g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere sullo schema di “Regolamento recante disposizioni sul trattamento dei dati personali effettuato dalla Banca d’Italia nell’ambito delle attività di supporto all’Arbitro Bancario Finanziario (ABF)”, predisposto dalla Banca d’Italia - 28 maggio 2026 [10259660]

Parere sullo schema di “Regolamento recante disposizioni sul trattamento dei dati personali effettuato dalla Banca d’Italia nell’ambito delle attività di supporto all’Arbitro Bancario Finanziario (ABF)”, predisposto dalla Banca d’Italia - 28 maggio 2026 [10259660]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10259660]

Parere sullo schema di “Regolamento recante disposizioni sul trattamento dei dati personali effettuato dalla Banca d’Italia nell’ambito delle attività di supporto all’Arbitro Bancario Finanziario (ABF)”, predisposto dalla Banca d’Italia - 28 maggio 2026

Registro dei provvedimenti
n. 380 del 28 maggio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull'Intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull'intelligenza artificiale), e, in particolare, l’art. 6 concernente le regole di classificazione per i sistemi di Intelligenza artificiale (IA) ad alto rischio e il cons. 61 concernente, nello specifico, il rischio connesso all’utilizzo di sistemi di IA nell’ambito delle procedure di risoluzione alternativa delle controversie;

VISTA la legge 23 settembre 2025, n. 132, che introduce disposizioni a livello nazionale in materia di IA;

VISTO il decreto legislativo 1° settembre 1993, n. 385, recante il Testo unico delle leggi in materia bancaria e creditizia (di seguito, TUB), in base al quale vengono attribuiti alla Banca d’Italia, e conseguentemente disciplinati, poteri di vigilanza nei confronti delle banche, dei gruppi bancari, degli intermediari finanziari, degli istituti di moneta elettronica e degli istituti di pagamento, tra cui il potere di emanare regolamenti nei casi previsti dalla legge (cfr. spec. artt. 4, 5 e 127);

VISTI, con particolare riferimento alla disciplina concernente la risoluzione stragiudiziale delle controversie con la clientela, l’art. 128-bis del TUB – che rinvia a una deliberazione del Comitato interministeriale per il credito ed il risparmio (CICR), su proposta della Banca d'Italia, la determinazione dei criteri di svolgimento delle procedure di risoluzione delle controversie e di composizione dell'organo decidente, nonché l’art. 40 del decreto legislativo 27 gennaio 2010, n. 11 (con riferimento alle controversie concernenti i servizi di pagamento);

VISTA la delibera del CICR 29 luglio 2008, n. 275, come modificata con decreto del Ministro dell’economia e delle finanze – Presidente del CICR 10 luglio 2020, n. 127, adottata ai sensi del menzionato art. 128-bis del TUB, recante la “Disciplina dei sistemi di risoluzione stragiudiziale delle controversie con la clientela ai sensi dell’articolo 128-bis del decreto legislativo 1° settembre 1993, n. 385 e successive modificazioni”, che, tra le altre cose, attribuisce alla Banca d’Italia il compito di svolgere attività di segreteria tecnica per l’organo decidente, di nominare i suoi membri e di emanare disposizioni regolamentari e organizzative per il suo funzionamento;

VISTO il Regolamento recante individuazione dei dati sensibili e giudiziari e delle operazioni eseguibili, adottato dalla Banca d’Italia il 6 novembre 2015 ai sensi degli artt. 20 e 21 del Codice (nella versione all’epoca vigente);

VISTA la richiesta di parere, pervenuta in data 24 aprile 2026 all’esito di interlocuzioni informali tra gli Uffici, con la quale la Banca d’Italia ha sottoposto all’Autorità lo schema di “Regolamento recante disposizioni sul trattamento dei dati personali effettuato dalla Banca d’Italia nell’ambito delle attività di supporto all’Arbitro Bancario Finanziario (ABF)”, allegato alla bozza di provvedimento che lo adotta;

