architetture di innovazione digitale. Inoltre, anche i facilitatori dell’innovazione (ad esempio Milano Hub e il Canale Fintech) svolgono un ruolo importante nel promuovere la collaborazione tra il settore pubblico e quello privato, fornendo uno spazio comune di dialogo tra le parti interessate di entrambi i settori, come illustrato più dettagliatamente nella sezione 3.2.6. In particolare, per facilitare scambi strutturati tra gli operatori di mercato e le autorità, si potrebbero istituire tavoli di confronto periodici su determinati argomenti, che consentano di discutere di esperienze pratiche, sfide emergenti e prospettive normative. Le indicazioni prodotte da tali discussioni potrebbero contribuire allo sviluppo di standard e migliori prassi condivisi tra i vari settori.

Un esempio di cooperazione già esistente e degno di nota è il CERTFin italiano. Questa iniziativa riunisce istituzioni finanziarie e autorità pubbliche, al fine di rafforzare la resilienza cibernetica attraverso la condivisione di informazioni e risposte coordinate alle minacce (CERTFin, 2025[81]). CERTFin dimostra come una cooperazione strutturata possa offrire benefici tangibili: una migliore preparazione, una gestione più rapida degli incidenti e un linguaggio comune per la gestione dei rischi. Le strategie nazionali italiane in materia di IA sottolineano anche la collaborazione tra amministrazioni pubbliche e soggetti privati, con obiettivi quali la promozione di partenariati di ricerca e la creazione di condizioni favorevoli per la generazione di valore tramite l’IA (AGID, 2022[82]; AGID, 2024[83]).. Pur non essendo specificamente rivolte al settore finanziario, ma riguardino l’intera economia, tali strategie mettono in evidenza l’impegno politico a favore della cooperazione tra settore pubblico e privato, che potrebbe ispirare iniziative settoriali mirate per i mercati finanziari.

L’esperienza a livello internazionale mostra che le giurisdizioni che investono in assetti collaborativi in materia di IA ottengono vantaggi significativi. I forum tra le diverse parti interessate e i gruppi di lavoro tematici potrebbero allineare le aspettative e promuovere un clima di fiducia. Tali piattaforme potrebbero contribuire a chiarire le priorità di vigilanza, ridurre l’incertezza e accelerare l’innovazione sicura.

Nel Regno Unito un’interazione costante tra le autorità di regolamentazione e l’industria ha sostenuto lo sviluppo di orientamenti basati su principi, consentendo alle imprese di ampliare l’utilizzo dell’IA in maniera responsabile e preservando, al contempo, l’integrità del mercato (UK Government, 2023[84]; 2025[85]). L’AI Lab della FCA britannica funge da polo dedicato all’esplorazione delle applicazioni dell’intelligenza artificiale nei servizi finanziari, fornendo orientamenti tecnici, quadri etici e opportunità di ricerca collaborative (FCA, 2024[86]). Inoltre, la FCA ha introdotto AI Live Testing, un ambiente controllato che consente alle imprese di convalidare modelli basati sull’IA sotto il controllo delle autorità di regolamentazione (FCA, 2025[87]).

Analogamente, l’autorità monetaria di Singapore (Monetary Authority of Singapore, MAS) ha istituito iniziative volte a promuovere l’innovazione digitale attraverso la cooperazione tra il settore pubblico e quello privato. L’iniziativa API Exchange (APIX) offre un’architettura aperta che mette in connessione istituzioni finanziarie, imprese fintech e autorità di regolamentazione. APIX facilita l’interoperabilità e accelera l’innovazione fornendo accesso ad API selezionate, strumenti di sviluppo e un ecosistema di test sicuro (APIX, 2025[88]). In particolare, la MAS ha istituito il Global Finance & Technology Network (GFTN), un consorzio che promuove il dialogo intergiurisdizionale con l’obiettivo di armonizzare gli approcci alle tecnologie emergenti, ridurre la frammentazione normativa e rafforzare i sistemi finanziari a livello mondiale attraverso una sperimentazione coordinata e la condivisione delle conoscenze (GFTN, 2025[89]). GFTN ha sviluppato ALFIN, uno strumento basato sull’IA per soddisfare le esigenze di ricerca e di business intelligence delle società finanziarie (GFTN, 2025[90]). Le iniziative del Regno Unito e di Singapore forniscono esempi di assetti di cooperazione orientati alla governance, piuttosto che a specifiche operazioni in ambienti sandbox, che potrebbero essere replicati, in tutto o in parte, a vantaggio del settore finanziario italiano. A tale riguardo, la progettazione dettagliata della sandbox e i criteri di accesso sono trattati nella sezione 3.2.6.

A tale proposito, le politiche che favoriscono la cooperazione consentono di creare un ambiente in cui innovazione e sorveglianza evolvono di pari passo, grazie alla condivisione delle conoscenze e all’allineamento degli standard (OECD, 2026[1]). Un’interlocuzione intensa e costante con il settore può anche apportare vantaggi significativi ai soggetti vigilati, migliorando la comprensione da parte delle autorità di eventuali sfide incontrate dalle imprese soggette a supervisione nei loro sforzi di conformità (OECD, 2026[1]). Questo apprendimento reciproco riduce la frammentazione, aumenta la resilienza e consente incrementi di produttività ed efficienze operative nei mercati finanziari (OECD, 2021[35]; 2024[26]; BIS, 2025[69]).

Le autorità italiane potrebbero valutare forme di interazione con il settore più proattive, al di là delle consuete prassi di vigilanza. Gli strumenti tradizionali, come le ispezioni in loco, le revisioni tematiche e la raccolta sistematica di dati, sostengono già il dialogo, ma potrebbero essere integrati da una maggiore interazione, al fine di sensibilizzare gli operatori di mercato su argomenti specifici legati all’innovazione responsabile (ad esempio conformità, integrità del mercato) (OECD, 2026[1]).

Gli approcci innovativi potrebbero essere ulteriormente rafforzati ampliando le prassi esistenti, come i test congiunti22, che potrebbero creare opportunità di scambi costruttivi tra le imprese che sviluppano o utilizzano sistemi di IA e gli organi di vigilanza. Ambienti di valutazione condivisi (ad esempio mediante meccanismi di sperimentazione controllata) consentono alle autorità di vigilanza di osservare i comportamenti dei modelli in condizioni controllate e di fornire alle imprese un riscontro immediato sulle aspettative di vigilanza, e, al contempo, le imprese traggono benefici da tale riscontro per quanto riguarda conformità e aspettative di rischio. Analogamente, forum dedicati al dialogo tra il settore pubblico e quello privato possono fornire una piattaforma per discutere di criticità emergenti, chiarire gli standard e promuovere la responsabilità. Nel tempo queste iniziative possono sostenere la sorveglianza proporzionale e contribuire a un assetto di governance dell’IA più solido e trasparente in tutto il settore finanziario, accelerando l’adozione sicura di tale tecnologia e rafforzando la fiducia dei mercati (OECD, 2026[1]). Tale cooperazione rafforzata non dovrebbe essere intesa come vincolante per le autorità nazionali competenti e per le autorità di sorveglianza sui mercati nelle loro valutazioni, e non sostituisce né altera l’esercizio indipendente a esse conferito dai rispettivi mandati di vigilanza. Ogni autorità manterrebbe piena autonomia nello svolgimento dei propri compiti statutari, beneficiando al contempo dei vantaggi offerti dalla condivisione di informazioni e risorse.

Politiche di ampio respiro che incoraggino il dialogo strutturato, la sperimentazione congiunta e i codici volontari possono consentire all’Italia di colmare le lacune nelle conoscenze e rafforzare la fiducia senza frenare l’innovazione. Nel tempo questi sforzi potrebbero tradursi in aspettative più chiare, una governance più solida e un vantaggio competitivo per i mercati italiani, integrando, senza sostituirli, gli strumenti operativi come le sandbox.

