Il caso Credit Data Research: un credit scoring real-time per favorire il funding delle PM

Per concludere questo capitolo analizzeremo un caso pratico di come l’apertura dei database bancari rappresenti un forte stimolo alla crescita e all’evoluzione del modello di business delle stesse FinTech. Come già anticipato, è essenziale che l’interazione tra intermediari tradizionali e nuovi operatori produca uno scambio capace di creare valore per entrambi. Credit Data Research (CDR) con l’implementazione del suo progetto Credit Passport Real Time ambisce a raggiungere proprio questo obiettivo. La FinTech è stata costituita nel 2013, specializzandosi da subito nell’offerta di strumenti innovativi per facilitare l’accesso al credito delle PMI italiane. Nel suo processo di sviluppo fondamentale senz’altro è stata la partnership strategica siglata con una delle più grandi agenzie di rating mondiale, Moody’s: quest’ultima oltre ad aver sottoscritto una quota minoritaria del capitale di rischio della start-up, si è da subito impegnata a mettere a sua disposizione il proprio know-how, la propria esperienza nel settore del credit rating, nonché le proprie tecnologie. Proprio da questa proficua collaborazione è nato il Credit Passport (CP), un documento che offre un giudizio sintetico sul merito creditizio delle aziende clienti.

L’immagine precedente mostra la pagina del report in cui viene presentato l’esito finale, in modo esplicativo e facilmente comprensibile per l’azienda che lo riceve, anche grazie all’uso di colori diversi per ogni fascia di scoring.

Il suo punto di forza è rappresentato dal fatto che il credit scoring calcolato206 è il risultato della combinazione degli output di due diversi modelli quantitativi: uno di natura finanziaria, il RiskCalc di Moody’s Analytics, e uno di natura comportamentale, il DefaultMetrics207, di Credit Data Research.

Il report mostra la capacità di un’impresa di svolgere la propria attività continuando ad adempiere regolarmente alle proprie obbligazioni finanziarie nei sei mesi successivi alla redazione del CP. È un documento strategico perché le permette di conoscere il modo in cui le banche analizzano il suo profilo creditizio. Se la valutazione dà un esito positivo, la sua inclusione nei documenti di bilancio contribuisce al miglioramento del potere contrattuale dell’azienda nei confronti dei finanziatori; un risultato meno buono permette di conoscere preventivamente una situazione critica così da intervenire con opportune strategie. È appunto una sorta di “passaporto” dell’azienda che sintetizza il suo stato di salute, quindi, può essere impiegato strategicamente come documento di presentazione non solo con gli istituti finanziari, ma anche con fornitori e altri partner al fine di ottenere condizioni commerciali migliori.

Come tutti i sistemi di scoring operativi sul mercato, anche quello di CDR dà un risultato che riflette le performance aziendali passate: questo perché vengono utilizzati come input i dati dell’ultimo bilancio disponibile per la parte finanziaria e i dati presenti in Centrale dei Rischi di Banca d’Italia208 _{per la parte comportamentale. Tuttavia, una delle principali} cause di inadempienza tra le PMI, ossia le crisi di liquidità (legate ai cash flows), possono avere origine in soli 2-3 mesi e portare anche al default di aziende considerate finanziariamente stabili da decenni. In casi come questo, i suddetti dati, non riescono a

206 _{Un numero che indica la probability of default (PD) dell’azienda a cui è associata una lettera (da A++}

sino ad E).

207 _{Il bilancio d’esercizio, essendo riferito ad uno specifico arco temporale, non è in grado di mostrare}

l’evoluzione dell’azienda nel tempo: “fotografa” in modo statico i risultati della gestione, non essendo in grado di valutare gli aspetti più dinamici della vita aziendale; validità che si riduce ancora di più per le PMI, dove spesso è redatto unicamente per assolvere agli obblighi di legge. Per questo CDR ha scelto di associare un modello behavioral e di attribuirgli un peso maggiore rispetto a quello finanziario (55% a fronte di 45%) proprio in virtù del fatto che il target di clientela sono le PMI.

