Il cred­it scor­ing è un meto­do sta­tis­ti­co che con­sente di val­utare l’affidabilità cred­i­tizia e la solvi­bil­ità di una deter­mi­na­ta per­sona. È sostanzial­mente un’attività di val­u­tazione del ris­chio di cred­i­to, sul­la base del pro­fi­lo di una per­sona, che nasconde però molti rischi di dis­crim­i­nazione.

Tut­ti noi abbi­amo almeno una vol­ta nel­la vita sot­to­scrit­to un con­trat­to di finanzi­a­men­to o fat­to richi­es­ta alla nos­tra ban­ca per l’erogazione di una car­ta di cred­i­to. Quel­lo che forse non tut­ti san­no, è cosa suc­cede dietro le quinte ed in che modo gli isti­tu­ti di cred­i­to deci­dono di approvare o negare le richi­este per­venute.

Il cred­it scor­ing non è usato solo dagli isti­tu­ti di cred­i­to. Ma anche, ad esem­pio, da soci­età elet­triche e del gas.

Inoltre è poco ris­a­puto che si può cor­rere il ris­chio di essere dis­crim­i­nati.

Come funziona il credit scoring

Quan­do l’istituto di cred­i­to riceve una richi­es­ta di finanzi­a­men­to di qual­si­asi tipo, pro­cede pre­lim­i­n­ar­mente ad acquisire una gran quan­tità di dati per­son­ali del cliente pres­so diverse banche dati, che pos­sono essere pub­bliche, come il Reg­istro dei Protesti, o il sis­tema pub­bli­co di Pre­ven­zione, o pri­vate.

I dati acquisi­ti riguardano prin­ci­pal­mente due cat­e­gorie di infor­mazioni:

• di tipo pos­i­ti­vo, come infor­mazioni sul­la rego­lar­ità dei paga­men­ti di bol­lette o rate;
• di tipo neg­a­ti­vo, come morosità, deb­iti, o mutui attivi.

Oltre a queste infor­mazioni, il sis­tema acqui­sisce qual­si­asi altro dato per­son­ale ril­e­vante per pro­cedere all’analisi tipi­ca del cred­it scor­ing. Dati ana­grafi­ci e iden­ti­fica­tivi di vario tipo, attiv­ità eco­nomiche, dati pat­ri­mo­ni­ali, dati demografi­ci, ses­so, età, e molto altro.

Una vol­ta ottenu­ti tut­ti i dati nec­es­sari si pro­cede con la vera e pro­pria attiv­ità di cred­it scor­ing. Molto spes­so con­siste in un’attiv­ità di pro­fi­lazione a cui segue un proces­so deci­sion­ale autom­a­tiz­za­to.

Il cred­it scor­ing è quin­di un proces­so tri­fa­si­co:

1. acqui­sizione dei dati;
2. creazione del pro­fi­lo utente;
3. deci­sione autom­a­tiz­za­ta.

La deci­sione dipende in gran parte dal pro­fi­lo di ris­chio dell’utente. Questo viene val­u­ta­to in modo auto­mati­co da soft­ware speci­fi­ci, sul­la base dei dati disponi­bili.

Spes­so, il risul­ta­to di ques­ta com­p­lessa anal­isi arri­va agli scher­mi degli oper­a­tori dell’istituto di cred­i­to sot­to for­ma di sem­pli­ci val­u­tazioni qual­i­ta­tive.

La per­sona dall’altra parte del mon­i­tor non com­pie alcu­na attiv­ità, se non quel­la di ver­i­fi­ca ulte­ri­ore delle per­sone “affid­abili con ris­er­va”. In questi casi, è soli­ta­mente la pol­i­cy azien­dale a dettare il risul­ta­to del­la deci­sione.

Per alcu­ni casi la richi­es­ta sarà nega­ta. Per altri, il cliente avrà la pos­si­bil­ità di accettare con­dizioni con­trat­tuali diverse rispet­to a cli­en­ti con un pro­fi­lo migliore, come una rata più ele­va­ta o una cauzione.