I facilitatori dell’innovazione possono svolgere un ruolo importante nel sostenere l’integrazione responsabile e sicura delle innovazioni dell’IA nei mercati finanziari, in linea con i principi dell’OCSE sull’IA (OECD, 2019[91]). Essi promuovono una più stretta collaborazione tra gli operatori di mercato e le autorità, contribuendo ad affrontare le barriere normative e, al contempo, inviando un segnale positivo sull’impegno per un’innovazione responsabile. Nella sezione 3.2.5 sono stati esaminati gli assetti strategici di collaborazione, mentre la presente sezione si concentra sui facilitatori dell’innovazione.

L’Italia dispone di un ecosistema ben sviluppato di facilitatori dell’innovazione che coinvolge tutti i principali segmenti dell’attività finanziaria, consentendo la sperimentazione sicura delle applicazioni dell’IA e promuovendo un’interazione costruttiva con il settore. Dal 2021 è attiva una sandbox regolamentare finanziaria (“sandbox”) che consente ai soggetti vigilati e agli operatori FinTech di testare prodotti e servizi innovativi per un periodo di tempo limitato. La sandbox è gestita da BdI, CONSOB e IVASS, sotto il coordinamento del Comitato Fintech, istituito presso il Ministero dell’Economia e delle Finanze. Per accedervi i partecipanti devono dimostrare che un progetto: è innovativo; richiede una deroga a una norma esistente o necessita di sperimentazione/esame congiunti in un ambiente controllato; apporta valore aggiunto agli utenti finali o migliora processi esistenti; è a un livello di maturità sufficiente; ed è sostenibile dal punto di vista economico.

Inoltre, nel 2021 la Banca d’Italia ha istituito Milano Hub, che offre servizi di consulenza, tutoraggio e formazione a intermediari finanziari, start‑up e centri di ricerca, con l’obiettivo di accelerare lo sviluppo di progetti e promuovere la qualità e la sicurezza di specifiche innovazioni. Milano Hub opera attraverso “Call for proposals” incentrate su temi specifici. I progetti selezionati ricevono sostegno allo sviluppo attraverso competenze tecniche in settori specifici, nonché l’organizzazione di eventi con rappresentanti dei progetti, delle istituzioni e del mondo accademico. Milano Hub ha già sostenuto progetti sull’IA nei servizi bancari, finanziari e di pagamento, nonché progetti basati sull’IA relativi ai pagamenti digitali.

Il Canale FinTech è il punto di contatto attraverso il quale gli operatori di mercato possono dialogare con la Banca d’Italia e proporre o presentare soluzioni innovative. Gli operatori possono inoltre richiedere consulenza e indicazioni informali (ad esempio in materia di regolamentazione o di concessione di licenze) e conoscere altre iniziative di sostegno in questo ambito. La Banca d’Italia non fornisce raccomandazioni formali o consulenza legale attraverso questo Canale, che funge piuttosto da meccanismo per semplificare il dialogo con il settore, in particolare con le imprese più piccole e con i nuovi operatori. Anche il Canale Fintech ha sostenuto attivamente l’innovazione dell'IA: nel 2024 il 48% delle interazioni ha riguardato progetti che prevedevano soluzioni di IA.

L’efficacia dei facilitatori è garantita dall’introduzione di modifiche che snelliscono l’operatività della sandbox; la nuova versione del decreto ministeriale che ne disciplina il funzionamento sarà pubblicata a breve nella Gazzetta Ufficiale italiana.

L’Italia potrebbe valutare la possibilità di promuovere l’accesso a infrastrutture di calcolo ad alte prestazioni (high‑performance computing) agli operatori che partecipano ai facilitatori dell’innovazione, come si è dimostrato utile in altre giurisdizioni. Ad esempio, nel 2024 l'Autorità monetaria di Hong Kong (Hong Kong Monetary Authority, HKMA) e la Hong Kong Cyberport Management Company Limited (Cyberport) hanno introdotto congiuntamente una sandbox di GenAI che offre un ambiente a rischio controllato nel quale sviluppare, testare e sperimentare soluzioni innovative basate sull’IA in scenari reali (HKMA, 2024[92]). Il secondo gruppo di partecipanti alla sandbox beneficerà dell’accesso alla potenza di calcolo resa disponibile dal Cyberport AI Supercomputing Centre (HKMA, 2025[93]). Promuovere l’accesso a tali risorse da parte dei partecipanti al settore finanziario italiano potrebbe, ad esempio, rientrare nell’ambito dell’European High Performance Computing Joint Undertaking, (EuroHPC JU), tramite un bando di accesso, o nell’ambito dell’AI Factories Industrial Innovation (EuroHPC JU, 2025[94]), e facendo leva sulla potenza di calcolo dell’IT4LIA AI Factory (IT4LIA, 2025[95]).

L'Italia potrebbe migliorare l’accessibilità dei dati attraverso la possibile condivisione di dataset per consentire alle imprese finanziarie di testare i modelli in un ambiente sicuro. Tra i principali vincoli non normativi alla diffusione dell’IA, i partecipanti all’indagine nell’ambito del progetto dell’OCSE hanno segnalato le sfide legate alla disponibilità di dati di qualità compatibili con tale tecnologia e le competenze e le abilità necessarie per sviluppare strumenti di IA. In altre giurisdizioni dell’OCSE, come la Corea, sono state testate soluzioni che mirano ad affrontare tali sfide. Dal 2017, l’AI Hub della Corea ha messo a disposizione dataset accessibili al pubblico e compatibili con l’IA per supportare lo sviluppo di modelli di intelligenza artificiale e per gestire i rischi relativi alla qualità dei dati e alla privacy personale (AI Hub Korea, 2024[96]). I dataset, sia sintetici sia reali, sono forniti in vari tipi di formato e trattano diversi argomenti. Nel 2024 l’AI Hub coreano ha pubblicato un dataset finanziario sintetico assemblato in collaborazione con diverse società di dati locali e la Dong‑eui University. L’Italia potrebbe prendere in considerazione un approccio simile, che preveda la collaborazione di autorità finanziarie, mondo accademico e settore privato per individuare quali tipi di dataset sarebbero utili per testare le innovazioni dell’IA nel settore finanziario e sviluppare un quadro per raccogliere e fornire l’accesso a tali dati, ad esempio tramite l’AI Hub dell’ABI.

L’Italia potrebbe inoltre ampliare l’offerta di competenze tecniche, formazione e aggiornamento nei settori connessi allo sviluppo dell’IA per le applicazioni finanziarie. Milano Hub potrebbe rafforzare il proprio ruolo aumentando il numero di workshop, seminari e masterclass rivolti alla comunità dei facilitatori dell’innovazione su temi specifici rilevanti, al fine di promuovere le interazioni e il dibattito a livello nazionale. Un modo per raggiungere questo obiettivo potrebbe essere la collaborazione con il settore privato e con il mondo accademico, per attingere a competenze non disponibili nel settore pubblico. Ne rappresenta un esempio il programma pilota per la sandbox di IA (AI Sandbox Pilot Programme) della Malaysia, gestito dal Malaysian Research Accelerator for Technology and Innovation (MRANTI) in collaborazione con il settore privato e che fornisce formazione, sviluppo delle competenze e supporto tecnico a innovatori e imprenditori (MRANTI Malaysia, 2024[97]). Il tema dello sviluppo delle competenze è ulteriormente approfondito nella sezione 3.2.7.

L’Italia potrebbe valutare la possibilità di incoraggiare la partecipazione delle imprese più piccole ai facilitatori dell’innovazione. Nel corso delle riunioni bilaterali del progetto, le imprese finanziarie hanno osservato che le sandbox regolamentari possono svolgere un ruolo prezioso nell’alleggerire alcuni degli oneri normativi connessi all’esecuzione di test su modelli di IA. A tal fine, l’ultima Call for Proposal di Milano Hub prevede un’assegnazione per le PMI. Un approccio simile potrebbe essere adottato per la sandbox. Inoltre, le autorità italiane potrebbero incoraggiare la partecipazione delle imprese più piccole aumentandone la consapevolezza sul ruolo dei facilitatori dell’innovazione e sui vantaggi a essi legati e continuando a fornire assistenza ai potenziali candidati in merito ai requisiti necessari per parteciparvi. Le imprese più piccole potrebbero anche beneficiare di sessioni di networking con imprese consolidate, che potrebbero fornire consulenza informale ai nuovi operatori di mercato su specifiche questioni di interesse . Le autorità italiane potrebbero inoltre valutare l'opportunità di un dialogo con i centri di ricerca sull'IA (come le AI factory) per colmare le lacune delle PMI in termini di competenzein materia di intelligenza artificiale.