208 _{È un sistema informativo creato per raccogliere informazioni legate all’indebitamento della clientela}

delle banche e degli intermediari finanziari vigilati da Banca d’Italia, il cui database è alimentato da banche operanti sul territorio italiano, intermediari iscritti all’art. 106 del TUB e le società di cartolarizzazione dei crediti (SPV). Tali soggetti hanno l’obbligo di segnalare, con cadenza mensile, le posizioni di rischio di ciascun cliente, nonché di aggiornare in modo continuo le informazioni qualitative sulla situazione debitoria della propria clientela nel momento in cui si verifica un cambiamento di status.

catturare tali eventi negativi e non permettono, quindi, di formulare un giudizio esaustivo sulle condizioni dell’azienda; per perseguire tale obiettivo sono necessari real time data. Già prima dell’implementazione della PSD2, CDR aveva intuito che dalla possibilità di conoscere in tempo reale le modalità con cui un’azienda utilizza i propri conti bancari si possono desumere informazioni anche più importanti di quelle prese solitamente in considerazione nell’elaborazione di uno scoring. Importanti soprattutto perché espressivi del comportamento finanziario dell’impresa analizzata: la giacenza del conto corrente, le tempistiche di rimborso dei finanziamenti ottenuti o le percentuali di utilizzo delle linee accordate, sono tutte variabili che potrebbero essere aggiunte nel modello behavioral ai rischi a scadenza e ai rischi a revoca209, attuali input del DefaultMetrics. Potrebbe, quindi, ottenere importanti vantaggi competitivi attraverso l’imminente lancio sul mercato di un algoritmo capace di rielaborare le informazioni raccolte dai conti detenuti dall’impresa presso diversi istituti finanziari al fine di offrire un giudizio qualitativamente migliore e maggiormente esaustivo210. Potranno accedere ai vari database bancari ed aggregare in un’unica piattaforma tutte le informazioni richieste, essendo stati autorizzati lo scorso febbraio ad operare come AISP dalla FCA: a tal fine, gli sviluppatori di CDR stanno progettando delle APIs capaci di connettersi alle interfacce predisposte dalle banche per essere compliant alla PSD2, che una volta ultimate garantiranno un integrazione seamless ben evidenziata dall’immagine seguente:

209 _{Tali rischi fanno riferimento alla variabile “crediti per cassa” la categoria più interessante per un modello}

come il DefaultMetrics che punta a quantificare il rischio di default: il sopra-emergere di una tensione di liquidità tende infatti a concretizzarsi, nel breve termine, in un inadempimento oppure in un tardato adempimento del credito concesso. Rispettivamente i rischi a scadenza, sono legate alle operazioni di finanziamento con scadenza fissata a livello contrattuale e prive di una fonte di rimborso predeterminata (leasing, mutui, prestiti, pronti contro termine, etc.), i rischi a revoca, sono connessi alle aperture di credito in conto corrente concesse per elasticità di cassa, per le quali l’intermediario si sia riservato la facoltà di recedere indipendentemente dall’esistenza di una giusta causa. L’attenzione è posta su sconfinamenti (l’ammontare “utilizzato” supera quello “accordato”), entità del margine di sicurezza (la percentuale di “utilizzato” disponibile rispetto al valore “accordato”), eventuale presenza di “sofferenze” (gli intermediari hanno segnalato uno stato di insolvenza), nei 12 mesi precedenti l’elaborazione del CP.

210 _{Medium, Credit scoring is broken. Open Banking can help fix it, in}

Figura 29: Un'API dedicata per istaurare un dialogo diretto con le banche fornitrici di dati

Source: CDR, T1.1 API Providers Analyst

Strategica è stata poi la scelta di Londra come propria sede, essendo un ambiente favorevole in cui sviluppare business model innovativi in ambito finanziario. CDR ha potuto fornire dell’importante sostegno di aggregator and incubator; è, inoltre, risultata alla fine del 2017 fra le 10 fintech premiate nella prima fase della competizione “Open Up Challenge” indetta da Nesta (National Endowment for Science, Technology and the Arts)211 e attualmente sta partecipando alla seconda edizione212. Tale competizione, iniziata a febbraio, ha dato la possibilità a diverse FinTech di sfidarsi nella creazione di strumenti, servizi ed applicativi utili a promuovere lo sviluppo di nuove tecnologie digitali applicabili alla finanza, ed in particolar modo innovare il modo in cui i 5 milioni di SMEs del Regno Unito accedono ed utilizzano servizi finanziari. Proprio per facilitare questo sviluppo è stato costituito un fondo di 5 milioni di sterline. Sono state scelte a livello internazionale le venti aziende più promettenti che sono state sovvenzionate con 50.000 sterline e hanno potuto accedere alla Sandbox Open Up Data, contenente uno dei più grandi set di dati anonimi relativi alle transazioni bancarie mai messi a disposizione nell’ambito dell’open innovation; inoltre, hanno potuto usufruire anche della consulenza

211 _{È una fondazione britannica che avvia programmi pratici, investimenti, politiche, ricerche e partnership}

volte a promuovere l'innovazione in un'ampia gamma di settori.

