A cura di Franco Saracco, Executive Director GFT Italia
Utilizzare le potenzialità AI per ridurre e gestire i rischi di sicurezza, guidare l’efficienza e migliorare la conformità: i leader del settore bancari stanno utilizzando gli strumenti di AI per migliorare le piattaforme di dati e di analisi in logica predittiva, per affrontare i rischi di sicurezza informatica ed individuare le frodi. In questa prospettiva, una particolare attenzione meritano le problematiche che possono scaturire dall’utilizzo di soluzioni/strumenti di AI in relazione agli impatti che si possono avere nell’ambito della normativa GDPR. In particolare, l’Intelligenza Artificiale, e specificatamente il Machine Learning, giocano un ruolo fondamentale nell’ambito del Cognitive Banking, e specificatamente nel “data management”.
È, infatti, indubbio che gli istituti bancari abbiano interesse a potenziare attività quali il calcolo del rating, la profilazione dei clienti attuali e potenziali, l’identificazione della qualità dei crediti, la pianificazione delle campagne di marketing e quindi la personalizzazione dei servizi bancari. Queste analisi e quindi i migliori risultati in questi ambiti, non possono derivare da trattamenti di dati personali basati sull’utilizzo di correlazioni identificate manualmente e trovano oggi un valido alleato nell’utilizzo di processi decisionali/predittivi di derivazione AI.
Possiamo quindi affermare che la necessità di una maggiore «competitività» si sposa con la disponibilità di risposte «tecnologiche» innovative. La risposta “tecnologica” deve essere, tuttavia, giuridicamente sostenibile alla luce del Regolamento europeo in materia di dati personali n. 679 del 2016 (GDPR). Anche su questo aspetto legato all’utilizzo di tecnologie definite esponenziali GFT, propone soluzioni e approcci metodologici perfettamente compliant con il GDPR.
Modelli “Black Box” & “Clear Box”
Il Machine Learning «tradizionale» (Reti Neurali, SVM (Support Vector Machine), etc.), a fronte di informazioni da apprendere, provenienti da varie fonti (Dati di business, social, sensori, etc.), produce modelli predittivi, sotto forma di funzioni matematiche, capaci di prendere accurate decisioni. Per esempio, possono, processando le informazioni del cliente, produrre un esito, positivo o negativo, in relazione ad una richiesta di concessione di credito. Questi modelli sono detti “Black Box” in quanto la complessità matematica del modello non può essere utilizzata per spiegare il perché la decisione predittiva è stata presa.
Una nuova “wave” di tecniche di AI è detta XAI (Explainable AI): questa introduce nuovi metodi e tecnologie, il cui obiettivo è quello di produrre predizioni auto-esplicative. L’XAI può essere altrettanto accurata come gli algoritmi “black-box” ma, in aggiunta a precise previsioni, produce un cosiddetto “cognitive output”, ovvero la conoscenza del perché di ogni predizione.
Esempi di XAI sono rappresentati da algoritmi denominati “Clear Box”, ovvero capaci, utilizzando le fonti informative di apprendimento, di arrivare ad una decisione attraverso una logica predittiva spiegabile, attraverso regole “IF – THEN”.
Un ottimo esempio è il campo dell’antifrode assicurativa dove GFT ha realizzato soluzioni significative utilizzando, tra l’altro la piattaforma RULEX, partner strategico, e gli algoritmi proprietari di tipo “Clear Box”.
Sostenibilità Giuridica dell’AI
La tematica della «sostenibilità giuridica» delle opportunità offerte dalla tecnologia nasce dal fatto che il corpus regolamentare europeo disciplini un aspetto critico ed essenziale dei trattamenti di dati personali, sollevando il problema della piena conoscibilità delle logiche utilizzate da AI (“right to an explanation”). Ciò si evidenzia in particolare negli articoli 22 e 13, ma pure negli articoli 14 e 15 del GDPR.
La norma impone che il trattamento che determina una decisione relativa all’interessato non sia realizzato in via esclusivamente automatizzata ma debba essere accompagnato da un intervento umano. Per evitare applicazioni meramente elusive della norma, è necessario che l’intervento umano sia svolto sulla base di una piena conoscenza delle logiche del trattamento e della possibilità di modificarle. Si può quindi affermare che le decisioni possono essere prese utilizzando trattamenti automatizzati ma con la conoscenza umana degli algoritmi utilizzati, ovvero traducendo il tutto nel linguaggio AI attraverso sistemi che consentano, per esempio, di comprendere le decisioni prese, e quindi non basati sui cosiddetti sistemi “Black Box” (ART.22).
Inoltre le norme del GDPR (ART.13) che impongono al titolare di comunicare all’interessato informazioni significative rispetto alle logiche utilizzate, non si riferiscono al risultato del processo di decisione ma riguardano le variabili ed i “pesi” che il sistema utilizza per determinare una decisione. L’obbligo presuppone evidentemente la piena conoscibilità di queste logiche e la possibilità di comunicarle in modo comprensibile ad una persona media, poiché la norma è posta a tutela di una piena informazione di un qualsiasi interessato e non di un tecnico del settore.
Al fine di risolvere le criticità evidenziate ci possono essere essenzialmente due alternative: da un lato, l’utilizzo di sistemi di trattamento basati su correlazioni di origine totalmente umana e quindi pienamente conoscibili, ma poco competitivi se caratterizzati da grandi quantità di dati con elevata complessità. Dall’altro, l’utilizzo di sistemi cosiddetti “Clear Box” (per esempio il «Logic Learning Machine» di RULEX). Questi ultimi non costituiscono soltanto un’opzione tecnologica efficiente e giuridicamente sostenibile rispetto alle alternative «non clear» ma possono, a talune condizioni, rappresentare validi «facilitatori tecnologico-giuridici» per l’utilizzo sostenibile di apparati decisionali informatici «opachi», già acquisiti dai titolari del trattamento.
Case Study
Generalmente la richiesta, da parte di un cliente, alla propria banca di un finanziamento, o di un suo rinnovo, viene valutata attraverso l’analisi di molteplici informazioni ed utilizzando anche degli opportuni “rating”, ovvero indicatori di rischiosità. Questi ultimi vengono calcolati attraverso algoritmi di tipo statistico, di elevata complessità e di difficile spiegazione verso il cliente.
GFT ha dedicato parte dell’intervento alla descrizione della cosiddetta “Apertura di un algoritmo opaco”, mettendo a confronto due modalità operative: da un lato i passi normalmente necessari per attribuire un rating, dall’altro quelli utilizzati da una piattaforma GDPR compliant, ovvero basata su algoritmi di tipo “Clear Box”. D’accordo con un importante gruppo bancario, è stato rappresentato sotto forma di “IF-THEN”, e quindi di regole di business facilmente comprensibili, il calcolo del rating di monitoraggio di controparte per il segmento privati. Gli obiettivi erano:
- Generare un modello “clear box”, contenente un insieme di regole comprensibili, capaci di spiegare in modo chiaro le classi di rating attribuite
- Dare al cliente risposte comprensibili a domande circa la propria classificazione di rischio
In conclusione, a partire dalla domanda di un cliente al proprio gestore della banca “perché non mi è stato rinnovato il finanziamento?”, la risposta potrà essere molto complicata e difficilmente comprensibile nel caso di algoritmi “opachi” e molto più semplice, e compliant con GDPR, nel caso di utilizzo di algoritmi Machine Learning di tipo “Clear-Box”.