supersqualo
Privacy & Sicurezza

Dati bancari e IA: PSD2, antiriciclaggio, segreto bancario

Sei in banca, in una fintech, in uno studio commerciale che gestisce conti correnti aziendali. Dati IBAN, transazioni, saldi. Caricarli su ChatGPT è un buco normativo enorme: PSD2, antiriciclaggio, segreto bancario, GDPR.

Di Super Squalo·6 min lettura
Nota. Una cosa onesta: tengo aggiornate queste guide come posso, ma l'IA cambia talmente in fretta che alcuni dettagli potrebbero essere superati nel giro di pochi mesi. Se hai bisogno di sapere com'è la situazione adesso, scrivimi.

Martedì pomeriggio, scrivania piena di estratti conto. Sei dipendente bancario, lavori in fintech, gestisci la tesoreria di un'azienda, oppure sei un commercialista che maneggia conti correnti dei clienti. Apri ChatGPT e pensi "riassumimi questo estratto, mi fai risparmiare un'ora". Fermati subito. I dati bancari sono protetti da quattro normative diverse che si sovrappongono. Farli uscire è un illecito grave. Vediamo come si fa bene.

Il pasticcio in cui finisci se incolli un estratto su ChatGPT

Quando incolli un estratto conto su un'IA pubblica, stai trasferendo dati identificativi e finanziari di una persona o di un'azienda fuori dall'Europa, in mano a un fornitore terzo che non ha alcun rapporto contrattuale col titolare di quei dati. Senza consenso specifico, senza base giuridica, senza valutazione di impatto.

Dentro un estratto ci sono: IBAN, intestatari, importi, controparti dei bonifici, causali, carte di credito. E i pattern di spesa: spese in farmacia, donazioni alla parrocchia, abbonamenti al servizio gay, multe a Bologna nord. Roba che racconta orientamento politico, religioso, sessuale, salute. Tutto in chiaro a un fornitore extra-UE.

Aggiungi che il settore bancario è il più sorvegliato. Il Garante è attivissimo. OpenAI a dicembre 2024 ha pagato 15 milioni di euro per come gestiva i dati. Non sono cifre da prendere a ridere.

Cosa NON puoi fare

Non puoi caricare estratti conto, IBAN, dati di carte su ChatGPT, Gemini, Claude consumer. Punto.

Non puoi usare app di personal finance "gratis" che integrano IA cloud non specificate. Se non sai dove finiscono i dati, è già troppo tardi.

Non puoi trascrivere telefonate con clienti su servizi di trascrizione IA pubblici. Le voci sono dati personali, le informazioni dette dentro spesso sono finanziarie.

Non puoi mandare dati transazionali tramite plugin Excel collegati a IA esterne. È la stessa cosa, vestita meglio.

Non puoi pensare che basti togliere il nome. L'IBAN da solo è dato personale: identifica univocamente una persona o un'azienda.

Cosa rischi davvero

Segreto bancario. La rivelazione non autorizzata espone a responsabilità verso il cliente e a procedimenti disciplinari interni. Anche se non è più assoluto come una volta, resta una cosa seria.

Dati di pagamento. La normativa europea sui pagamenti impone standard di sicurezza rigidissimi. Far passare credenziali o dati transazionali su un'IA non autorizzata viola le norme di sicurezza e può comportare sanzioni della Banca d'Italia.

Antiriciclaggio. Sei obbligato alla riservatezza sui dati di adeguata verifica clientela e sulle segnalazioni di operazioni sospette. Caricarli su sistemi esterni è violazione del segreto, sanzioni fino a un milione di euro per la persona giuridica.

Privacy europea. Dati finanziari = trattamento ad alto rischio. Sanzione fino a venti milioni di euro o il 4% del fatturato.

Sommi tutto e capisci perché qui non si scherza.

Cosa devi fare invece

Setup serio per chi tratta dati bancari quotidianamente.

Server in datacenter europeo certificato, contratto privacy che dichiara nero su bianco zero trasferimenti USA. Modello IA open source installato in locale, nessuna chiamata ad API esterne. Cifratura forte dei dati a riposo, chiavi gestite internamente.

Sostituzione automatica dei dati prima del prompt: l'IBAN diventa un codice anonimo, gli importi restano, i nomi spariscono. Una mappa tenuta solo sul tuo server riporta i nomi veri quando ti torna la risposta. È la pseudonimizzazione fatta bene.

Log di accesso cifrati, conservati secondo i tempi previsti dalla normativa antiriciclaggio. Backup cifrati con copia in un secondo datacenter europeo. Test periodici di tenuta del sistema.

I paletti che non si toccano

Mappatura completa dei flussi dati con classificazione: pubblico, interno, riservato, segreto. Valutazione di impatto obbligatoria per ogni nuovo trattamento IA. Test di resilienza ICT secondo il regolamento europeo per il settore finanziario. Nomina dei fornitori come responsabili esterni con contratto serio.

Audit periodico sui log di accesso ai dati finanziari. Formazione del personale aggiornata ogni anno e documentata. Non il corso da venti minuti col certificato in PDF, ma capire davvero dove sono i rischi.

Una nota personale

Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si parla di setup veri per il settore bancario e fintech. Casi reali, errori veri, soluzioni che funzionano. Si risponde gratis. Tradotto: prima di firmare il preventivo del primo "consulente AI" che bussa, fai un giro lì. Risparmierai parecchio in commissioni e mal di pancia.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza