Chi controlla i modelli AI controlla il mercato finanziario

Quando si parla di intelligenza artificiale nei mercati finanziari, il dibattito pubblico si concentra quasi invariabilmente sulle applicazioni: credit scoring algoritmico, robo-advisory, fraud detection, underwriting automatizzato. È una conversazione utile, ma parziale. Nasconde la domanda strutturalmente più rilevante: chi possiede e controlla l’infrastruttura su cui queste applicazioni girano?

La risposta, nel 2025, è scomoda nella sua semplicità. Una quota molto rilevante del calcolo AI e dei modelli di frontiera utilizzati nei mercati finanziari occidentali dipende oggi da un numero ristretto di hyperscaler e di sviluppatori di foundation model, con geografie di concentrazione ben identificabili. Questo non è un problema tecnologico. È un problema di architettura del potere economico.

Dalla disintermediazione alla re-intermediazione

Per due decenni, la narrativa dominante del fintech ha promesso disintermediazione: eliminare l’intermediario tradizionale — la banca, l’assicuratore, il broker — sostituendolo con piattaforme digitali più efficienti. La promessa si è in parte realizzata. Ma ha generato un effetto di secondo livello che raramente viene analizzato con la necessaria precisione: la disintermediazione del rapporto cliente-istituzione finanziaria ha prodotto la re-intermediazione su uno strato infrastrutturale precedente e più opaco.

L’istituzione finanziaria che affida il proprio modello operativo a un Large Language Model o a un sistema di scoring basato su foundation model non ha eliminato l’intermediario: lo ha spostato upstream. Ha sostituito la dipendenza da un fornitore regolato con la dipendenza da un fornitore che opera, nella maggior parte dei casi, in un regime regolamentare ancora largamente in costruzione.

Il CDA che approva questo passaggio credendo di aumentare l’autonomia operativa della propria organizzazione commette un errore categoriale. Sta trasferendo dipendenza, non riducendola.

La struttura della dipendenza

Analizzare la dipendenza da foundation model richiede di disaggregare tre livelli distinti, spesso confusi nel dibattito.

Il primo è la dipendenza computazionale: la maggior parte dei modelli ad alte prestazioni richiede infrastruttura GPU su scala che solo un numero limitato di provider può fornire. AWS, Azure, Google Cloud coprono una quota preponderante del mercato. Ciò significa che anche un’istituzione che sviluppa internamente i propri sistemi AI rimane strutturalmente esposta alle politiche commerciali, alle interruzioni di servizio e alle scelte di pricing di questi operatori.

Il secondo livello è la dipendenza da modello: le istituzioni che non dispongono delle risorse per pre-addestrare o affinare modelli proprietari — la grande maggioranza — adottano foundation model sviluppati da un numero ristretto di soggetti. Questo crea una dipendenza epistemica: le decisioni creditizie, assicurative o di gestione del rischio vengono influenzate da rappresentazioni del mondo incorporate nei parametri del modello da team di ricerca con proprie priorità, bias metodologici e vincoli commerciali. L’istituzione finanziaria non ha visibilità su questi parametri. Li eredita come una black box.

Il terzo livello è la dipendenza da dati: i modelli si aggiornano, si raffinano, evolvono. Chi controlla i dati di feedback — le interazioni, i risultati, le correzioni — accumula un vantaggio competitivo composto nel tempo. Le istituzioni che cedono dati operativi ai provider per ottimizzare i modelli stanno, in una prospettiva di lungo periodo, contribuendo a costruire il vantaggio competitivo del fornitore.

I tre livelli di dipendenza AI per le istituzioni finanziarie
Livello	Tipo di dipendenza	Vettore di rischio	Visibilità attuale
1 — Computazionale	Infrastruttura cloud e GPU	Interruzioni, variazioni di pricing, politiche commerciali degli hyperscaler	Parziale (DORA ICT risk)
2 — Modello	Foundation model di terzi	Bias epistemici, aggiornamenti non controllati, opacità dei parametri	Limitata
3 — Dati	Feedback e dati operativi ceduti ai provider	Accumulo di vantaggio competitivo da parte del fornitore nel tempo	Assente

Il rischio sistemico che i framework tradizionali non rilevano

La concentrazione in questo settore pone un problema che i regolatori stanno iniziando ad articolare, con un ritardo che appare significativo rispetto alla velocità di adozione nei mercati.

