Il saggio affronta il tema della profilatura algoritmica dell’investitore ai fini MiFID con tecniche Big data analytics. Muovendo dal presupposto che oggi è ormai possibile automatizzare le diverse fasi del processo di investimento (dall’attribuzione del profilo di rischio all’investitore, alla valutazione di appropriatezza ed adeguatezza, all’output del servizio di investimento), ci si chiede se sia legittimo (e tecnicamente possibile) raccogliere, analizzare ed elaborare informazioni e dati personali disseminati nel web dall’investitore allo scopo di ricavarne, senza o con parziale interazione umana, le sue caratteristiche finanziarie per le finalità richieste dalla normativa sui servizi di investimento. In una prospettiva che non nasconde i dubbi ed i profili di criticità di una tale operazione, tesa al graduale superamento del modello ‘dialogico’ alla base del tradizionale questionario di profilatura, viene messo in luce come ciò potrebbe costituire un reale cambio di paradigma nella relazione cliente-intermediario che oggi, come si sa, si espone a rischi di opportunismo e alla discrezionalità degli intermediari, nonché ad autovalutazioni dei clienti non sempre idonee a restituire un profilo veritiero ed oggettivo dell’investitore e dello stesso processo di profilatura. L’automatizzazione anche di una tale fase consentirebbe inoltre di poter fruire di un processo di investimento finanziario interamente algoritmizzato. Lo scritto si sofferma altresì sulla disciplina applicabile alla fattispecie esaminata (tanto per i profili MiFID che per quelli di Data protection) e sulle problematiche ad essa connesse, opinando, tra l’altro, che il principio di ‘neutralità tecnologica’ sia da considerarsi qui (come altrove) più come una base di partenza da cui muovere che come un limite oltre il quale non è consentito spingersi.
The paper discusses the issue of algorithmic profiling of investors for MiFID purposes using Big data analytics techniques. Starting from the assumption that nowadays it is possible to automate the different phases of the investment process (from the attribution of the risk profile to the investor, to the evaluation of appropriateness and suitability, to the output of the investment service), we wonder whether it is legitimate (and technically possible) to collect, analyze and process information and personal data disseminated on the web by the investor in order to derive, without or with partial human interaction, his financial characteristics for the purposes required by the legislation on investment services. In a perspective that does not hide the doubts and critical profiles of such an operation, aimed at the gradual overcoming of the ‘dialogical’ model at the base of the traditional profiling survey, it is highlighted how this could constitute a real paradigm shift in the client-intermediary relationship which today, as we know, is exposed to risks of opportunism and to the discretion of intermediaries, as well as to self-assessments of clients not always suitable to return a true and objective profile of the investor and of the profiling process itself. The automation of these phases would also make it possible to benefit from an entirely algorithmic financial investment process. The paper also focuses on the discipline applicable to the case examined (both for the MiFID profiles and for those of Data protection) and on the problems connected to it, arguing, among other things, that the principle of ‘technological neutrality’ is to be considered here (as elsewhere) more as a starting point from which to move than as a limit beyond which it is not allowed to go.