Le autorità italiane potrebbero inoltre considerare l’attuazione del regolamento dell’UE sull’intelligenza artificiale (AI Act) come un’opportunità strategica per migliorare l’integrazione tra i facilitatori dell’innovazione a livello nazionale e le iniziative a livello dell’UE. Più specificamente, l’articolo 57 di tale regolamento impone alle autorità nazionali competenti di istituire una sandbox regolamentare per l’IA a livello nazionale o congiuntamente con altri Stati membri (European Union, 2024[55]). Le autorità italiane stanno attualmente valutando se la sandbox esistente soddisfi i requisiti previsti dal regolamento sull’IA. Aumentare il coordinamento a livello nazionale e dell’UE può migliorare l’efficacia dei facilitatori dell’innovazione, incoraggiare una maggiore partecipazione al mercato e promuovere la competitività in tutta Europa.

La Commissione europea (CE) ha pubblicato una bozza di norma di attuazione per l’istituzione, lo sviluppo, l’attuazione, il funzionamento e la supervisione delle sandbox regolamentari per l’IA, in conformità all’articolo 57 del regolamento sull’IA (European Commission, 2025[98]). La bozza di norma di attuazione contiene previsioni comuni dettagliate sulla partecipazione, gratuita e prioritaria per le PMI, alle sandbox regolamentari per l’IA. Promuove inoltre la creazione di sandbox regolamentari per l’IA congiunte, attraverso opportuni accordi quadro, come, ad esempio, protocolli d’intesa.

L’Italia potrebbe prendere in considerazione la creazione di una sandbox per l’IA centralizzata specifica per il settore finanziario, sulla base degli assetti esistenti che hanno già dato prova di efficacia. Il progetto di atto di esecuzione sulle sandbox regolamentari per l’IA incoraggia la creazione di sandbox settoriali a diversi livelli, in particolare per aree di importanza strategica e in casi in cui sussistano significative complessitànell’attuazione della normativa (European Commission, 2025[98]). Le autorità italiane potrebbero valutare l’opportunità di istituire una sandbox per l’IA specifica per il settore finanziario.

L’Italia può prendere in considerazione la possibilità di formalizzare il proprio impegno con le autorità finanziarie di altri Stati membri dell’UE in merito alla condivisione di informazioni sui facilitatori dell’innovazione. Sono già in corso scambi informali, che potrebbero evolvere gradualmente in una struttura più formalizzata. Le autorità italiane potrebbero prendere in considerazione la possibilità di partecipare a iniziative relative a facilitatori di innovazione per l’IA a livello europeo, che saranno promosse nell’ambito del quadro di riferimento della UE. L’Italia potrebbe continuare a rafforzare gli accordi di cooperazione con le istituzioni partner, sotto forma di accordi di condivisione delle informazioni, protocolli di intesa e accordi reciproci. Milano Hub ha già firmato un protocollo d’intesa con Le Lab - Banque de France e sta rafforzando la collaborazione con la Central Bank of Ireland per facilitare le attività volte a sostenere l’innovazione del mercato.

A un livello più ambizioso, le autorità italiane potrebbero contribuire a qualsiasi iniziativa nell’ambito della sperimentazione transfrontaliera (cross‑border testing) promossa a livello dell’UE. La sandbox transfrontaliera potrebbe consentire alle imprese di testare soluzioni innovative basate su IA sotto la supervisione di un’autorità finanziaria nazionale, nonché di beneficiare di contributi o revisioni delle autorità di altre giurisdizioni in cui l’impresa prevede di operare. Ciò potrebbe contribuire a ridurre gli ostacoli alle attività transfrontaliere percepiti e consentire di individuare eventuali incoerenze negli approcci regolamentari o di vigilanza adottati nei diversi paesi. Altre giurisdizioni hanno introdotto sandbox transfrontaliere di questo tipo. Ad esempio, nel 2023 la People’s Bank of China, l’Autorità monetaria di Hong Kong e l’Autorità monetaria di Macao hanno firmato un protocollo d’intesa per integrare le rispettive sandbox regolamentari, consentendo alle aziende FinTech di testare soluzioni innovative che si estendono oltre i confini delle tre giurisdizioni (HKMA, 2024[99]). A tale riguardo, l’Italia potrebbe svolgere un ruolo di primo piano, sfruttando l’esperienza maturata nella gestione della propria sandbox da parte delle tre autorità finanziarie nazionali.

La norma di attuazione sulle sandbox regolamentari per l’IA incoraggia inoltre gli Stati membri dell’UE a coinvolgere altri attori nel processo, come le organizzazioni nazionali o europee di standardizzazione, i laboratori di ricerca e sperimentazione nonché i portatori di interesse e le organizzazioni della società civile, che potrebbero essere ulteriormente presi in considerazione nel contesto italiano (European Commission, 2025[98]).

Per promuovere una maggiore collaborazione tra autorità, settore finanziario e mondo accademico è necessario un intervento a livello di intero settore pubblico. Tra i vincoli non regolamentari segnalati dal settore finanziario negli incontri tenuti nel corso del progetto sono emerse come significative le preoccupazioni legate alle lacune in termini di competenze. Questa sezione mette in evidenza gli ambiti in cui la collaborazione potrebbe basarsi sulle iniziative esistenti e avere un forte impatto sulla diffusione dell’IA nei mercati finanziari italiani.

Sostenere iniziative dedicate alla ricerca, riqualificazione e miglioramento delle competenze in collaborazione con il settore finanziario può contribuire a colmare le lacune segnalate. Come indicato nella sezione 3.2.6, lo sviluppo e la diffusione dell’IA richiedono un’ampia gamma di competenze, ricomprese tra la programmazione informatica, la gestione di database e la statistica, nonché le funzioni di etica e conformità (OECD, 2023[100]).

Le imprese finanziarie italiane segnalano divari di competenze sia a livello dirigenziale, per quanto riguarda gli approcci di governance dell’IA (cfr. anche la sezione 3.2.3) sia tra il personale che utilizza e sviluppa i sistemi di IA. Per farvi fronte le imprese adottano soluzioni diverse, ad esempio sandbox interne, laboratori e gruppi dedicati all’IA, nonché programmi di formazione. Tuttavia, esistono opportunità di sinergia che attingono ai diversi punti di forza e alle risorse delle imprese, degli istituti di ricerca e del settore pubblico.

L’Italia può sfruttare le iniziative proposte nella sua Strategia italiana per l’intelligenza artificiale 2024‑2026 (“Strategia per l’IA”) (AGID, 2024[83]). La strategia per l’IA prevede lo sviluppo di corsi tecnici specializzati, ad esempio di livello post‑laurea, che mirano alla formazione dei ricercatori in qualità di futuri promotori dell’adozione dell’IA. Inoltre, considera prioritari i programmi di riqualificazione e aggiornamento delle competenze rivolti ai dirigenti e ai tecnici che gestiscono soluzioni di IA. Tali obiettivi dovrebbero essere perseguiti collaborando con il settore finanziario, per garantirne la rilevanza rispetto alle applicazioni specifiche del settore.

Promuovere la collaborazione tra il settore finanziario, il mondo accademico e le autorità di vigilanza può sostenere il miglioramento delle competenze e l’utilizzo concreto delle soluzioni di IA, come indicato nella sezione 3.2.8. L’accesso alle risorse necessarie per raggiungere tale obiettivo potrebbe essere facilitato sfruttando i centri di eccellenza e le AI factory esistenti, sulla base delle specificità del settore finanziario.

Un modello proposto nella strategia per l’IA è costituito dalle “Academy settoriali”: consorzi che includono enti di formazione, associazioni di categoria e imprese medio‑grandi per l’erogazione di corsi di riqualificazione e aggiornamento delle competenze destinati ai lavoratori delle imprese partecipanti e ai loro fornitori. L’obiettivo di questo approccio è mettere in comune le risorse per sviluppare una formazione di elevata qualità, che possa apportare benefici all’intero settore e attrarre talenti in modo più efficace. Il settore finanziario italiano rappresenta un valido candidato per questo tipo di approccio, considerate le risorse finanziarie disponibili e la presenza di organismi di settoreattivi.