212 _{Nesta, Open Up Challenge: The Ten Fintechs that could shape the future of small business banking, in} https://www.nesta.org.uk/news/open-challenge-ten-fintechs-could-shape-future-small-business-banking.

strategica di esperti e professionisti, nonché ricevere feedback dagli stessi users. Per CDR la possibilità di testare il proprio algoritmo real time sui suddetti dati ha rappresentato sicuramente un grande vantaggio. Le FinTech vincenti, selezionate da una giuria indipendente, hanno ricevuto un premio in denaro del valore di 100.000 sterline per riuscire a lanciare concretamente i loro servizi innovativi sul mercato. NESTA è un pioniere nell'uso dei premi sfida per accelerare l'innovazione nell’interesse della collettività e considera l’accesso ai database uno stimolo concreto al perseguimento di tale fine.

La scelta della City londinese come sede di CDR è stata sicuramente strategica dal momento che qui ha potuto godere di un ambiente favorevole nei confronti della Finance Innovation, come abbiamo evidenziato nel primo capitolo. Tuttavia, una volta attivo, CDR potrà implementare il suo nuovo algoritmo behavioral non soltanto in UK, ma anche in Italia, Francia, Austria e Germania, paesi nei quali è stata riconosciuta la sua licenza ad operare nelle vesti di AISP.

Della portata innovativa del CP real time beneficeranno in primis le aziende clienti che potranno avvalersi del servizio per monitorare in modo più efficiente le proprie performance finanziarie, utilizzando poi l’informazione per stabilizzare il credito, contenere i costi aziendali e orientare al meglio gli investimenti. Tuttavia, anche gli stessi istituti finanziari potranno avvalersi dello scoring in tempo reale sia per effettuare una preselezione della clientela (profilata sulla base della probabilità di default) al fine di velocizzare la fase di istruttore che precede la decisione di affidamento, sia per riuscire a monitorare più facilmente la posizione delle imprese affidate. E qui è evidente lo scambio di valore fra istituto tradizionale e FinTech accennato all’inizio del paragrafo.

Uno scoring basato sul comportamento finanziario garantisce maggiore precisione e, di conseguenza, un minore tasso di negazione di finanziamento ai clienti che mostrano un giurizio di merito creditizio (basato su una molteplicità di fattori), nonché una politica di pricing migliore213.

213 _{Sole24Ore, Credit scoring in tempo reale più vicino con la nuova direttiva Ue sui servizi di pagamento,}

in http://www.ilsole24ore.com/art/commenti-e-idee/2018-04-06/credit-scoring-tempo-reale-piu-con- nuova-direttiva-ue-servizi-pagamento--144019.shtml?uuid=AEySi2TE, 6 aprile 2018.

CAPITOLO 3

I rischi della Finance Innovation:

trade off tra servizi finanziari fluidi e modelli di cyber security stringenti

SOMMARIO – 3.1. Premessa; – 3.2. La Cybersecurity Fraud Prevention; - 3.3. La

portata innovativa del GDPR; – 3.4. Il ruolo dell’EBA nell’implementazione dei principi di autenticazione forte e di comune e sicura comunicazione: i RTS; – 3.4.1. I limiti imposti dai RTS e dal GDPR al cambiamento auspicato dalla PS2D; – 3.5. I caratteri distintivi dell’Open Banking e la sua potenziale implementazione internazionale.

3.1. Premessa

Il progresso digitale può essere sicuramente considerato ad oggi il motore dell’economia, promuovendo l’evoluzione, lo snellimento e l’efficientamento dei modelli di business tradizionali, e dando vita al contempo a business models innovativi, in linea con le nuove esigenze dei consumatori. I diversi digital devices hanno reso l’acceso ai servizi sempre più semplice e veloce; tuttavia, generalmente per poterne usufruire il provider richiede specifiche informazioni al cliente, che una volta archiviate vanno a costituire un database, con potenziali di espansione crescenti, data la velocità con cui avvengono le operazioni online. Di conseguenza, si moltiplicano anche le circostanze in cui la privacy dell’user può essere lesa, con pesanti ripercussioni sulla reputazione del service provider: i livelli di sicurezza e protezione formalmente assicurati, devono poi essere sempre garantiti nella pratica, per non perdere la fiducia del cliente.