RILEVATO che lo schema di regolamento in esame disciplina, ai fini dello svolgimento dei compiti della Banca d’Italia di supporto al funzionamento del sistema di risoluzione stragiudiziale delle controversie presso l’Arbitro bancario e finanziario (di seguito, ABF) – caratterizzato dalla presenza di un organo decidente (o collegio ABF) e di una segreteria tecnica deputata allo svolgimento di attività amministrative e di sostegno – tra clienti, banche e altri intermediari in materia di operazioni e servizi bancari e finanziari, le seguenti attività di trattamento di dati personali:

a) gestione dei dati contenuti nella documentazione raccolta per la nomina, rinnovo, decadenza e revoca dei componenti dell’organo decidente dell’ABF: tale trattamento ha ad oggetto i dati personali contenuti nella documentazione prodotta per l’assunzione o il rinnovo dell’incarico quale componente del collegio ABF, nonché quelli raccolti da altre fonti, sulla base di disposizioni di legge; vi rientrano altresì tutte le informazioni utili a comprovare la presenza e permanenza dei requisiti richiesti dalla menzionata normativa di settore, ivi compresi i dati relativi a condanne penali e reati eventualmente presenti nei certificati del casellario giudiziale;

b) gestione dei dati contenuti nella documentazione raccolta nell’ambito del procedimento ABF: tale trattamento, effettuato dalle segreterie tecniche nell’esercizio delle proprie funzioni di supporto dell’organo decidente, ha ad oggetto i dati personali contenuti nei ricorsi presentati dalla clientela e nelle successive memorie trasmesse da intermediari e clienti, che possono anche essere riferiti a soggetti terzi a vario titolo coinvolti nel ricorso o possono anche appartenere alle categorie di cui agli artt. 9 e 10 del Regolamento, in quanto il contenuto degli atti non è predeterminabile ex ante ma liberamente redatto dalle parti che allegano ciò che ritengono utile a sostegno della propria posizione, anche informazioni non strettamente necessarie alla gestione del ricorso. Il trattamento viene effettuato all’esclusivo fine di risoluzione della controversia mediante le sole operazioni a ciò indispensabili; ciò può comportare, tenuto conto delle circostanze concrete, la rimozione dal fascicolo dei documenti contenenti le categorie di dati personali di cui agli artt. 9 e 10 del Regolamento nel caso in cui, a seguito di contemperamento tra il diritto di difesa e il diritto alla protezione dei dati personali, non siano ritenuti necessari per la risoluzione della controversia. La pubblicazione delle decisioni è preceduta dall’anonimizzazione dei dati personali. Un ulteriore trattamento consiste nell’utilizzo dei dati raccolti dai ricorrenti che vengono contattati all’esito del ricorso e invitati a partecipare a una survey di customer satisfaction, curata dalla struttura centrale di coordinamento dell’ABF, per valutare la qualità del servizio di assistenza ricevuto;

c) analisi della documentazione relativa ai ricorsi, effettuata anche tramite strumenti di ricerca avanzata, sistemi di IA e tecnologie correlate tramite applicativi aziendali che non prevedono connessioni verso l’esterno: in questo caso i trattamenti consistono nella consultazione e analisi della documentazione relativa ai ricorsi e nell’estrazione di notizie rilevanti, al fine sia di supportare l’attività amministrativa delle segreterie tecniche, che di monitorare l’andamento spazio-temporale del contenzioso e, conseguentemente, ricavare informazioni (in forma aggregata, senza la possibilità di identificare, neanche indirettamente, le persone fisiche coinvolte nei ricorsi) utili all’indirizzamento delle attività di vigilanza della Banca d’Italia e alla redazione della relazione annuale sulle attività svolte dall’ABF.

In primo luogo, vengono utilizzati strumenti di full-text search per ricercare singole parole o informazioni all’interno dei documenti relativi ai ricorsi presentati nell’ultimo decennio, al fine di ricercare precedenti riguardanti fattispecie analoghe a quella oggetto di trattazione e avere un supporto nella redazione della relazione tecnica per il collegio ABF, fermo restando che la decisione sul ricorso è comunque integralmente rimessa alla valutazione umana del collegio medesimo. A questo fine, non rilevano le eventuali categorie particolari di dati o i dati relativi a condanne penali e reati eventualmente presenti nei documenti che, quindi, non costituiscono chiavi di ricerca.

In secondo luogo, vengono utilizzati strumenti di IA per ricercare elementi nella documentazione principale del ricorso, limitatamente a quelli necessari (come date, cifre e intermediari coinvolti), al fine di effettuare un’analisi preliminare di ammissibilità del ricorso ai sensi della normativa di settore, fermo restando, come rappresentato, che la decisione sul ricorso è comunque integralmente rimessa alla valutazione del collegio ABF.