Ad esempio, ABI Lab, in qualità di centro di ricerca che riunisce banche italiane, fornitori di servizi informatici ed esperti digitali, potrebbe costituire la base per una “AI in Finance Academy”, sfruttando le risorse e le reti di cui dispone. L’Istituto italiano di intelligenza artificiale (AI4I), fondato dal Governo italiano per svolgere attività di ricerca applicata ad alto impatto trasformativo nel campo dell’intelligenza artificiale, potrebbe inoltre ampliare i servizi forniti includendovi corsi di formazione approfonditi e sistematici, tra cui sperimentazioni pratiche con l’IA mediante il cluster HPC interno e il supercomputer Leonardo EuroHPC situato presso il Tecnopolo di Bologna (AI4I, 2024[101]).

Un altro esempio di centro di eccellenza in ambito IA promosso dal settore privato è l'Agorai Innovation Hub, inaugurato ad aprile 2025 (Generali, 2025[102]). Agorai riunisce soggetti dei settori pubblico e privato e istituzioni accademiche, con l’obiettivo di promuovere la ricerca applicata, sostenere lo sviluppo delle startup e fornire formazione alle imprese per migliorare le competenze negli ambiti dell’IA.

La disponibilità di questi centri di eccellenza e delle risorse fornite dai supercomputer potrebbe rivelarsi particolarmente vantaggiosa per le imprese più piccole, che non hanno accesso alle infrastrutture avanzate necessarie per lo sviluppo di modelli di IA. Le autorità italiane potrebbero valutare modalità di coinvolgimento dei soggetti privati nelle iniziative di ricerca e sperimentazione, ad esempio, firmando protocolli di intesa a tal fine.

Il rafforzamento delle competenze è inoltre facilitato dalla ricerca accademica e dalle collaborazioni con le università. A gennaio 2026 la Banca d’Italia ha avviato, in collaborazione con la Central Bank of Ireland, l’Innovation Data Challenge 2026, un’iniziativa congiunta progettata per promuovere la ricerca e l’innovazione nel settore dei pagamenti al dettaglio. L’iniziativa, che coinvolge diverse università prestigiose, consentirà agli studenti di lavorare con dataset finanziari sintetici e reali, favorendo così l’innovazione nel rispetto degli standard di protezione dei dati (BdI, 2026[8]). Tali iniziative promuovono un’innovazione responsabile, sostenendo al tempo stesso un miglioramento diffuso delle competenze e contribuendo a identificare i talenti nel campo dell’IA. Questi hackathons potrebbero essere incentrati, ad esempio, su strumenti SupTech basati sull’IA.

Il sostegno del settore pubblico allo sviluppo, da parte del mondo accademico e degli operatori privati, di modelli open‑source o open‑weight23 conformi al quadro normativo potrebbe rafforzare l’ecosistema dell’IA in Italia, soprattutto per quelle imprese che hanno a disposizione risorse finanziarie più contenute e non sono in grado di sviluppare modelli proprietari. Sebbene le autorità non siano tenute promuovere l’adozione di modelli specifici, si potrebbe valutare l’opportunità di analizzarne il funzionamento e la loro idoneità a fornire alternative convenienti per le imprese che non sono in grado di costruire soluzioni proprietarie, riducendo le barriere all’ingresso e promuovendo la concorrenza nel contesto nazionale.

Sfruttando la disponibilità di un ecosistema favorevole all’innovazione, le autorità italiane potrebbero contribuire alla sperimentazione e allo sviluppo di modelli di intelligenza artificiale open‑source che possano essere utilizzati dagli operatori dei mercati finanziari, traendo spunto dall’esempio di altre giurisdizioni, come la Svizzera, che combinano trasparenza, conformità e robustezza tecnica.24

L’avanzata infrastruttura informatica italiana, inclusa la disponibilità di risorse di calcolo ad alte prestazioni, offre una solida base per tali iniziative. Il coinvolgimento del settore pubblico dovrebbe concentrarsi sul facilitare la collaborazione e fornire accesso all’infrastruttura, piuttosto che guidarne direttamente lo sviluppo. I modelli di IA prodotti in Italia potrebbero garantire il rispetto delle normative nazionali e dell’UE, riflettendo al contempo le preferenze sociali e culturali, in linea con quanto indicato come prioritario nella strategia per l’IA (AGID, 2024[83]).

È ampiamente riconosciuta la necessità di dotare le autorità di vigilanza finanziaria degli strumenti e delle competenze adeguati per un’efficace sorveglianza dell’IA nel settore finanziario (OECD and FSB, 2024[9]). Allo stesso modo, sarà necessario rafforzare le capacità e perfezionare le competenze delle autorità di vigilanza finanziaria per conseguire gli obiettivi di monitoraggio e sorveglianza, ma anche per consentire al personale di vigilanza di sviluppare e impiegare tecnologie di IA nelle attività di vigilanza. Un approccio proporzionato e basato sul rischio dovrebbe inoltre guidare le autorità di vigilanza stesse nell’utilizzo di strumenti SupTech, o di altri sistemi basati sull’intelligenza artificiale per finalità di vigilanza. Ciò rafforzerebbe la coerenza e la credibilità dell’approccio di vigilanza. Ogni autorità nazionale competente dovrebbe mantenere livelli di organico adeguati, con personale formato nelle più recenti discipline dell’IA, consentendo nel contempo la partecipazione ad attività di sviluppo delle capacità a livello internazionale (OECD, 2026[1]).

Tutte e tre le autorità finanziarie italiane sono state designate come autorità di sorveglianza sui mercati ai sensi della legge italiana n. 132/2025, che attua il regolamento dell’UE sull’intelligenza artificiale. In base alle disposizioni di tale regolamento, le autorità di sorveglianza sui mercati hanno il compito di monitorare la conformità dei sistemi di IA alla normativa e sono tenute a riferire in merito alle loro attività di vigilanza a livello dell’UE. In tale contesto, è necessario un rafforzamento continuo delle capacità di vigilanza per assicurare un’adeguata sorveglianza sull’utilizzo dell’IA nel settore finanziario, in linea con il quadro di riferimento dell’UE. L’incarico di autorità di sorveglianza sui mercati prevede anche un’efficace cooperazione transfrontaliera a livello dell’UE, nonché un adeguato coordinamento con le autorità non finanziarie, come discusso nella sezione 3.2.2.

Attrarre e trattenere personale competente in materia di IA è una sfida non solo per le imprese del settore finanziario italiano, come rilevato dall’indagine del progetto, ma anche per le autorità finanziarie italiane. Per sorvegliare efficacemente e monitorare nel continuo l’evolversi della diffusione di soluzioni di IA nel settore finanziario è necessario disporre di un numero adeguato di risorse. Le autorità italiane dovrebbero valutare la possibilità di incrementare gli investimenti destinati ad attrarre talenti nel campo dell’IA, nonché alla formazione continua e all’aggiornamento professionale del personale in servizio al fine di combinare le competenze specifiche di settore con una comprensione tecnica più approfondita dei sistemi di IA (OECD, 2026[1]). Il conseguimento di tale obiettivo dipenderà dalla disponibilità di risorse adeguate per migliorare le competenze dell’attuale forza lavoro e assumere nuovo personale qualificato, in particolare esperti di IA e data science, nonché dalla capacità di creare sinergie tra competenze innovative ed esperienza consolidata.

L’ABE, l’ESMA, l’EIOPA e l’MVU offrono una serie di programmi, corsi, workshop e altre iniziative volte a promuovere l’aggiornamento delle competenze professionali delle autorità di vigilanza nazionali e dell’UE in materia di IA nel settore finanziario. Il riquadro 3.2 fornisce un elenco indicativo dei programmi offerti. Sebbene la varietà dei materiali e delle attività disponibili sia un segnale positivo, sussiste un potenziale per migliorarne l’accessibilità, consolidare i programmi esistenti e definire percorsi formativi e di aggiornamento più coerenti e strutturati.