Si consideri uno scenario non ipotetico: più istituti di credito sistemici, diversi grandi assicuratori e una quota rilevante di fondi alternativi utilizzano lo stesso foundation model — o versioni minimamente differenziate dello stesso modello — per valutare il rischio di controparte. In condizioni normali, il sistema funziona. In condizioni di stress — un evento di mercato estremo, un cambiamento normativo improvviso, una vulnerabilità scoperta nel modello — questi sistemi tendono a convergere verso le stesse valutazioni e verso le stesse risposte operative. La correlazione nei portafogli aumenta esattamente nel momento in cui la diversificazione sarebbe più preziosa.

Questo è un rischio sistemico di nuovo tipo: non nasce dall’esposizione comune a un asset o a una controparte, ma dalla condivisione di un’architettura cognitiva. I modelli di stress test tradizionali non lo catturano. Le metriche di concentrazione regolamentare standard non lo rilevano. L’unico modo per identificarlo è analizzare lo strato infrastrutturale — non solo i bilanci.

DORA compie un passo importante nel trattamento del rischio di concentrazione ICT, imponendo alle istituzioni finanziarie di mappare e gestire le dipendenze da fornitori terzi critici. Ma resta prevalentemente ancorata alla logica del fornitore e dell’outsourcing. Il tema della concentrazione su modelli condivisi come fonte di rischio cognitivo sistemico — ovvero il fatto che istituzioni distinte possano sviluppare comportamenti correlati per effetto dell’adozione di architetture AI comuni — è per ora meno esplicitato nel framework regolamentare. È un salto analitico che le autorità di vigilanza dovranno compiere.

Governance fiduciaria e responsabilità algoritmica

Sul piano della governance interna, la questione si traduce in un problema di responsabilità fiduciaria che i consigli di amministrazione delle istituzioni finanziarie italiane ed europee non hanno ancora affrontato in modo sistematico.

Quando un foundation model contribuisce a una decisione di credito, di pricing assicurativo o di gestione del rischio, chi è il soggetto responsabile? La risposta legale — l’istituzione — è chiara. La risposta operativa — chi nella catena decisionale ha validato la logica del modello, ne comprende i limiti, ne monitora il comportamento nel tempo — è spesso incompleta, frammentaria o affidata a presidi non ancora maturi.

L’AI Act europeo include tra i sistemi ad alto rischio quelli utilizzati per la valutazione del merito creditizio o della creditworthiness delle persone fisiche, imponendo obblighi di documentazione, controllo umano e gestione del rischio. Ma la compliance formale a questi requisiti — produrre documentazione, nominare un responsabile — non equivale alla governance sostanziale. Un CDA che approva l’adozione di un sistema AI senza comprendere le sue dipendenze infrastrutturali, i suoi limiti epistemici e le sue implicazioni sistemiche non sta esercitando supervisione: sta ratificando una delega che non ha gli strumenti per valutare.

Questa è la differenza tra governance algoritmica nominale e governance algoritmica effettiva. Le istituzioni che la comprenderanno prima costruiranno un vantaggio competitivo e regolamentare difficile da replicare.

Framework di risposta: azioni prioritarie per le istituzioni finanziarie
Azione	Orizzonte	Referente interno	Aggancio normativo
Mappatura dipendenze AI	Immediato	CRO / CTO	DORA Art. 28–30
Audit dei foundation model adottati	Breve termine	Risk Management	AI Act Allegato III
Diversificazione infrastrutturale	Medio termine	CTO / Procurement	DORA concentrazione ICT
Governance algoritmica al board	Medio termine	CDA / Comitato Rischi	AI Act Art. 9, 13, 14
Interlocuzione proattiva con i regolatori	Continuo	Compliance / Legal	Banca d’Italia, IVASS, ESMA

La geopolitica del modello

Un elemento raramente integrato nell’analisi aziendale, ma sempre più rilevante nella pianificazione strategica: la geografia dei provider AI non è neutrale.

I principali foundation model disponibili sul mercato sono sviluppati negli Stati Uniti o in Cina. Le istituzioni finanziarie europee che li adottano si espongono a rischi di sovranità che vanno oltre la compliance GDPR. La traiettoria dei controlli sull’export tecnologico — già applicati ai semiconduttori con effetti strutturali sull’industria globale — suggerisce che anche i modelli, i componenti software critici o l’accesso a specifiche capacità AI potrebbero diventare, in futuro, oggetto di restrizioni o di leva geopolitica. Non è una previsione: è una variabile di scenario che i risk manager hanno ancora largamente ignorato nei propri framework.