In terzo luogo, vengono utilizzati strumenti di IA per analizzare le decisioni dei collegi ABF, previamente anonimizzate, al fine di individuare gli orientamenti espressi sulle principali materie di contenzioso e di estrarre e connettere concetti e ricorrenze, facendo così emergere sia le decisioni tipiche (c.d. centroidi) per ogni gruppo omogeneo di ricorsi, sia quelle che più si discostano da esse (c.d. outlier). A questo fine, i sistemi di IA utilizzati aggregano le decisioni in cluster per similitudine semantica e assegnano ad ogni cluster dei tag indicativi del contenuto. In tale processo di clusterizzazione non vengono utilizzati dati personali in quanto il sistema di IA opera solo sulle decisioni già anonimizzate. Resta fermo che la decisione sul ricorso è comunque integralmente rimessa all’autonoma valutazione del collegio ABF, cui spetta il compito di interpretare i fatti e la normativa e applicare la legge al caso concreto.

Con riguardo alle attività di trattamento effettuate tramite strumenti di ricerca avanzata, sistemi di IA e tecnologie correlate, sono previste una pluralità di misure tecniche e organizzative, tra cui: la periodica formazione destinata agli operatori abilitati all’utilizzo di tali strumenti, al fine di assicurarne un uso consapevole e conforme alla normativa applicabile; la sensibilizzazione e l’aggiornamento sulle corrette modalità operative nell’utilizzo di tali strumenti nonché sulle misure da adottare, a presidio della riservatezza della documentazione e del loro corretto uso; il riaddestramento continuo del c.d. training dataset, oggetto di periodico monitoraggio e aggiornamento; il monitoraggio da parte di un team multidisciplinare di esperti, composto da addetti alle attività di supporto al funzionamento dell’ABF e da addetti con profilo tecnico, a presidio della qualità e dell’accuratezza delle analisi svolte, che ha il compito di definire, validare e controllare periodicamente i risultati forniti dai sistemi di IA, nonché di garantire la supervisione umana e l’autonomia decisionale rispetto ai risultati prodotti, anche al fine di superare l’obsolescenza delle relazioni apprese a causa di fattori di variazione, anche esogeni, che possono impattare sui risultati delle analisi (come, ad esempio, nuovi orientamenti dell’ABF che superino i precedenti in conseguenza di un riesame della fattispecie, nuovi indirizzi della giurisprudenza o interventi normativi innovativi); il ricorso a tecniche in grado di fornire una rappresentazione del funzionamento interno dell’algoritmo, finalizzata alla spiegabilità dei risultati prodotti; la conservazione della documentazione che dà conto del continuo perfezionamento dell’algoritmo al fine di “versioning” del modello e di monitoraggio dello sviluppo nel corso del tempo;

CONSIDERATO che la versione dello schema in esame tiene conto delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni informali intercorse al fine di rendere conforme i trattamenti ivi disciplinati alla normativa in materia di protezione dei dati personali, in ossequio ai principi di privacy by design e by default (art. 25 del Regolamento), che hanno riguardato, in particolare:

- una più marcata correlazione dei trattamenti descritti rispetto alle specifiche finalità perseguite con lo schema di regolamento, come la risoluzione delle controversie portate dinanzi all’ABF e l’esercizio delle funzioni di vigilanza e di tutela della clientela da parte della Banca d’Italia, nel rispetto dei principi di liceità, correttezza e trasparenza e di limitazione della finalità (art. 5, par. 1, lett. a) e b), e art. 6 del Regolamento);

- la trasparenza dei trattamenti effettuati, anche con riferimento a quelli volti a valutare la qualità del servizio di assistenza fornito al ricorrente, nel rispetto del principio e degli obblighi di trasparenza (art. 5, par. 1, lett. a), e art. 13 del Regolamento);

- la definizione delle operazioni eseguibili e delle tipologie di dati personali con riferimento ai trattamenti a fini di analisi della documentazione relativa ai ricorsi e supporto dell’attività delle segreterie tecniche nei procedimenti di risoluzione delle controversie, nel rispetto del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) e b), e art. 6, parr. 1, lett. e), e 3, del Regolamento, nonché art. 2-ter del Codice), anche allo scopo di limitare il trattamento dei dati personali a quelli necessari ai procedimenti in questione, nel rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento), escludendo altresì, dalle funzionalità di ricerca introdotte, l’utilizzo delle categorie particolari di dati e dei dati personali relativi a condanne penali, in quanto non rilevanti ai predetti fini (nel rispetto degli artt. 9 e 10 del Regolamento e degli artt. 2-sexies e 2-octies del Codice);