In generale, i programmi più efficaci sono tendenzialmente incentrati sia sulle competenze tecniche e la conoscenza delle tecnologie di IA sia su abilità più ampie, necessarie per gestirle efficacemente. Il livello di potenziamento delle competenze tecniche dovrebbe essere adattato ai diversi profili e responsabilità del personale di vigilanza, garantendo nel contempo una comprensione minima di base delle caratteristiche uniche delle tecnologie di IA (OECD, 2026[1]).

Data la veloce evoluzione della tecnologia basata su IA e i cicli di innovazione sempre più accelerati, il personale di vigilanza dovrebbe avere accesso ad attività di formazione e di sviluppo delle capacità nel continuo, piuttosto che ad iniziative ad hoc o una tantum (OECD, 2026[1]). Un approccio sistematico volto al miglioramento delle competenze consentirà alle autorità di vigilanza di far fronte alla costante sfida di mantenere aggiornate le proprie conoscenze, competenze e assetti di sorveglianza. L’OCSE, in collaborazione con l’SG REFORM della Commissione europea e la Banca d'Italia, ha organizzato una tavola rotonda presso la sede della Banca il 12 e il 13 giugno 2025, che ha avuto riscontri molto positivi rispetto alla funzione di condivisione delle informazioni favorita dall’iniziativa, in particolare tra autorità e giurisdizioni.25

La Supervisory Digital Finance Academy dell’UE (EU‑SDFA, cfr. il Riquadro 3.2) potrebbe essere adeguatamente utilizzata come piattaforma consolidata a livello dell’UE per l’aggiornamento nel continuo delle competenze nei settori dell’innovazione finanziaria digitale. Tutte e quattro le autorità finanziarie italiane sono partner dell’EU‑SDFA. Le autorità europee potrebbero valutare la possibilità di proseguire questa iniziativa anche al termine del ciclo previsto dallo Strumento di sostegno tecnico, nell’ambito del quale è attualmente finanziata, o di collegare tali iniziative con una qualche forma di cooperazione pubblico‑privato, come discusso nella sezione 3.2.5.

Le autorità italiane dovrebbero sostenere il rafforzamento delle competenze in materia di IA e in altri ambiti dell’innovazione digitale finanziaria facendo leva sulle piattaforme innovative dell’UE, come l’EU‑SDFA. Potrebbero essere promosse iniziative di sviluppo di un quadro strutturato delle competenze e di un curriculum formativo coerente. Il modello di cooperazione con le piattaforme dell’UE e il mondo accademico dovrebbe essere definito e mappato assieme ai pertinenti meccanismi di finanziamento sostenibile. Le autorità possono anche valutare l'opportunità di definire indicatori misurabili per il miglioramento della capacità di vigilanza.

Ove appropriato, può altresì essere utile coinvolgere le autorità in altri ambiti di policy (OECD and FSB, 2024[9]). Ad esempio, le autorità preposte alla concorrenza e alla protezione dei dati a livello nazionale ed europeo possono offrire prospettive complementari per comprendere l'impatto dell'IA sui mercati e sui consumatori. È incoraggiato lo sviluppo e l’accesso a livello dell’UE di strumenti SupTech, piattaforme comuni e formazione coordinata a livello nazionale ed europeo, e tali iniziative possono essere ulteriormente sostenute da partnership tra pubblico e privato (cfr. la sezione 3.2.5). Il rafforzamento delle capacità di vigilanza, inoltre, può essere sostenuto tramite il ricorso all’intelligenza artificiale per gli stress test e l’utilizzo di strumenti di rilevazione basati sull’IA per valutare il grado di automazione nella produzione di documentazione critica.

Gli strumenti SupTech che sfruttano l'IA possono anche svolgere un importante ruolo nel supporto alle attività di vigilanza, apportando benefici quali l'automazione dei processi, il rafforzamento delle capacità analitiche e una maggiore reattività ai rischi emergenti. L’impiego di tali strumenti può inoltre segnalare che le autorità incoraggiano un’applicazione responsabile dell’IA, che aumenti la produttività e contribuisca alla stabilità del mercato.

Gli strumenti SupTech sono già ampiamente utilizzati dalle autorità finanziarie italiane e da altre autorità nazionali a livello dell’UE (cfr. la sezione 2.2.2). Le autorità italiane utilizzano e sperimentano una serie di strumenti SupTech, come illustrato nella tavola 2.2.

A livello dell'UE, le autorità di vigilanza europee dovrebbero valutare un rafforzamento delle iniziative di coordinamento per consentire la condivisione strategica delle competenze e delle capacità istituzionali, in particolare per quanto riguarda gli strumenti SupTech basati sull'IA. Lo sviluppo o l'acquisizione di applicazioni SupTech che sfruttano tecnologie di IA può richiedere investimenti finanziari significativi, infrastrutture tecnologiche robuste e competenze specialistiche interne (OECD, 2026[1]).

Iniziative congiunte a livello transfrontaliero per lo sviluppo e la condivisione di soluzioni SupTech potrebbero essere agevolate dall’utilizzo di piattaforme comuni e programmi di formazione coordinati. Definire un’offerta formativa comune può inoltre favorire la convergenza delle prassi e degli approcci di vigilanza nei vari Stati membri dell'UE, a vantaggio degli operatori di mercato grazie alla maggiore certezza e uniformità di trattamento in ogni giurisdizione. La condivisione di strumenti SupTech multi-giurisdizionali aiuta a evitare duplicazioni a livello nazionale, consentendo allo stesso tempo alle autorità nazionali di trarre insegnamenti e utilizzare le migliori prassi di altre giurisdizioni.

La condivisione di algoritmi e librerie di IA può ritenersi una modalità efficace per raggiungere più rapidamente soluzioni operative rispetto ai modelli pre‑addestrati o alle applicazioni complete, in particolare a fini di validazione. È possibile adattare gli algoritmi alle esigenze tecniche, giuridiche e linguistiche nazionali, evitando ritardi legati all'operatività di modelli pre‑addestrati. Questo approccio riflette anche la necessità di cicli di sviluppo rapidi, data l'evoluzione estremamente veloce dei modelli di IA e la loro integrazione nei sistemi di vigilanza. Occorrerebbe individuare un modello di collaborazione appropriato per agevolare le partnership tra pubblico e privato in questo settore, come descritto nella sezione 3.2.5.

Il coordinamento e la condivisione degli strumenti SupTech potrebbero essere realizzati efficacemente a livello dell’UE. Il Riquadro  3.3 fornisce alcuni esempi di iniziative esistenti promosse dalla BCE e dall’Innovation Hub Nordic Centre della Banca dei regolamenti internazionali (BRI), che utilizzano strumenti basati sull'IA a sostegno delle attività di vigilanza finanziaria. Si potrebbero inoltre valutare lo sviluppo e la manutenzione di strumenti come il registro dei codici dell’ESMA Data Platform per promuovere l’innovazione e garantire, al contempo, che eventuali rischi emergenti possano continuare a essere gestiti attraverso assetti di governance e sorveglianza adeguati. Il rafforzamento delle capacità di vigilanza, inoltre, può essere sostenuto tramite il ricorso all’intelligenza artificiale per gli stress test e l’utilizzo di strumenti di rilevazione basati sull’IA per valutare il grado di automazione nella produzione di documentazione critica.

[83] AGID (2024), Italian Strategy for Artificial Intelligence 2024-2026, https://www.agid.gov.it/sites/agid/files/2024-07/Italian_strategy_for_artificial_intelligence_2024-2026.pdf.

[82] AGID (2022), National Strategic Programme on Artificial Intelligence | Strategic Programme on Artificial Intelligence 2022 - 2024, https://docs.italia.it/italia/mid/programma-strategico-nazionale-per-intelligenza-artificiale-en-docs/en/bozza/index.html (accessed on 8 January 2025).

[96] AI Hub Korea (2024), Financial Synthetic Data, https://www.aihub.or.kr/aihubdata/data/view.do?currMenu=115&topMenu=100&aihubDataSe=data&dataSetSn=71792 (accessed on 17 April 2025).