Nell’era della digital disruption la gestione della sicurezza informatica sta quindi assumendo un’importanza cruciale: ad ogni azienda è richiesta la predisposizione di sistemi avanzati volti a garantire la protezione dei dati informatici e la tutela della propria clientela. Lo è ancora di più per gli operatori del settore finanziario che, nella quotidiana operatività, raccolgono dati sensibili, esponendosi a problematiche non trascurabili riguardanti la proprietà e lo sfruttamento di tali dati. Le frodi e gli attacchi hacker che coinvolgono i clienti hanno un peso notevole in termini di perdite e costi da sostenere per risarcire i danni provocati. Non sorprende constatare che gli investimenti del settore finanziario nei sistemi di sicurezza informatica superino di tre volte quelli degli altri settori e tenderanno a crescere, secondo il 64% delle banche, anche per rispondere alle richieste provenienti da regulators, top management e customers. È poi nell’utilizzo dei servizi di mobile e online banking che la sicurezza del cliente è maggiormente messa a

rischio, come testimoniano le ingenti spese sostenute in media da una banca (1,7 milioni di dollari) in seguito ad attacchi che colpiscono i suddetti canali214_{. L’ingresso nel mercato} finanziario delle FinTech contribuisce ad aumentare esponenzialmente tali minacce: ciò appare ancora più chiaro se si considera che gran parte del loro successo si basa sull’offerta di servizi digitali, altamente personalizzati, frutto di analisi avanzate dei personal data raccolti dagli user. I rischi di attacchi informatici nei confronti di questi nuovi player si ripercuotono inevitabilmente sulla clientela, e sono tanto maggiori laddove il regulator non sia ancora intervenuto predisponendo specifici quadri normativi, volti a disciplinarne requisiti minimi in termini di sicurezza. Ma anche laddove il legislatore si è fatto promotore di un processo di innovazione sostenibile del sistema finanziario, rimangono lacune legate al fatto che la fattispecie regolamentata è ancora in divenire e che a dare il contributo principale alla prevenzione e alla mitigazione dei cyber risk siano gli stessi operatori del settore attraverso la predisposizione di adeguate strategia di Information o Cyber Security.

3.2. La Cybersecurity Fraud Prevention

Prima di concentrarci sulle novità normative inerenti la data protetion e sulle procedure che tutti i payment service providers dovranno implementare per garantire la sicurezza dell’user, è opportuno sottolineare l’importanza che stanno assumendo in tutte le imprese che detengono un customers data base (quindi, in particolare negli istituti finanziari) i meccanismi finalizzati a gestire, monitore e prevenire il cosiddetto “cyber risk”, il rischio connesso alla violazione della sicurezza informatica. A sottolinearne la centralità è stata anche la Commissione europea, la quale ha ritenuto necessario predisporre un quadro normativo armonizzato volto ad introdurre un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione, attraverso il recepimento negli ordinamenti nazionali della direttiva NIS (Network and Information Security, direttiva 2016/1148), avvenuto il 9 maggio scorso. Il legislatore comunitario si è fatto così promotore di un processo volto a migliorare le capacità di cyber security a livello di singolo stato membro,

214 _{IlSole24Ore, Hacker in banca, ecco le minacce più serie per i clienti, in} http://www.ilsole24ore.com/art/tecnologie/2017-07-26/attacco-hacker-senza-danni-unicredit-esperti-

