Il credit reporting e il credit scoring nell’era del GDPR

Il problema della solvibilità del debitore ha caratterizzato il settore bancario fin dalla sua nascita. L’attività di concessione del credito da parte delle banche e delle società di finanziamento, denotata da un rischio intrinseco, ha negli anni modificato il proprio assetto sulla base dell’enorme progresso tecnologico e delle vicende politico-finanziarie accadute nel mondo.

I dati relativi al credito vengono raccolti, immagazzinati ed elaborati per ridurre al minimo le eventualità di incagliamenti e blocchi nella circolazione della ricchezza.

Sotto il profilo pubblico, in Italia esiste un apposito organo istituzionale finalizzato alla raccolta di tale tipologia di informazioni da parte di tutti gli intermediari finanziari, con il preciso scopo di svolgere le predette funzioni e scoraggiare asimmetrie informative fra i contraenti e i c.d. comportamenti di moral hazard[1].

Tale organismo è la Centrale dei Rischi della Banca d’Italia, definibile come un sistema informativo telematico pubblico di credit reporting[2], istituito con delibera del CICR[3] del 16 maggio 1962 e gestito direttamente dalla Banca d’Italia.

La Centrale dei Rischi effettua, con riguardo alla posizione dei debitori del sistema bancario italiano, delle rilevazioni a cadenza mensile. Gli intermediari sono tenuti a comunicare mensilmente alla Centrale (c.d. flusso informativo di andata) le informazioni relative ai rapporti di credito e/o di garanzia. La Banca d’Italia elabora tali informazioni, anche mediante aggregazione con dati di altri intermediari, restituendole tramite il c.d. flusso informativo di ritorno. Ciò che la Centrale invia alle banche e/o agli intermediari è la posizione di rischio globale dei debitori censiti.

Le categorie di censimento dei debitori vengono definite come posizioni di rischio, che risultano essere l’oggetto della segnalazione.

In fase precontrattuale, l’attività della Centrale dei Rischi serve agli intermediari, dal lato dell’offerta, a una più efficiente allocazione delle risorse e a una maggiore qualità del portafoglio clienti. Dal lato della domanda, invece (ossia dei clienti, persone fisiche e non), consente un accesso al credito più efficiente e agevole.

La banca o l’intermediario, di norma, effettua un’attività di rating interno che si aggiunge ai dati già ottenibili dalla Centrale dei Rischi – che pesano per più del 50% sulla valutazione di merito da essa effettuata – con la finalità di accrescere i livelli di stabilità, concorrenza ed efficienza del sistema.

Tuttavia, è paradossale che il sistema stesso abbia attribuito rilievo regolamentare al rating[4], non giustificabile giuridicamente in virtù dello status di professionista dell’intermediario, che dovrebbe fare prevalente e legittimo affidamento sulle proprie valutazioni, non su rilievi esterni.

Le informazioni creditizie raccolte dai sistemi di credit reporting possono essere di merito positive (white list), negative (black list) o miste (full data model). In particolare, la Centrale dei Rischi della Banca d’Italia non raccoglie informazioni di merito negative.

Sotto il profilo della disciplina, la complessità di questa materia è evidente per la pluralità di fonti del diritto che la regolano. Dalle fonti di rango costituzionale alle delibere del CICR, alle circolari della Banca d’Italia e al TUB[5], fino alle prassi applicative e alla giurisprudenza, il sistema non è affatto semplice da cogliere nel suo insieme e necessita di approfondite analisi.

Dal novembre 2017, lo scambio di informazioni avviene mediante l’utilizzo della rete Internet in luogo della rete nazionale interbancaria (RNI), gradualmente dismessa[6].

Con riguardo agli aspetti di riservatezza dei dati riguardanti i clienti, un elemento di fortissima tensione di questa materia concerne le frizioni tra la tutela e vigilanza sul credito e la normativa a tutela dei dati personali.

Invero, fin dai tempi della legge 675/1996 si erano registrati evidenti conflitti fra l’esigenza del legislatore di salvaguardare la privacy della clientela e l’interesse prettamente (macro)economico perseguito dagli intermediari finanziari.

Più in particolare, il flusso informativo di andata tra banche (o intermediari) e Centrale dei Rischi della Banca d’Italia rappresenta una comunicazione di dati personali da un soggetto privato a un soggetto pubblico. I dati trasferiti hanno ovviamente carattere riservato, potendo essere trattati solo per finalità legate alla gestione del rischio derivante dalla concessione di credito. La circolazione di tali informazioni sensibili trova giustificazione nella finalità pubblica e privata della segnalazione delle posizioni di rischio dei clienti, che assicura la conoscibilità delle notizie sulla loro solvibilità, incentivando forme sicure di contrattazione[7].