[101] AI4I (2024), The Institute, https://ai4i.it/the-institute/ (accessed on 18 December 2025).

[88] APIX (2025), About us, https://apixplatform.com/about-us (accessed on 12 December 2025).

[66] Banco Central do Brasil (2025), Open Finance, https://www.bcb.gov.br/en/financialstability/open_finance (accessed on 26 August 2025).

[52] Bank of England (2025), “SS1/23 – Model risk management principles for banks”, https://www.bankofengland.co.uk/prudential-regulation/publication/2023/may/model-risk-management-principles-for-banks-ss (accessed on 16 December 2025).

[22] Bank of England and FCA (2022), DP5/22 - Artificial Intelligence and Machine Learning | Bank of England, https://www.bankofengland.co.uk/prudential-regulation/publication/2022/october/artificial-intelligence (accessed on 23 April 2024).

[20] Bank of Japan (2025), Financial System Report - Use and Risk Management of Generative AI by Japanese Financial Institutions - 日本銀行 Bank of Japan, https://www.boj.or.jp/en/research/brp/fsr/fsrb250930.htm (accessed on 27 October 2025).

[8] BdI (2026), Banca d’Italia e Central Bank of Ireland avviano la prima Innovation Data Challenge, https://www.bancaditalia.it/media/comunicati/documenti/2026-01/cs-Innovation-Data-Challenge-16012026-ITA.pdf (accessed on 26 January 2026).

[11] BdI (2025), Fintech survey, https://www.bancaditalia.it/pubblicazioni/indagine-fintech/ (accessed on 26 January 2026).

[12] BdI (2022), No. 682 - The digital transformation in the Italian banking sector, https://www.bancaditalia.it/pubblicazioni/qef/2022-0682/index.html?com.dotmarketing.htmlpage.language=1&dotcache=refresh&dotcache=refresh.

[69] BIS (2025), The use of artificial intelligence for policy purposes, https://www.bis.org/publ/othp100.htm (accessed on 9 December 2025).

[111] BIS Innovation Hub Nordic Centre (2025), Project Aurora Phase 2: Open call - case studies of the use of privacy enhancing technology in multi-party collaborative analytics to tackle money laundering, fraud and other financial crime, https://www.bis.org/about/bisih/topics/fmis/aurora/open_call.htm (accessed on 18 December 2025).

[110] BIS Innovation Hub Nordic Centre (2025), Project Aurora: the power of data, technology and collaboration to combat money laundering across institutions and borders, https://www.bis.org/about/bisih/topics/fmis/aurora.htm (accessed on 15 December 2025).

[64] Borges, G. et al. (2024), Implementation and Challenges of Open Finance in Brazil, FGV Law, https://direitorio.fgv.br/sites/default/files/arquivos/direito_rio_livro_neasf_18_eng_ap5.pdf (accessed on 12 December 2025).

[79] Borowicz, M. (2024), “The data quality problem (in the European Financial Data Space)”, International Journal of Law and Information Technology, Vol. 32/1, https://doi.org/10.1093/IJLIT/EAAE015.

[67] CCAF and ADBI (2025), The APAC State of Open Banking and Open Finance, https://www.jbs.cam.ac.uk/faculty-research/centres/alternative-finance/publications/the-apac-state-of-open-banking-and-open-finance/ (accessed on 12 December 2025).

[81] CERTFin (2025), CERTFin about us, https://www.certfin.it/about-us/ (accessed on 10 December 2025).

[14] CIPA (2025), CIPA Rilevazione Economica, https://www.cipa.it/rilevazioni/economiche/index.html (accessed on 11 February 2026).

[13] CIPA (2024), Rilevazione sull’IT nel settore bancario italiano - Profili tecnologici e di sicurezza, anno 2023.

[15] CONSOB (2022), Artificial intelligence in the asset and wealth management, https://www.consob.it/web/consob-and-its-activities/ft9en (accessed on 6 January 2025).

[70] Crisanto, J. et al. (2024), Regulating AI in the financial sector: recent developments and main challenges, BIS, https://www.bis.org/fsi/publ/insights63.htm (accessed on 10 December 2025).

[4] Data Spaces Support Centre (2025), Data Spaces Support Centre, https://dssc.eu/ (accessed on 15 December 2025).

[68] DBS (2020), DBS leverages open banking (SGFinDex) and AI to intensify focus on financial planning inclusion nationwide, https://www.dbs.com/newsroom/DBS_leverages_open_banking_SGFinDex_and_AI_to_intensify_focus_on_financial_planning_inclusion_nationwide (accessed on 12 December 2025).

[33] EBA (2025), “AI Act: implications for the EU banking and payments sector”.

[24] EBA (2021), The EBA publishes follow-up Report on the use of machine learning for internal ratings-based models | European Banking Authority, https://www.eba.europa.eu/publications-and-media/press-releases/eba-publishes-follow-report-use-machine-learning-internal (accessed on 25 April 2024).

[30] EBA (2020), Guidelines on loan origination and monitoring, https://www.eba.europa.eu/sites/default/files/document_library/Publications/Guidelines/2020/Guidelines%20on%20loan%20origination%20and%20monitoring/884283/EBA%20GL%202020%2006%20Final%20Report%20on%20GL%20on%20loan%20origination%20and%20monitoring.pdf (accessed on 20 May 2025).

[104] ECB (2025), Supervision Innovators Conference 2025, https://www.bankingsupervision.europa.eu/press/conferences/html/20250924_Supervision_innovators_conference.en.html (accessed on 15 December 2025).

[47] ECB (2024), The rise of artificial intelligence: benefits and risks for financial stability, Financial Stability Review, https://www.ecb.europa.eu/press/financial-stability-publications/fsr/special/html/ecb.fsrart202405_02~58c3ce5246.en.html (accessed on 9 January 2025).

[38] EDPB (2024), Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, https://www.edpb.europa.eu/system/files/2024-12/edpb_opinion_202428_ai-models_en.pdf (accessed on 12 December 2025).

[32] EIOPA (2025), Opinion on Artificial Intelligence governance and risk management, https://www.eiopa.europa.eu/publications/opinion-artificial-intelligence-governance-and-risk-management_en (accessed on 3 October 2025).

[106] EIOPA (2024), EIOPA Artificial Intelligence Supervision workshop - European Insurance and Occupational Pensions Authority, https://www.eiopa.europa.eu/media/events/eiopa-artificial-intelligence-supervision-workshop-2024-04-24_en (accessed on 15 December 2025).

[25] EIOPA (2024), EIOPA’s Report on the digitalisation of the European insurance sector, https://www.eiopa.europa.eu/publications/eiopas-report-digitalisation-european-insurance-sector_en (accessed on 3 October 2025).

[31] EIOPA (2021), “Artificial Intelligence governance principles: Towards ethical and trustworthy Artificial Intelligence in the European insurance sector”, https://www.eiopa.europa.eu/document/download/30f4502b-3fe9-4fad-b2a3-aa66ea41e863_en?filename=Artificial%20intelligence%20governance%20principles.pdf (accessed on 20 May 2025).

[16] ESMA (2026), “AI adoption and trends in securities markets: EU evidence”, https://www.esma.europa.eu/sites/default/files/2026-02/ESMA50-481369926-30599_TRV_Risk_Analysis_AI_adoption_and_trends_in_securities_markets.pdf (accessed on 23 February 2026).

[23] ESMA (2025), Artificial intelligence in EU investment funds: adoption, strategies and portfolio exposures, https://www.esma.europa.eu/sites/default/files/2025-02/ESMA50-43599798-9923_TRV_Article_Artificial_intelligence_in_EU_investment_funds.pdf.

[29] ESMA (2025), Warning on the use of AI for investing, https://www.esma.europa.eu/sites/default/files/2025-03/ESMA_Warning_on_the_use_of_AI_-_EN.pdf (accessed on 12 May 2025).

[28] ESMA (2024), Public Statement on the use of Artificial Intelligence (AI) in the provision of retail investment services, https://www.esma.europa.eu/sites/default/files/2024-05/ESMA35-335435667-5924__Public_Statement_on_AI_and_investment_services.pdf (accessed on 23 January 2025).