ma soprattutto a livello comunitario215. A tal fine, ha, inoltre, obbligato gli operatori di servizi essenziali per la Nazione e i fornitori di servizi digitali a predisporre misure di gestione del cyber risk appropriate e a notificare alle autorità competenti gli incidenti di sicurezza più gravi. Gli operatori di servizi essenziali sono aziende pubbliche o private rientranti fra le cosiddette “infrastrutture critiche”, proprio in funzione del ruolo rilevante che ricoprono per la società e l’economia: istituzioni finanziarie e banche ne sono un esempio216. Il crescente ricorso alle Information and Communication Technology (ICT) ha richiesto a queste ultime uno sforzo maggiore nella definizione di policy interne volte a mitigare il cyber risk, che in tempi relativamente brevi, è diventata una delle componenti principali del rischio operativo217, uno dei quattro rischi quantificabili del Pillar 1 di Basilea III (insieme a rischio di credito, di mercato e di controparte) a fronte del quale è obbligatoriamente richiesto alle banche l’accantonamento di una dotazione minima di capitale. In generale, il rischio operativo è definibile come il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni. È trasversale a tutta l’attività bancaria coinvolgendo tutti i suoi comparti: è, infatti, ritenuto emblematico del rischio d’impresa al quale le banche si sottopongono quotidianamente, svolgendo la propria attività imprenditoriale. Si parla, inoltre, di rischio puro in quanto non può essere eliminato (a meno che non si interrompa il business), ma soltanto mitigato, assumendo un atteggiamento proattivo volto a ridurne la frequenza di accadimento o in alternativa la severity, la gravità delle perdite conseguenti alla sua manifestazione. L’operational risk è senz’altro il rischio che più fra tutti necessita per la sua efficace gestione della costituzione di un Sistema di Controllo Interno (SCI), capace di individuare preventivamente tutte le fonti di generazione del rischio; quest’ultimo deve svolgere il proprio compito in modo efficace altrimenti può diventare esso stesso fonte di rischio operativo. Con l’ampliamento

215 _{Ogni paese dovrà dotarsi di una strategia nazionale di sicurezza informatica che definisca gli obiettivi}

strategici, le politiche adeguate e le misure di regolamentazione da implementare. Per facilitare la cooperazione e la condivisione dei progressi raggiunti è stato costituito un gruppo composto da rappresentati degli Stati membri, dalla Commissione e dall’ENISA (European Union for Network and Information Security Agency).

216 _{TechEconomy, Direttiva NIS: cos’è e cosa prevede, in http://www.techeconomy.it/2016/07/22/direttiva-}

nis-cose-cosa-prevede/, 22 luglio 2016.

217 _{Non è un caso che l’EBA abbia pubblicato nel maggio del 2017 una guideline volta a supportare le}

Autorità competenti nel processo di valutazione dei rischi connessi all’utilizzo delle ICT da parte degli istituti di credito. Per approfondire la tematica si consulti: EBA, Guidelines on ICT Risk Assessment under

the Supervisory Review and Evaluation process (SREP), in

https://www.eba.europa.eu/documents/10180/1841624/Final+Guidelines+on+ICT+Risk+Assessment+un der+SREP+%28EBA-GL-2017-05%29.pdf, 11 maggio 2017.

continuo dell’utilizzo delle ICT a tutti i processi bancari, il regulator sta iniziando a valutare l’opportunità di considerare il cyber risk come una categoria a sé stante, non più ricomprensibile nel rischio operativo più generale, per quanto da quest’ultimo riprenda tutte le caratteristiche peculiari. Data la molteplicità delle forme in cui può manifestarsi e le conseguenti difficoltà di prevederlo, è necessario che nel suo processo di monitoraggio sia coinvolta l’intera organizzazione aziendale, dai livelli più bassi, fino al top management, diventando parte della stessa cultura aziendale; tali considerazioni assumono un valore maggiore se si considera poi che, se non opportunamente mitigato, conduce direttamente a rischi reputazionali (che intaccano l’immagine dell’ente nell’ambiente in cui opera), con perdite che complessivamente risultano molto consistenti.

Data la trattazione che stiamo affrontando, appare opportuno concentrarci sulle specifiche strategie di sicurezza informatica volte a proteggere i database bancari; affinché tali strategie siano efficaci devono rispettare tre principi fondamentali, ricompresi nella cosiddetta triade CIA, acronimo di Confidentiality, Integrity and Availability. Nonostante i sistemi di controllo interni alle banche siano tenuti a garantirli in modo sistematico, tali principi presentano delle caratteristiche distintivi che cercheremo di delineare brevemente di seguito:

- Confidenzialità: si richiede che i dati siano costantemente protetti dal potenziale accesso o sfruttamento da parte di soggetti non autorizzati. I sistemi volti a tutelare la confidenzialità saranno più o meno articolati in base al grado di sensibilità e di riservatezza del tipo di informazione considerata; solitamente si impiegano strumenti di criptazione delle comunicazioni, procedure di autenticazione, specifici data governance models, nonché azioni di awareness sugli utenti. La varietà dei security systems implementati si lega alle molteplici fonti di rischio da prendere in considerazione: a causare, infatti, la violazione della confidenzialità