Credit scoring non solo per gli istituti di credito

Non sono solo gli isti­tu­ti di cred­i­to che pos­sono accedere ai SIC. Ma anche alcu­ni sogget­ti spec­i­fi­cata­mente indi­cati dal­la nor­ma­ti­va nazionale.

Tra questi fig­u­ra­no le soci­età di for­ni­tu­ra di ener­gia.

Ciò sig­nifi­ca che da alcu­ni anni, anche le soci­età di for­ni­tu­ra di ener­gia elet­tri­ca e gas han­no a dis­po­sizione lo stru­men­to del cred­it scor­ing.

Ogni vol­ta che viene chi­es­ta l’attivazione di una nuo­va uten­za di ener­gia elet­tri­ca o gas, ques­ta dovrà pri­ma pas­sare il vaglio di un proces­so deci­sion­ale autom­a­tiz­za­to di cred­it scor­ing. Al pari di ciò che suc­cede per gli isti­tu­ti di cred­i­to.

I rischi per le persone

I rischi per le per­sone sono molti.

Come vis­to, il proces­so di cred­it scor­ing si com­pone di tre macro-fasi. Queste tre fasi pos­sono essere tec­ni­ca­mente descritte come segue:

• data ware­hous­ing. Rac­col­ta e mem­o­riz­zazione di dati su larga scala;
• data min­ing. Anal­isi autom­a­tiz­za­ta dei dati disponi­bili con estrazione delle infor­mazioni ril­e­van­ti;
• data cor­re­la­tion. Anal­isi delle infor­mazioni estrat­te per la definizione di un pro­fi­lo per­son­ale.

I SIC sono respon­s­abili del­la pri­ma fase. La rac­col­ta e mem­o­riz­zazione di dati su larga scala. Dati gli inter­es­si in gio­co, la nor­ma­ti­va prevede strin­gen­ti regole per garan­tire l’esattezza e la qual­ità dei dati rac­colti e mem­o­riz­za­ti. I SIC sono tenu­ti a man­tenere aggior­nati le pro­prie banche dati, e sono obbli­gati a man­tenere ridot­ti tem­pi di con­ser­vazione dei dati, per assi­cu­rare da un lato il rispet­to del prin­ci­pio di min­i­miz­zazione, e dall’altro la qual­ità dei dati disponi­bili. Man­tenere dati inesat­ti o non aggior­nati nelle banche dati dei SIC sig­nifi­ca viziare tut­to il proces­so che segue.

La sec­on­da fase dipende dagli accor­di con­trat­tuali tra oper­a­tore e SIC. Le infor­mazioni estrat­te saran­no infat­ti soltan­to quelle ritenute ril­e­van­ti per le final­ità dell’operatore. Pure in ques­ta fase è fon­da­men­tale accer­tar­si che le infor­mazioni estrat­te siano effet­ti­va­mente ril­e­van­ti e non ecce­den­ti. Pena un risul­ta­to non otti­male del­la fase suc­ces­si­va, forse la più impor­tante.

La data cor­re­la­tion è ciò che gen­eral­mente viene chia­ma­ta pro­fi­lazione. L’analisi delle infor­mazioni disponi­bili per la creazione di un pro­fi­lo per­son­ale con lo scopo di avere un’indicazione il più pos­si­bile pre­cisa del­la realtà o per prevedere pos­si­bili avven­i­men­ti futuri. Tut­tavia, la pro­fi­lazione è un’attività sogget­ta per sua natu­ra a errori. Gli errori potreb­bero derivare dalle fasi prece­den­ti, ma potreb­bero perfi­no dipen­dere dal­la bon­tà dell’algoritmo di pro­fi­lazione.

Molte per­sone non sono con­sapevoli di ciò che suc­cede dietro le quinte, e la legge non prevede obb­lighi speci­fi­ci di comu­ni­cazione delle moti­vazioni del rifi­u­to di una richi­es­ta sul­la base di un proces­so deci­sion­ale autom­a­tiz­za­to di cred­it scor­ing.