Keywords: algorithms – algorithmic profiling – automatization – Big Data – MiFID – investor
CONTENUTI CORRELATI: algoritmi - profilatura algoritmica - automatizzazione - Big Data - MiFID - investitore
1. La profilatura finanziaria come fase qualificante ed essenziale del processo di investimento. - 2. Le tecniche algoritmiche e Big data applicate alla profilatura finanziaria. - 3. La legittimità della profilatura finanziaria algoritmica nell’ottica MiFID. - 4. (Segue): dal metodo dialogico a quello algoritmico. - 5. Profili di Data protection. - 6. Tutela dell’investitore: presidi informativi ed organizzativi. - NOTE
È sin troppo noto come il cosiddetto processo di investimento intercorrente tra investitore ed intermediario si articoli, pur nella sua unitarietà, in diverse fasi e come ciascuna di queste sia rigorosamente presidiata dalla normativa di settore in materia di servizi di investimento a tutela dell’investitore. L’argomento è troppo ampio per poter essere qui ripercorso, nel suo complesso, con l’attenzione di dettaglio che meriterebbe ed una sua trattazione completa non rientra, del resto, negli obiettivi del presente scritto che vuole invece soffermarsi essenzialmente sulla profilatura finanziaria dell’investitore effettuata con tecniche algoritmiche. Sul piano generale e per rapidi richiami ai diversi momenti di cui consta il processo di investimento, può tuttavia essere qui sufficiente ricordare che l’intermediario non si può limitare a conoscere e a mappare i prodotti che distribuisce (know your merchandise) e a fornire ai propri clienti informazioni appropriate affinché possano prendere decisioni in materia di investimenti con cognizione di causa, ma deve, prima o contestualmente alla conclusione del contratto di investimento, acquisire le informazioni dal cliente relative al suo profilo finanziario e segnatamente: i) alla conoscenza e all’esperienza in materia di investimenti (dati sui tipi di servizi, sulle operazioni e gli strumenti finanziari con i quali il cliente ha dimestichezza, sulla natura, sul volume e sulla frequenza delle operazioni su strumenti finanziari realizzate, sul livello di istruzione e sulla professione attuale o precedente del cliente) (art. 25, terzo comma, direttiva 2014/65 UE del 15 maggio 2014, di seguito MiFID2, art. 55 Reg. delegato 2017/565 UE, di seguito Rd MiFID2; art. 42, primo comma, Reg. Consob 15 febbraio 2018, n. 20307 in materia di intermediari, di seguito RI); ii) alla situazione finanziaria (dati sulla fonte e sulla consistenza del reddito regolare, sulle attività, comprese le attività liquide, sugli investimenti ed i beni immobili e sugli impegni finanziari regolari), inclusa la capacità di sostenere perdite (art. 54, quarto comma, Rd MiFID2); iii) agli obiettivi di investimento (dati sul periodo di tempo per il quale il cliente desidera conservare l’investimento, le preferenze in materia di rischio, il profilo di rischio e le finalità dell’investimento), inclusa la [...]
Se si tiene conto di questa dinamica generale, ci si può probabilmente anche convincere che un corretto processo di profilatura non può non contemplare anche una serie di misure organizzative che incoraggino gli intermediari non solo a separare le strutture preposte alla vendita da quelle specificamente addette alla profilatura, onde evitare vendite in violazione dei principi di correttezza e diligenza (mis-selling) [18], ma anche, per quanto qui più interessa, ad utilizzare strumenti e tecniche automatizzate (ossia strumenti tecnologici vari, quali, ad esempio, macchinari, software, algoritmi, tecniche Big data, ecc.) per la raccolta e l’elaborazione su base tecnologica di informazioni e dati della clientela che dovrebbero consentire non solo una profilatura più accurata e personalizzata, ma anche meno influenzabile da pregiudizi cognitivi dello stesso investitore (i.e.: sopravvalutazione delle proprie competenze, sovraccarico o distorsione cognitiva), nonché, dal lato dell’impresa di investimento, di acquisire maggiore efficienza e vantaggio competitivo. La diffusa disponibilità in Internet di dati o di input traducibili in informazioni personali, ossia riferibili ad una persona fisica identificata o identificabile, unita alla capacità di analisi e di correlazione algoritmica di tali dati, all’intelligenza artificiale ed al progresso tecnologico rendono oggi pensabile la creazione di profili finanziari della clientela in grado di sostituire o almeno di integrare i dati e le informazioni fornite direttamente dall’interessato attraverso le risposte al tradizionale questionario di profilatura. Ci si vuole qui riferire alla possibilità, per effettuare una profilatura finanziaria più oggettiva ed appropriata, di utilizzare le tecniche di raccolta, elaborazione ed interpretazione dei cc.dd. Big data in relazione, per quanto qui più interessa, ai dati di natura personale disseminati dai singoli investitori in Internet [19]. In questa prospettiva giova chiarire sin d’ora che quando si parla di Big data e, segnatamente, di Big data analytics si intende fare riferimento non tanto e non solo ad un grande insieme di dati quanto a tecniche di analisi eseguite su enormi quantità di dati (volume), caratterizzati da formati assai differenti (varietà), immagazzinati ed elaborati a un ritmo (velocità) sempre più rapido [...]