In particolare, il Garante aveva tempo fa ritenuto che « la comunicazione dei dati personali relativi all’indebitamento della clientela effettuata dagli intermediari finanziari alla Centrale dei rischi della Banca d’Italia, in quanto dovuta per legge, non è sottoposta all’obbligo della preventiva acquisizione del consenso dei singoli interessati, cui è quindi preclusa la possibilità di ottenere la cancellazione dei dati in mancanza di un accertamento dell’illiceità, anche per altri profili, del trattamento»[8]. Il fondamento normativo era stato rinvenuto negli artt. 51 e 53 del TUB, oltre che nell’art. 27, comma 2 della legge 675/1996.

La situazione non è mutata con l’entrata in vigore del Codice privacy[9], che prima all’art. 18, poi all’art. 2-ter a seguito delle modifiche apportate dal d.lgs. 101/2018, ha disposto che il trattamento di dati personali da parte di soggetti pubblici sia consentito solo per lo svolgimento delle funzioni istituzionali, che nel caso della tutela del rischio creditizio è appannaggio della Banca d’Italia e risulta espressamente prevista all’art. 53 del TUB. D’altronde, il pubblico interesse previsto da una fonte primaria del diritto interno, come stabilito anche dal GDPR[10], risulta essere, già di per sé, una valida base giuridica per il trattamento.

Peraltro, l’art. 2-undecies, comma 1, lettera d) del novellato Codice privacy prevede possibili limitazioni ai diritti per gli interessati degli articoli da 15 a 22 del GDPR qualora il trattamento concerna attività svolte da un soggetto pubblico “in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità” e quando da tale esercizio di diritti possa derivare per tale soggetto un pregiudizio effettivo e concreto. Pertanto, tale disposizione non potrà essere invocata tout court dagli intermediari, ma occorrerà, caso per caso, bilanciare le esigenze ex art. 47 Cost. con le libertà e i diritti garantiti dal complesso normativo a tutela dei dati personali. Inoltre, ai sensi del successivo comma 3, l’interessato può comunque esercitare i diritti previsti dal GDPR, per mezzo del Garante, ai sensi dell’art. 160 del Codice qualora tali limitazioni, per le modalità con cui vengono comunicate, costituiscano un limite a suoi eventuali legittimi interessi e vanifichino le finalità delle limitazioni stesse.

A prescindere da quanto sopra riportato, è necessario sottolineare che, con evidenti riflessi sui dati detenuti dalla Centrale dei Rischi della Banca d’Italia, l’art. 8-bis del D.L. 70/2011, modificato da art. 3, comma 12-bis, lett. a), D.L. 13 agosto 2011, n. 138 e, da ultimo, dall’art. 22, comma 6-bis, D.L. 24 giugno 2014, n. 91, ha introdotto delle modalità celeri di rettifica relative segnalazioni negative dalle centrali rischi private su persone fisiche e giuridiche: al primo comma di suddetta norma, infatti, si prevede infatti che “entro dieci giorni dalla ricezione della notifica dell’avvenuta regolarizzazione dei pagamenti, i gestori delle banche dati provvedono ad integrare le segnalazioni relative a ritardi di pagamento da parte delle persone fisiche o giuridiche già inserite nelle banche dati stesse con la comunicazione dell’avvenuto pagamento da parte del creditore ricevente il pagamento, che deve provvedere alla richiesta entro e non oltre quindici giorni dall’avvenuto pagamento”. Medesime considerazioni valgono per i pagamenti di rate mensili e successive regolarizzazioni, come evincibile dai commi successivi[11].

Pertanto, il sistema normativo in sé ha cercato un bilanciamento di interessi che potesse evitare sia scontri ideologici che giuridici sul punto. Interessante è notare come la suddetta norma si applichi anche alle persone giuridiche, che sono estromesse dalla normativa sulla privacy.

Da ultimo, merita segnalare che, in ogni caso, gli intermediari possono consultare gli archivi della Centrale dei Rischi della Banca d’Italia solo per il periodo relativo agli ultimi 36 mesi[12], con evidenti benefici per gli interessati.