È suf­fi­ciente indi­care nel­la comu­ni­cazione di rifi­u­to che per val­utare la richi­es­ta si è fat­to ricor­so a Sis­te­mi di Infor­mazione Cred­i­tizia.

In realtà, spes­so neanche i dipen­den­ti di queste orga­niz­zazioni han­no idea di cosa suc­ce­da dietro le quinte. Chiedere al cus­tomer ser­vice la moti­vazione per cui la richi­es­ta di car­ta di cred­i­to è sta­ta nega­ta è sem­plice­mente inutile. 

C’è di più. I rischi per le per­sone non derivano soltan­to da errori di sis­tema.

Il rischio discriminazione

Il cred­it scor­ing con­sente alle orga­niz­zazioni che ne fan­no uso di val­utare il pro­fi­lo di ris­chio del­la sin­go­la per­sona, e pren­dere deci­sioni infor­mate.

Questo può tradur­si, ad esem­pio, in dis­crim­i­nazione del prez­zo. Qual­si­asi orga­niz­zazione con scopo di lucro al mon­do vor­rebbe essere in gra­do di offrire prezzi per­son­al­iz­za­ti per ogni sin­go­lo cliente.

Ma non è solo ques­tione di prez­zo.

L’uso di dati per­son­ali di qual­ità ele­va­ta e algo­rit­mi effi­ci­en­ti di pro­fi­lazione con­sentono di deter­minare con grande pre­ci­sione il pro­fi­lo di ris­chio di ogni sin­go­la per­sona. Un pro­fi­lo che viene cal­co­la­to anche attra­ver­so infor­mazioni non riferi­bili diret­ta­mente all’ambito eco­nom­i­co. Come il pro­fi­lo di ris­chio del quartiere di res­i­den­za, l’età, il ses­so, il liv­el­lo di edu­cazione, e così via.

L’uso di queste infor­mazioni per attiv­ità di pro­fi­lazione può com­portare a dis­crim­i­nazioni di tipo con­trat­tuale, ad esem­pio nel caso di assi­cu­razioni o per l’accesso a isti­tu­ti sco­las­ti­ci pri­vati.

Non sem­pre l’uso di queste infor­mazioni nell’ambito del cred­it scor­ing è lecito.

In un provved­i­men­to di aprile 2019, l’Autorità per la pro­tezione dei dati per­son­ali fin­lan­dese ha sanzion­a­to un isti­tu­to di cred­i­to per aver dis­crim­i­na­to un cliente, con proces­so deci­sion­ale autom­a­tiz­za­to, in ragione del­la sua età.

Il sogget­to inter­es­sato in ques­tione era sem­plice­mente trop­po vec­chio per l’algoritmo uti­liz­za­to dall’istituto di cred­i­to. L’Autorità nel provved­i­men­to non solo affer­ma che tale dis­crim­i­nazione è ingius­ti­fi­ca­ta e illecita, ma inti­ma l’istituto di cred­i­to a ren­dere note al sogget­to le esat­te logiche di pro­fi­lazione, per con­sen­tir­gli di com­pren­dere esat­ta­mente le moti­vazioni del­la deci­sione autom­a­tiz­za­ta.

Anco­ra, il caso Apple Pay. Il New York State Depart­ment of Finan­cial Ser­vices ha intrapre­so un’indagine sui cri­teri di pro­fi­lazione degli algo­rit­mi uti­liz­za­ti da Apple Pay per con­cedere la lin­ea di cred­i­to ai cli­en­ti. Da alcune seg­nalazioni di cli­en­ti risul­terebbe infat­ti un’evidente e ampia dis­crim­i­nazione nei con­fron­ti delle donne. L’algoritmo asseg­nerebbe ai cli­en­ti di ses­so fem­minile lim­i­ti mas­si­mi di cred­i­to anche di 20 volte infe­ri­ori rispet­to ai cli­en­ti di ses­so maschile, pur pre­sen­tan­do lo stes­so back­ground eco­nom­i­co, sociale e finanziario.