[27] ESMA (2018), Guidelines on certain aspects of the MiFID II suitability requirements, https://www.esma.europa.eu/sites/default/files/library/esma35-43-869-_fr_on_guidelines_on_suitability.pdf (accessed on 20 May 2025).

[36] EU (2025), Digital Omnibus Regulation Proposal, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52025PC0837 (accessed on 11 March 2026).

[61] EU (2022), Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011 [DORA Regulation], https://eur-lex.europa.eu/eli/reg/2022/2554/oj (accessed on 20 May 2025).

[107] EU Academy (2025), Introduction to Artificial Intelligence for Public Service Interoperability, https://academy.europa.eu/courses/introduction-to-artificial-intelligence-for-public-service-interoperability (accessed on 15 December 2025).

[94] EuroHPC JU (2025), AI Factories Access Modes - The European High Performance Computing Joint Undertaking (EuroHPC JU), https://www.eurohpc-ju.europa.eu/ai-factories/ai-factories-access-modes_en (accessed on 10 December 2025).

[76] European Commision (2024), Simpl: Cloud-to-edge federations empowering EU data spaces, https://digital-strategy.ec.europa.eu/en/policies/simpl (accessed on 15 December 2025).

[98] European Commission (2025), Commission seeks feedback on draft implementing act to establish AI regulatory sandboxes under the AI Act, https://digital-strategy.ec.europa.eu/en/consultations/commission-seeks-feedback-draft-implementing-act-establish-ai-regulatory-sandboxes-under-ai-act (accessed on 12 January 2026).

[73] European Commission (2025), Commission unveils Savings and Investments Union strategy to enhance financial opportunities, https://ec.europa.eu/commission/presscorner/detail/en/ip_25_802 (accessed on 9 December 2025).

[5] European Commission (2025), Common European data spaces, https://digital-strategy.ec.europa.eu/en/policies/data-spaces (accessed on 15 December 2025).

[60] European Commission (2025), Communication on a Financial Literacy Strategy for the EU, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52025DC0681 (accessed on 23 March 2026).

[75] European Commission (2025), Data Spaces | Interoperable Europe Portal, https://interoperable-europe.ec.europa.eu/collection/semic-support-centre/data-spaces (accessed on 15 December 2025).

[6] European Commission (2025), European Data Union Strategy, https://digital-strategy.ec.europa.eu/en/policies/data-union (accessed on 15 December 2025).

[74] European Commission (2025), Savings and Investments Union: A Strategy to Foster Citizens’ Wealth and Economic Competitiveness in the EU, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52025DC0124 (accessed on 9 December 2025).

[71] European Commission (2023), Framework for Financial Data Access and amending Regulations (EU) No 1093/2010, (EU) No 1094/2010, (EU) No 1095/2010 and (EU) 2022/2554, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52023PC0360 (accessed on 9 December 2025).

[72] European Council (2025), Savings and investments union, https://www.consilium.europa.eu/en/policies/savings-and-investments-union-siu/ (accessed on 9 December 2025).

[55] European Union (2024), Regulation (EU) 2024/1689 (AI Act), https://eur-lex.europa.eu/eli/reg/2024/1689/oj (accessed on 28 November 2024).

[103] EU-SDFA (2025), Creating a common European culture of digital finance supervision, https://eusdfa.eui.eu/ (accessed on 15 December 2025).

[87] FCA (2025), FS25/5 - Summary of Feedback Received on the Engagement Paper proposing AI Live Testing, https://www.fca.org.uk/publication/feedback/fs25-5.pdf (accessed on 12 December 2025).

[86] FCA (2024), AI Lab, https://www.fca.org.uk/firms/innovation/ai-lab (accessed on 12 December 2025).

[53] Federal Reserve (2025), The Fed - Supervisory Letter SR 11-7 on guidance on Model Risk Management -- April 4, 2011, https://www.federalreserve.gov/supervisionreg/srletters/sr1107.htm (accessed on 16 December 2025).

[51] Financial Services Agency of Japan (2021), FSA publishes an English translation of Principles for Model Risk Management, https://www.fsa.go.jp/en/news/2021/2021112en.html (accessed on 16 December 2025).

[21] Finansinspektionen (2024), AI in the Swedish financial sector, https://www.fi.se/contentassets/084ebc13d6364a28a87a37c9a557ec9c/report-ai-swedish-financial-sector.pdf (accessed on 15 September 2025).

[19] FIN-FSA (2025), The use of artificial intelligence by financial sector actors, https://www.finanssivalvonta.fi/globalassets/en/publications/supervision-releases/2025/the-use-of-artificial-intelligence-by-financial-sector-actors_en_.pdf (accessed on 15 September 2025).

[18] FINMA (2025), FINMA survey: artificial intelligence gaining traction at Swiss financial institutions, https://www.finma.ch/en/news/2025/04/20250424-mm-umfrage-ki/#:~:text=Around%2050%25%20of%20institutions%20have,management%20and%20enterprise%20risk%20management. (accessed on 9 September 2025).

[63] FSB (2025), FSB finalises the common Format for Incident Reporting Exchange (FIRE) - Financial Stability Board, Financial Stability Board, https://www.fsb.org/2025/04/format-for-incident-reporting-exchange-fire-final-report/ (accessed on 27 January 2026).

[10] FSB (2025), “Monitoring Adoption of Artificial Intelligence and Related Vulnerabilities in the Financial Sector”, http://www.fsb.org/emailalert (accessed on 27 October 2025).

[45] FSB (2024), The Financial Stability Implications of Artificial Intelligence, FSB, Washington, DC., https://www.fsb.org/uploads/P14112024.pdf (accessed on 1 December 2024).

[62] G7 (2025), G7 CYBER EXPERT GROUP STATEMENT ON Artificial Intelligence and Cybersecurity, https://home.treasury.gov/system/files/136/G7-Cyber-Expert-Group-Statement-AI-and-Cybersecurity-2025.pdf (accessed on 3 October 2025).

[77] Gaia-X (2025), Gaia-X Hub Italia, https://www.gaiax-italia.eu/ (accessed on 15 December 2025).

[7] Gaia-X (2023), About - Gaia-X: A Federated Secure Data Infrastructure, https://gaia-x.eu/about/ (accessed on 15 December 2025).

[39] Garante (2024), Press room - Garante privacy en - Garante Privacy, https://www.garanteprivacy.it/web/garante-privacy-en/press-room (accessed on 8 January 2025).

[44] GARP (2025), Five Pillars of Generative AI Governance in Financial Services, https://www.garp.org/risk-intelligence/culture-governance/five-pillars-generative-ai-250103 (accessed on 11 December 2025).

[102] Generali (2025), Agorai Innovation Hub - Generali Group, https://www.generali.com/agorainnovationhub#partner (accessed on 26 January 2026).

[90] GFTN (2025), Meet ALFIN, https://gftn.co/alfin/ (accessed on 12 December 2025).

[89] GFTN (2025), Who We Are, https://gftn.co/who-we-are/ (accessed on 12 December 2025).

[93] HKMA (2025), HKMA announces second cohort of GenA.I. Sandbox to advance responsible AI innovation, https://www.info.gov.hk/gia/general/202510/15/P2025101500258.htm (accessed on 10 December 2025).

[99] HKMA (2024), “Expansion of Greater Bay Area Fintech Pilot Trial Facility”, https://cdn.amcm.gov.mo/uploads/attachment/2024-02/ch_av_614_mc006.pdf (accessed on 18 April 2025).

[92] HKMA (2024), HKMA and Cyberport Launch GenA.I. Sandbox to Bolster A.I. Adoption in Financial Sector, https://www.hkma.gov.hk/eng/news-and-media/press-releases/2024/08/20240813-6/ (accessed on 11 April 2025).

[95] IT4LIA (2025), About IT4LIA - Italy for Artificial Intelligence, https://it4lia-aifactory.eu/about-it4lia/ (accessed on 10 December 2025).