Relativamente alla trasmissione dei dati dall’intermediario alla Centrale dei Rischi, parte della dottrina[13] ha indicato come in realtà l’attività di raccolta e trasmissione di informazioni alle banche dati da parte degli intermediari, ricadendo all’interno del rapporto banca-cliente, resti assoggettata ai principi che ne disciplinano lo svolgimento. L’intermediario procede alla raccolta e trasmissione dei dati sempre con riguardo alla propria clientela, ne discende che tale attività si innesta sulla relazione negoziale dalla quale è scaturito il rapporto di credito oggetto di segnalazione. Questa ricostruzione permetterebbe di considerare la segnalazione “errata” come fonte di responsabilità contrattuale per inadempimento del dovere di buona fede e correttezza da parte dell’intermediario-titolare del trattamento[14]. In tal modo non verrebbero coinvolti il segmento di trattamento dati relativo alla raccolta e i successivi flussi di informazioni da parte della Centrale dei Rischi, poiché l’inadempimento si sarebbe verificato a monte.

Per completezza, occorre menzionare l’esistenza, fin dal 2005, di un codice di deontologia e buona condotta, emanato con provvedimento del Garante privacy[15] e allegato al Codice (Allegato 5), per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti, il quale rimarrà in vigore finché non saranno terminate le procedure di adeguamento al GDPR previste dal d.lgs. 101/2018.

Tale Allegato costituisce ancora la principale fonte cui gli intermediari privati, nel trattamento dei dati del cliente-persona fisica relativi al credito, debbono necessariamente conformarsi per gli standard minimi di tutela, atteso comunque che i principi di accountability, privacy by design, privacy by default, sicurezza dei dati vanno strettamente seguiti per ogni tipologia di trasmissione, comunicazione, archiviazione, modifica, nuovo trattamento di dati che l’intermediario intende realizzare con tale finalità.

Ogni tipologia di illiceità, in ragione della delicatezza delle informazioni detenute dalle banche, porterà a scontare sanzioni maggiorate rispetto al passato, facendo salva la responsabilità contrattuale ed extracontrattuale che il titolare potrebbe vedersi dichiarata dal

[1] In macroeconomia si definisce moral hazard il comportamento opportunistico post-contrattuale del debitore, che sfrutta le asimmetrie informative con chi concede il credito per perseguire i propri interessi a spese della controparte.

[2] Serve a misurare il livello di indebitamento della clientela degli intermediari.

[3] Comitato Interministeriale per il Credito e il Risparmio, organo collegiale di governo istituito nel 1947 con finalità di alta vigilanza in materia di credito e risparmio ai sensi del TUB (d.lgs. 1 settembre 1993, n. 385).

[4] Per maggiori informazioni v. F. Cimino, Agenzie di rating: studio del merito di credito degli emittenti, novembre 2018, disponibile qui: https://www.iusinitinere.it/agenzie-di-rating-studio-del-merito-di-credito-degli-emittenti-14205.

[5] D.lgs. 1 settembre 1993, n. 385, disponibile qui.

[6] In merito alla dismissione della RNI, v. informativa preliminare della Banca d’Italia del 30/09/2016 (https://www.bancaditalia.it/statistiche/raccolta-dati/centrale-rischi/normativa-cr/Comunicazione_del_30_settembre_2016.pdf).

[7] Cfr. G. Biferali, Big data e valutazione del merito creditizio per l’accesso al peer to peer lending, in Dir. Informatica, II, 3, 1 giugno 2008, 487 ss.

[8] Autorità Garante per la protezione dei dati personali, 17 gennaio 2001, n. 40907.

[9] D.lgs. 196/2003, da ultimo modificato dal d.lgs. 101/2018, disponibile qui.

[10] Regolamento (UE) 2016/679, disponibile qui.

[11] L’articolo sopra citato è disponibile qui.

[12] V., a tal proposito, l’informativa privacy della Centrale dei Rischi della Banca d’Italia all’indirizzo https://www.bancaditalia.it/servizi-cittadino/servizi/accesso-cr/Informativa-privacy-Centrale-Rischi.pdf.

[13] C. Frigeni, Segnalazioni presso le centrali rischi e tutela dell’interessato: profili evolutivi, in Banca borsa tit. cred., 2013, I, p. 371.

[14] Cfr. ancora G. Biferali, Big data e valutazione del merito creditizio, cit.

[15] Autorità Garante per la protezione dei dati personali, provvedimento n. 8 del 16 novembre 2004, pubblicato in Gazzetta Ufficiale il 9 marzo 2005, disponibile qui.