Considerata la tecnologia oggi disponibile ed in particolare le tecniche Big data analytics sopra descritte, si delinea l’opportunità di verificare se queste tecniche consentono alle banche e agli altri intermediari (o ai gestori di informazioni a loro legati), preposti al processo di profilatura finanziaria, di ottenere e di elaborare le informazioni previste dalla normativa MiFID, necessarie e funzionali per assegnare un profilo di rischio agli investitori e per verificare l’appropriatezza e l’adeguatezza dell’investimento. È del resto un dato empirico di frequente rilevazione che gli operatori finanziari già dispongano o possano acquisire rilevanti quantità di questi dati (comportamentali e non) provenienti dal rapporto con i propri clienti: dati di identificazione, dati transazionali, dati di credito e rischio, dati sulla cronologia dei contatti con i consulenti finanziari, dati sulle preferenze del cliente, dati di navigazione compiuti all’interno dell’area riservata del servizio di Internet banking oppure di altri dati acquisiti da fonti esterne pubbliche, come gli uffici anagrafici, catastali o elettorali, o private come i social media (ad esempio cronologia di navigazione tramite le app o i dati rivenienti dai tanti servizi Internet messi a disposizione dell’utente) [44]. Si tratta, in altre parole, di capire se i Big data o meglio gli algoritmi che ‘lavorano’ questi dati (nella specie informazioni di carattere personale degli investitori) siano in grado di fornire una profilatura finanziaria attendibile, accurata, completa ed aggiornata e qualitativamente affidabile, basata su dati esatti e conformi a quelli richiesti dalla disciplina sui servizi di investimento sopra delineati. Non solo dunque un software che definisce il profilo di rischio o di investimento del cliente dopo la compilazione del questionario tradizionale da parte dell’investitore, come già avviene (è infatti noto che il profilo di rischio altro non è che il risultato di un algoritmo matematico derivante dalle risposte fornite in sede di profilatura), ma una profilatura automatizzata che, attraverso algoritmi, raccolga, analizzi, elabori ed inferisca le caratteristiche finanziarie del cliente utili ai fini MiFID sulla base dei dati e delle informazioni rilasciate nel web o già disponibili da parte dell’intermediario. Il tema si [...]
Si è sin qui cercato di chiarire che gli algoritmi sono progettati per trattare grandi volumi di informazioni e creare correlazioni utili per consentire di creare profili personali delle persone fisiche quanto più possibili completi ed accurati. È ora il momento di comprendere meglio se la profilatura finanziaria ai fini MiFID possa essere legittimamente effettuata (integralmente o almeno parzialmente) con l’ausilio di processi automatizzati applicati a dati personali e segnatamente attraverso le tecniche algoritmiche sopra descritte. Il punto di partenza preliminare dal quale muovere è chiarire se la profilatura possa essere effettuata non più (o non solo) attraverso la compilazione, per iscritto ovvero on line, del tradizionale questionario o mediante le interviste opportunamente formalizzate del singolo investitore, bensì attraverso queste nuove tecniche e ciò nell’idea qui ormai acquisita – ancorché suscettibile di ulteriore approfondimento in ambito Data Science – che l’evoluzione delle tecniche sia allo stato in grado di sviluppare dei modelli di profilatura algoritmica che rispondono alle esigenze sin qui descritte. Al riguardo, è importante ricordare che né la normativa di settore né l’Esma stabiliscono imperativamente le forme o le modalità attraverso cui tali informazioni devono essere raccolte. Ma se è indubitabile che le forme più utilizzate oggi nella pratica siano i c.d. questionari o le interviste che gli intermediari predispongono per i loro clienti, è altrettanto vero che non sembra sussistere un obbligo di legge di “acquisire le informazioni necessarie dai clienti” solo in dette forme (artt. 21, primo comma, lett. b), T.U.F., 40, primo comma, 42, primo comma, 168, primo comma, RI). L’Esma – sensibile all’automazione del processo di investimento – lascia libertà dei mezzi attraverso cui raccogliere le informazioni, focalizzando piuttosto l’attenzione delle imprese di investimento sull’adozione di «procedure atte a consentire a queste di comprendere i dati e le caratteristiche essenziali dei loro clienti» (orientamento 22). Ciò che rileva per l’Autorità europea è – al di là del metodo utilizzato per la raccolta di informazioni – che le informazioni acquisite consentano la [...]
