L'intelligenza artificiale è entrata stabilmente nei desk di investment banking, asset management e credito. Ma in un intermediario vigilato il punto non è solo cosa l'AI sa fare: è come lo fa, sotto quale base giuridica e con quali garanzie verso Consob, Banca d'Italia ed ESMA. Tre cornici normative definiscono il perimetro: MiFID II per la prestazione dei servizi di investimento, il Regolamento MAR sugli abusi di mercato e il GDPR sulla protezione dei dati. Vediamo come un intermediario può usare l'AI rispettandole tutte e tre, senza rallentare gli analisti.
MiFID II: governance, tracciabilità e responsabilità del presidio umano
MiFID II non vieta l'uso di modelli di AI nei processi di analisi e supporto alle decisioni, ma impone una governance chiara. L'intermediario resta responsabile delle raccomandazioni e delle valutazioni prodotte: l'AI è uno strumento, non un soggetto che decide. Questo significa che ogni output deve essere verificabile e ricostruibile a posteriori, in linea con gli obblighi di record keeping che già governano comunicazioni e ordini.
Il rischio concreto da evitare è l'allucinazione: un sistema che cita un dato di bilancio inesistente o attribuisce a una relazione semestrale un valore che non contiene. In un memo d'investimento o in un credit memo questo non è un dettaglio tecnico, è un errore che può viziare una decisione e generare contestazioni in sede di vigilanza. Per questo Amaril risponde sempre con citazione della fonte: ogni numero, ogni clausola, ogni frase rimanda al documento esatto, alla pagina, al paragrafo. L'analista non riceve un'affermazione, riceve un'affermazione collegata alla prova. Quando un modello non trova la fonte, lo dichiara invece di inventarla.
Questo produce un audit trail completo: chi ha chiesto cosa, su quali documenti, con quale risposta e con quali fonti. Un presidio di compliance può ripercorrere l'intero ragionamento, esattamente come ci si aspetta per una raccomandazione di investimento o una pratica di affidamento.
MAR: l'informazione privilegiata va gestita, non semplicemente protetta
Il Regolamento MAR è il punto in cui molte iniziative di AI si fermano, e a ragione. Un intermediario tratta abitualmente informazioni privilegiate: una due diligence su un target prima di un'offerta pubblica di acquisto, una data room su un'operazione M&A non annunciata, dati su un emittente quotato a Euronext Milan o alla Deutsche Börse prima di un comunicato price sensitive. Dare in pasto questi documenti a un servizio AI generico significa, nel migliore dei casi, perdere il controllo su dove finiscono i dati.
La gestione corretta richiede tre cose. Primo, segregazione: l'informazione deve restare confinata al perimetro autorizzato, coerente con le insider list e le barriere informative interne. Secondo, nessuna persistenza non necessaria: i contenuti non devono essere conservati o riutilizzati oltre lo stretto necessario, men che meno per addestrare modelli condivisi. Terzo, tracciabilità degli accessi, per dimostrare in ogni momento chi ha visto cosa.
Amaril è costruita su questi principi: zero retention sui dati del cliente, nessun riutilizzo dei documenti per il training, e la possibilità di deployment on-premise per chi non può far uscire i dati dal proprio perimetro. L'informazione privilegiata resta dove deve restare, e l'attività dell'analista produce evidenze che il presidio MAR può consultare.
GDPR e dati in UE: base giuridica, minimizzazione, sovranità
Bilanci, term sheet e credit file contengono dati personali: amministratori, garanti, beneficiari effettivi nelle verifiche antiriciclaggio. Il GDPR impone minimizzazione, limitazione della finalità e garanzie sui trasferimenti. La risposta strutturale è tenere il trattamento dentro l'Unione Europea. Amaril opera su cloud UE con crittografia end-to-end, evitando i nodi dei trasferimenti verso paesi terzi e offrendo la sovranità del dato che un'autorità come Banca d'Italia o il Garante si attende da un intermediario vigilato.
La combinazione con la zero retention è importante: meno dati conservati significa meno superficie di rischio, meno obblighi documentali e una posizione più solida in caso di richiesta di accesso o di ispezione. La compliance non è un layer aggiunto dopo, è parte dell'architettura.
Takeaway per chi decide
L'AI in un intermediario finanziario è sostenibile sul piano regolatorio a tre condizioni precise. La prima: ogni output deve essere verificabile e ancorato alla fonte, perché senza citazione non c'è audit trail e senza audit trail non c'è difendibilità verso Consob o ESMA. La seconda: l'informazione privilegiata deve essere gestita con segregazione, zero retention e tracciabilità, non semplicemente affidata a un fornitore generico. La terza: i dati restano in UE, su un'infrastruttura conforme al GDPR, con l'opzione on-premise quando il perimetro lo richiede. Amaril nasce per soddisfare tutte e tre simultaneamente: citazione della fonte, niente allucinazioni, cloud UE e GDPR. Gli analisti vanno più veloci, la compliance dorme tranquilla.