[17] IVASS (2023), Survey on the use of Machine Learning algorithms by insurance companies in their relations with policyholders, https://www.ivass.it/pubblicazioni-e-statistiche/pubblicazioni/altre-pubblicazioni/2023/indagine-algoritmi/Esiti_indagine_Algogovernance_ENG.pdf?language_id=3 (accessed on 27 January 2025).

[108] Machado, P. (2025), Artificial intelligence and supervision: innovation with caution, https://www.bankingsupervision.europa.eu/press/speeches/date/2025/html/ssm.sp251014~5bc6e60334.en.html (accessed on 18 December 2025).

[109] McCaul, E. (2024), SSM digitalisation – from exploration to full-scale adoption, ECB, https://www.bankingsupervision.europa.eu/press/speeches/date/2024/html/ssm.sp240612_1~a3ace1ed8e.en.pdf (accessed on 18 December 2025).

[97] MRANTI Malaysia (2024), Mosti launches AI Sandbox Pilot Programme, https://mranti.my/happenings/news/mosti-launches-ai-sandbox-pilot-programme (accessed on 17 April 2025).

[43] NIST (2023), “NIST Artificial Intelligence Risk Management Framework (AI RMF 1.0)”, https://doi.org/10.6028/NIST.AI.100-1.

[1] OECD (2026), Supervision of Artificial Intelligence in Finance: Challenges, Policies and practices, https://www.oecd.org/en/publications/supervision-of-artificial-intelligence-in-finance_92743dc1-en.html.

[3] OECD (2026), The interplay between Artificial Intelligence and Open Finance: Synergies, interdependencies and policy implications, OECD Publishing.

[116] OECD (2025), AI openness: A primer for policymakers, https://www.oecd.org/content/dam/oecd/en/publications/reports/2025/08/ai-openness_958d292b/02f73362-en.pdf (accessed on 9 March 2026).

[41] OECD (2025), Artificial Intelligence in Asia’s financial sector: A review of country policies, https://www.oecd.org/content/dam/oecd/en/publications/reports/2025/12/artificial-intelligence-in-asia-s-financial-sector_b8532d0b/3385bbd8-en.pdf.

[80] OECD (2025), “Sharing trustworthy AI models with privacy-enhancing technologies”, OECD Artificial Intelligence Papers, No. 38, OECD Publishing, Paris, https://doi.org/10.1787/a266160b-en.

[57] OECD (2025), Supporting informed and safe use of digital payments through digital financial literacy, OECD Publishing, Paris, https://doi.org/10.1787/21de47d1-en.

[117] OECD (2025), Towards a common reporting framework for AI incidents, https://www.oecd.org/en/publications/towards-a-common-reporting-framework-for-ai-incidents_f326d4ac-en.html.

[34] OECD (2024), “AI, data governance and privacy: Synergies and areas of international co-operation”, OECD Artificial Intelligence Papers, No. 22, OECD Publishing, Paris, https://doi.org/10.1787/2476b1a4-en.

[115] OECD (2024), Defining AI incidents and related terms, https://www.oecd.org/en/publications/defining-ai-incidents-and-related-terms_d1a8d965-en.html (accessed on 3 April 2026).

[40] OECD (2024), Recommendation of the Council on Artificial Intelligence, https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449 (accessed on 18 September 2025).

[26] OECD (2024), “Regulatory approaches to Artificial Intelligence in finance”, OECD Artificial Intelligence Papers, No. 24, OECD Publishing, Paris, https://doi.org/10.1787/f1498c02-en.

[42] OECD (2023), “Common guideposts to promote interoperability in AI risk management”, OECD Artificial Intelligence Papers, No. 5, OECD Publishing, Paris, https://doi.org/10.1787/ba602d18-en.

[48] OECD (2023), “Generative artificial intelligence in finance”, OECD Artificial Intelligence Papers, No. 9, OECD Publishing, Paris, https://doi.org/10.1787/ac7149cc-en.

[100] OECD (2023), OECD Employment Outlook 2023: Artificial Intelligence and the Labour Market, OECD Publishing, Paris, https://doi.org/10.1787/08785bba-en.

[59] OECD (2023), OECD/INFE 2023 International Survey of Adult Financial Literacy, OECD, https://www.oecd.org/financial/education/international-survey-of-adult-financial-literacy-2023.htm (accessed on 25 January 2024).

[35] OECD (2021), Artificial Intelligence, Machine Learning and Big Data in Finance: Opportunities, Challenges and Implications for Policy Makers, OECD Publishing, Paris, https://doi.org/10.1787/98e761e7-en.

[58] OECD (2020), Recommendation of the Council on Financial Literacy, https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0461 (accessed on 20 September 2021).

[91] OECD (2019), AI principles, https://www.oecd.org/en/topics/sub-issues/ai-principles.html (accessed on 29 April 2025).

[2] OECD (2019), Artificial Intelligence in Society, OECD Publishing, Paris, https://doi.org/10.1787/eedfee77-en.

[37] OECD.AI (2026), Catalogue of Tools & Metrics for Trustworthy AI, https://oecd.ai/en/catalogue/faq (accessed on 11 December 2025).

[112] OECD.AI (2026), G7 reporting framework – Hiroshima AI Process (HAIP) international code of conduct for organizations developing advanced AI systems, https://transparency.oecd.ai/ (accessed on 3 April 2026).

[9] OECD and FSB (2024), OECD – FSB Roundtable on Artificial Intelligence (AI) in Finance: Summary of key findings - Financial Stability Board, OECD and FSB, Paris, https://www.fsb.org/2024/09/oecd-fsb-roundtable-on-artificial-intelligence-ai-in-finance-summary-of-key-findings/ (accessed on 9 December 2025).

[54] Office of the Comptroller of the Currency (2021), Comptroller’s Handbook: Model Risk Management | OCC, Office of the Comptroller of the Currency, Washington, D.C., https://www.occ.gov/publications-and-resources/publications/comptrollers-handbook/files/model-risk-management/pub-ch-model-risk.pdf (accessed on 16 December 2025).

[50] Office of the Superintendent of Financial Institutions (2025), Guideline E-23 – Model Risk Management (2027), Guideline E-23 – Model Risk Management (2027) undergoing publication process, https://www.osfi-bsif.gc.ca/en/guidance/guidance-library/guideline-e-23-model-risk-management-2027 (accessed on 16 December 2025).

[65] Open Finance Brasil (2025), Dashboard do Cidadão, https://openfinancebrasil.org.br/dashboard-do-cidadao/ (accessed on 12 December 2025).

[78] Penedo, A. and P. Kramcsák (2023), “Can the European Financial Data Space remove bias in financial AI development? Opportunities and regulatory challenges”, International Journal of Law and Information Technology, Vol. 31/3, pp. 253-275, https://doi.org/10.1093/IJLIT/EAAD020.

[49] Perez-Cruz, F. et al. (2025), “Managing explanations: how regulators can address AI explainability”, Bank for International Settlements - FSI Occasional Papers 24, https://www.bis.org/fsi/fsipapers24.htm (accessed on 15 December 2025).

[113] Project Apertus (2025), Democratizing Open and Compliant LLMs for Global Language Environments: Apertus v1 Technical Report.

[114] Swiss-AI (2025), About Apertus, https://www.swiss-ai.org/apertus (accessed on 11 December 2025).

[85] UK Government (2025), AI Opportunities Action Plan, https://www.gov.uk/government/publications/ai-opportunities-action-plan/ai-opportunities-action-plan (accessed on 10 December 2025).

[84] UK Government (2023), A pro-innovation approach to AI regulation, Department for Science, Innovation and Technology (DSIT), https://www.gov.uk/government/publications/ai-regulation-a-pro-innovation-approach (accessed on 10 December 2025).

[105] UNESCO (2025), Expanding Capacity Building for Competent Authorities on AI: National, https://www.unesco.org/en/articles/expanding-capacity-building-competent-authorities-ai-national-trainings-across-eu (accessed on 15 December 2025).

[46] US Department of the Treasury (2024), Managing Artificial Intelligence-Specific Cybersecurity Risks in the Financial Services Sector.

[56] World Bank (2025), Digital Progress and Trends Report 2025: Strengthening AI Foundations, https://doi.org/10.1596/978-1-4648-2264-3.