Ne risulta un discorso che – al di là della sua plausibilità tecnica e giuridica che non sembra revocabile in dubbio – pare quindi potersi incentrare sulla volontà e sul consenso specifico dell’investitore alla profilatura algoritmica. E ciò invero in una duplice prospettiva: da un lato, come si è già accennato, il consenso dell’investitore è necessario affinché il suo profilo MiFID sia ricostruito (totalmente o parzialmente) con tecniche algoritmiche di raccolta ed elaborazione dei dati personali, poggiando ovviamente sulla capacità dell’intermediario di disporre o di avvalersi di procedure e tecniche siffatte e a condizione, si intende, che la profilatura algoritmica assicuri, al pari dei questionari, il rispetto del canone della know your customer rule in un quadro di completezza, accuratezza ed aggiornamento dei dati e delle informazioni; e, dall’altro, come consenso idoneo per autorizzare la profilazione algoritmica in ambito Data protection [63]. Un consenso che, come si dirà più avanti, per non essere vacuo deve peraltro essere preceduto da una adeguata informativa preventiva almeno sulle modalità e sulla logica che sono alla base del trattamento di profilazione algoritmica. Si delinea in tal modo, conviene ribadirlo, un meccanismo in cui l’investitore presta il proprio specifico consenso all’intermediario affinché questo possa effettuare la profilatura, avvalendosi dei dati utili dell’investitore raccolti ed elaborati con strumenti algoritmici da operatori a ciò preposti e, nel contempo, il medesimo consenso [64] legittima la profilazione automatizzata sotto il profilo della protezione dei dati ai sensi del GDPR [65]. L’onere precontrattuale (o contrattuale, se assolto in pendenza di contratto per l’aggiornamento o la modifica dei dati) dell’investitore di fornire le informazioni necessarie all’intermediario – oggi basato, come si è detto, sulla dinamica dialogica della domanda-risposta propria dei questionari tradizionali di profilatura – verrebbe così ad essere sostituito, sulla base di un’autorizzazione del cliente, di una sua libera scelta, da un sistema di acquisizione dei dati esterno all’investitore, da un analisi automatizzata di tali dati per individuare correlazioni e dall’applicazione di [...]
Questi rilievi possono ulteriormente confermare l’idea che la profilazione algoritmica – pur meritando ulteriore attenzione dal punto di vista tecnico della data science in ordine ai modelli operativi che potranno essere sviluppati – sia non solo legittima ma anzi auspicabile se tesa a favorire il migliore adempimento della know your customer rule ed il più generale principio di correttezza nella prestazione dei servizi di investimento, ferma restando, si intende, la qualità e l’accuratezza dei dati raccolti e la necessaria mitigazione dei rischi che l’utilizzo di queste tecniche non deve comunque trascurare. D’altra parte questo tipo di profilatura non sembra mettere a rischio la capacità dell’investitore di effettuare scelte consapevoli perché comunque resta destinatario dei consueti obblighi informativi; e anzi quelle informazioni che, come si è detto, vengono oggi trasmesse al cliente, in modo standardizzato e impersonale, potrebbero essere indirizzate ai clienti in modo più granulare, differenziato e con un’offerta di prodotto maggiormente personalizzata [73]. Ma la questione, come ogni altra questione giuridica, va affrontata, almeno per rapidi richiami, anche in termini di disciplina applicabile. Si tratta di domandarsi, vista anche la rilevanza pratica della questione, se sul piano delle regole applicabili agli intermediari, queste nuove tecniche richiedano una tutela rafforzata del cliente profilato e se l’intermediario debba adottare presidi organizzativi particolari, secondo la nota logica consolidatasi con MiFID2 (ma di risalente tradizione civilistica), per la quale la tutela dell’investitore, prima ancora che informativa, è ormai sempre affidata a misure e procedure organizzative di controllo [74]. Qui sembrano saldarsi le esigenze sottese alla disciplina MiFID con quelle sulla protezione dei dati personali. Per quanto previste per finalità diverse, sembrano infatti poter convergere nel prescrivere una tutela informativa ed organizzativa dell’investitore algoritmicamente profilato. Non vi è dubbio che l’intermediario abbia il dovere di spiegare all’investitore che la profilatura è posta in essere con tecniche algoritmiche e quale sia l’esatta estensione dell’intervento umano o i casi e le modalità con cui il cliente può chiedere [...]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
ISSN 2282-667X - Rivista Orizzonti del Diritto Commerciale (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