- con specifico riferimento ai trattamenti di dati personali effettuati mediante il ricorso a strumenti di IA, una maggiore evidenza delle misure concernenti, in particolare: la preventiva anonimizzazione delle decisioni sui ricorsi a fini di clusterizzazione, e, quindi, il mancato utilizzo, a questi fini, dei dati personali di ricorrenti, eventuali cointestatari o soggetti terzi coinvolti a vario titolo nella controversia, nel rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento); l’attribuzione dell’attività decisoria alle valutazioni umane espresse dal collegio ABF, senza alcuna forma di sostituzione dei sistemi di IA nell’interpretazione dei fatti e della normativa o nell’applicazione della legge al caso concreto, e l’assenza di forme di profilazione o predizione di comportamenti per le persone fisiche coinvolte nella controversia; misure tecniche e organizzative, nel rispetto dei principi di integrità e riservatezza e di accountability e degli obblighi di sicurezza (art. 5, parr. 1, lett. f), e 2, e artt. 24, 29 e 32 del Regolamento), quali la periodica formazione destinata agli operatori abilitati all’utilizzo dei sistemi di IA, la sensibilizzazione e l’aggiornamento sulle corrette modalità operative nell’utilizzo di tali strumenti nonché sulle misure da adottare, il riaddestramento continuo del training dataset, la supervisione e il monitoraggio da parte di un team multidisciplinare di esperti, il ricorso a tecniche in grado di assicurare la capacità di giustificare i risultati prodotti, la conservazione della documentazione che dà conto del continuo perfezionamento dell’algoritmo;

RITENUTO che, con specifico riferimento ai trattamenti di dati personali effettuati mediante il ricorso a sistemi di IA, il presente parere si limita ad esaminare i profili strettamente attinenti al diritto alla protezione dei dati personali, come disciplinato e tutelato in base al Regolamento e al Codice, esulando, quindi, l’analisi della conformità alla specifica regolamentazione in materia di IA che, peraltro, allo stato, non trova ancora integrale applicazione (art. 113 del regolamento (UE) 2024/1689);

RITENUTO pertanto, per le ragioni suesposte, di esprimere parere favorevole sullo schema di “Regolamento recante disposizioni sul trattamento dei dati personali effettuato dalla Banca d’Italia nell’ambito delle attività di supporto all’Arbitro Bancario Finanziario (ABF)”;

RITENUTO, in ogni caso, di evidenziare l’importanza, anche sul piano della protezione dei dati personali, dell’adozione di misure che contribuiscano ad elevare, in caso di utilizzo di sistemi di IA, la tutela dei diritti e delle libertà fondamentali degli interessati, quali quelle che mirano ad assicurare la trasparenza dei trattamenti nei confronti degli interessati, il coinvolgimento degli stakeholder nello svolgimento della valutazione d’impatto sulla protezione dei dati, la capacità di giustificare i risultati ottenuti, il riaddestramento continuo di tali sistemi di IA sotto la supervisione e il monitoraggio da parte di un team multidisciplinare, la documentazione dell’attività svolta, un’adeguata formazione degli operatori chiamati a utilizzarli e l’autonomia decisionale umana nel processo;

RITENUTO, pertanto, necessario, a questo riguardo, che tali misure, al fine di assicurarne l’efficacia, siano costantemente oggetto di monitoraggio e revisione, con il periodico aggiornamento della valutazione d’impatto sulla protezione dei dati, da effettuarsi anche tenendo in considerazione le opinioni dei soggetti a vario titolo coinvolti, quali, in particolare, i collegi ABF o i soggetti destinatari delle decisioni da questi adottate, secondo quanto previsto dall’art. 35, par. 9, del Regolamento, che prevede che “se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti”;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di “Regolamento recante disposizioni sul trattamento dei dati personali effettuato dalla Banca d’Italia nell’ambito delle attività di supporto all’Arbitro Bancario Finanziario (ABF)”, predisposto dalla Banca d’Italia.

Roma, 28 maggio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori
 

Scheda

Doc-Web
10259660
Data
28/05/26

Argomenti

Banche credito e finanza Particolari categorie di dati Pubblica Amministrazione Archivi e banche dati Conservazione di dati Informativa Banca d'Italia Accountability Intelligenza artificiale Minimizzazione

Tipologie

Parere del Garante