L’iniziativa europea sui modelli aperti — con Mistral come caso più visibile, ma non isolato — va letta in questa chiave: non come questione di performance tecnica, ma come tentativo di costruire sovranità cognitiva nell’infrastruttura AI. Che ci riesca o meno dipenderà da variabili economiche e politiche che trascendono il merito tecnologico.

Implicazioni operative

Per le istituzioni finanziarie che operano in mercati regolati, alcune implicazioni pratiche discendono direttamente da questa analisi.

La mappatura delle dipendenze AI — non solo dei fornitori cloud, ma dei foundation model adottati e delle loro catene di aggiornamento — è diventata un requisito di risk management. Le istituzioni che non sanno rispondere alla domanda “quale modello, sviluppato da chi, addestrato su quali dati, con quale processo di aggiornamento, alimenta le nostre decisioni operative critiche?” operano con un blind spot strutturale che prima o poi intersecherà un requisito di vigilanza o un evento di mercato.

La diversificazione infrastrutturale richiede investimento in competenze interne — non per sostituire i provider, ma per valutarli, auditarli e, se necessario, sostituirli senza discontinuità operativa. La dipendenza monofornitore in ambito AI è un rischio di concentrazione che il management dovrebbe poter quantificare e portare al board con la stessa precisione con cui porta il rischio di credito o di liquidità.

Infine, l’interlocuzione regolamentare proattiva — con Banca d’Italia, IVASS, ESMA — su questi temi è già oggi un’opportunità. Le autorità di vigilanza stanno costruendo i propri framework di analisi. Le istituzioni che contribuiscono a questa costruzione, con dati e analisi proprie, possono orientare il dialogo supervisivo e accreditarsi come interlocutori maturi. Quelle che aspettano di adeguarsi a framework già definiti da altri pagheranno il costo dell’attesa.

Domande frequenti

Cos’è il rischio di concentrazione AI nei mercati finanziari?

Si verifica quando più istituzioni finanziarie adottano gli stessi foundation model o la stessa infrastruttura cloud per supportare decisioni operative critiche. In condizioni di stress, questa convergenza tecnologica genera comportamenti correlati tra soggetti che dovrebbero essere indipendenti, amplificando l’instabilità sistemica invece di contenerla.

Perché la dipendenza da foundation model è diversa dalla normale dipendenza da fornitori ICT?

La dipendenza ICT tradizionale riguarda l’infrastruttura: se un cloud provider ha un’interruzione, il rischio è operativo e temporaneo. La dipendenza da foundation model introduce una dimensione epistemica: le logiche decisionali dell’istituzione vengono influenzate dai parametri del modello — bias, rappresentazioni, pesi — senza che l’istituzione stessa abbia visibilità o controllo su di essi.

DORA copre già il rischio legato alla concentrazione sui modelli AI?

DORA affronta il rischio di concentrazione ICT con riferimento ai fornitori terzi e all’outsourcing, imponendo la mappatura delle dipendenze critiche. Il tema specifico della concentrazione su modelli AI condivisi come fonte di rischio cognitivo sistemico è per ora meno esplicitato nel testo regolamentare e rappresenta un’area di sviluppo atteso nei prossimi cicli normativi.

Quali obblighi impone l’AI Act per i sistemi di scoring creditizio?

L’AI Act europeo classifica come sistemi ad alto rischio quelli utilizzati per la valutazione del merito creditizio o della creditworthiness delle persone fisiche. Le istituzioni che li adottano sono soggette a obblighi di documentazione tecnica, gestione del rischio, supervisione umana e trasparenza verso i soggetti interessati.

Come può un’istituzione finanziaria ridurre la propria dipendenza dai provider AI dominanti?

Il percorso richiede tre interventi paralleli: la mappatura strutturata delle dipendenze attuali (quale modello, sviluppato da chi, aggiornato con quale frequenza e con quali dati); lo sviluppo di competenze interne per auditare e valutare i provider; e una strategia di diversificazione infrastrutturale che preveda margini di sostituibilità senza discontinuità operativa.

Per le istituzioni finanziarie, la vera domanda non è se adottare l’AI, ma su quale infrastruttura cognitiva intendono costruire le proprie decisioni critiche — con quali dipendenze, con quali margini di auditabilità e con quale capacità di uscita. È su questo terreno che si giocherà una parte crescente della resilienza competitiva e regolamentare del settore.