Le tutele per le persone

L’intelligenza arti­fi­ciale, la pro­fi­lazione e i pro­ces­si deci­sion­ali autom­a­tiz­za­ti faran­no sem­pre più parte delle nos­tre vite. Gius­to o sbaglia­to che sia, è il nos­tro pre­sente e cer­ta­mente il nos­tro futuro.

Il rap­por­to tra leg­gi e tec­nolo­gia non è mai sta­to facile.

Un sin­go­lo arti­co­lo all’interno del Rego­la­men­to UE 2016/679 si pone come balu­ar­do per la tutela delle per­sone con­tro i pro­ces­si deci­sion­ali autom­a­tiz­za­ti. Sta­bilisce le basi per quel­lo che sarà il futuro, almeno nell’Unione Euro­pea, del­la leg­is­lazione in mate­ria di intel­li­gen­za arti­fi­ciale.

L’art. 22 del GDPR recita: “l’interessato ha il dirit­to di non essere sot­to­pos­to a una deci­sione basa­ta uni­ca­mente sul trat­ta­men­to autom­a­tiz­za­to, com­pre­sa la pro­fi­lazione, che pro­d­u­ca effet­ti giuridi­ci che lo riguardano o che inci­da in modo anal­o­go sig­ni­fica­ti­va­mente sul­la sua per­sona.”

Ci sono delle eccezioni a questo dirit­to:

• la deci­sione è nec­es­saria per la con­clu­sione o l’esecuzione di un con­trat­to tra l’interessato e un tito­lare del trat­ta­men­to;
• la deci­sione è autor­iz­za­ta dal dirit­to dell’Unione o del­lo Sta­to mem­bro cui è sogget­to il tito­lare del trat­ta­men­to, che pre­cisa altresì mis­ure adeguate a tutela dei dirit­ti, delle lib­ertà e dei legit­ti­mi inter­es­si dell’interessato;
• la deci­sione si basa sul con­sen­so esplic­i­to dell’interessato.

Nel pri­mo e ter­zo caso, è obbli­go del tito­lare del trat­ta­men­to attuare mis­ure adeguate a tute­lare i dirit­ti, le lib­ertà e i legit­ti­mi inter­es­si delle per­sone e, almeno, il dirit­to di ottenere l’intervento umano, di esprimere la pro­pria opin­ione e di con­testare la deci­sione.

L’art. 22 pros­egue indi­can­do inoltre, dei lim­i­ti all’uso di cat­e­gorie par­ti­co­lari di dati per­son­ali.

Ciò che inter­es­sa, però, è il dirit­to di pot­er richiedere l’intervento umano e con­testare la deci­sione. Ques­ta sin­go­la pre­vi­sione di legge è l’unica dife­sa che attual­mente pro­tegge i cit­ta­di­ni dell’Unione Euro­pea.

Una pre­vi­sione nor­ma­ti­va di sostanziale democrazia, che per­me­tte alle per­sone di far valere i pro­pri dirit­ti di fronte al tito­lare e alle Autorità com­pe­ten­ti, con­tro le deci­sioni prese da un soft­ware.

Il futuro sicu­ra­mente ris­erverà numerosi inter­ven­ti leg­isla­tivi in mate­ria di intel­li­gen­za arti­fi­ciale, pro­ces­si deci­sion­ali autom­a­tiz­za­ti e pro­fi­lazione, ma la sper­an­za è che la direzione sia quel­la indi­ca­ta dall’art. 22 del GDPR.

Se ti è piaci­u­to questo arti­co­lo fac­ce­lo sapere qui sot­to nei com­men­ti. Scrivi pure se hai dub­bi o opin­ioni a riguar­do.

Puoi anche unir­ti alla com­mu­ni­ty di Inves­thero, dove potrai trovare altri con­tenu­ti sim­ili e con­frontar­ti lib­era­mente con gli altri mem­bri.