Credit scoring automatizzato e diritto alla rivalutazione umana: la sentenza SCHUFA

Pubblicato il 14 Ottobre 2025 - Categoria: Banche e Investimenti
merito creditizio

Abstract. La Corte di giustizia dell’Unione europea ha stabilito che la determinazione di un punteggio di affidabilità creditizia (credit scoring) può costituire un «processo decisionale automatizzato» ai sensi dell’art. 22 del GDPR quando tale punteggio incide in modo decisivo sulla concessione di un prestito. La pronuncia riguarda il caso SCHUFA Holding (C-634/21) e ha importanti ricadute per banche, finanziarie e consumatori italiani. Questa guida analizza i profili normativi europei e nazionali, le tutele previste e i princìpi elaborati dalla giurisprudenza della Cassazione, fornendo indicazioni pratiche per l’adeguamento dei processi decisionali e la difesa dei diritti degli interessati.

1. Il caso SCHUFA e il principio di diritto

La causa SCHUFA Holding (C-634/21) nasce da un rinvio pregiudiziale del Tribunale amministrativo di Wiesbaden sulla compatibilità del sistema tedesco di credit scoring con il GDPR. La Corte di giustizia ha precisato che la determinazione di un «punteggio» da parte di una società che fornisce informazioni commerciali, quando quest’ultimo influisce in modo decisivo sulla conclusione, esecuzione o risoluzione di un contratto di credito, rientra nelle decisioni automatizzate disciplinate dall’art. 22, par. 1, del GDPR.

La Corte ha evidenziato che il credit scoring:

  • È basato sull’elaborazione automatizzata di dati personali e costituisce «profilazione» ai sensi dell’art. 4, punto 4, GDPR;
  • Produce effetti giuridici o analoghi per l’interessato quando determina o influisce in modo decisivo sulla possibilità di ottenere un finanziamento;
  • Deve quindi essere sorretto da una base giuridica specifica (contratto, legge o consenso esplicito) e accompagnato da garanzie adeguate, tra cui l’intervento umano, il diritto di esprimere la propria opinione e la possibilità di contestare la decisione.

La sentenza fissa inoltre il contenuto dell’obbligo informativo a carico delle società che effettuano lo scoring: l’interessato deve ricevere «informazioni significative sulla logica utilizzata», sull’importanza e sulle conseguenze previste del trattamento. Tali princìpi valgono anche quando il credit scoring è effettuato da terzi (es. SIC privati) e il risultato viene trasmesso a banche e finanziarie per la decisione finale.

2. Articolo 22 GDPR e diritti del consumatore

L’art. 22 del GDPR riconosce al soggetto interessato il diritto di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato, inclusa la profilazione, che produca effetti giuridici o analogamente significativi. La norma ammette tre eccezioni: quando la decisione è necessaria per concludere o eseguire un contratto; è autorizzata dal diritto dell’Unione o di uno Stato membro; o si basa sul consenso esplicito dell’interessato.

Misure a tutela dei diritti dell’interessato

In tutti i casi devono essere adottate misure idonee a tutelare i diritti dell’interessato, tra cui:

  • Intervento umano: l’interessato può ottenere l’intervento di una persona che riconsideri la decisione;
  • Diritto di esprimere il proprio punto di vista e contestare la decisione;
  • Obblighi di trasparenza e di informazione sulla logica del trattamento.

Le società che effettuano credit scoring e gli intermediari che ne utilizzano i risultati devono quindi rendere disponibili agli utenti informazioni comprensibili sulle variabili utilizzate, sui criteri di ponderazione e sulle conseguenze previste. Tali obblighi si sommano ai diritti di accesso, rettifica, cancellazione e limitazione previsti dagli artt. 15-18 GDPR.

3. Il sistema italiano dei Sistemi di Informazioni Creditizie (SIC)

In Italia, la raccolta e lo scambio di dati sul merito creditizio sono disciplinati dal Codice di condotta per i sistemi di informazione creditizia (SIC) approvato dal Garante Privacy nel 2019. Il codice consente ai gestori di banche dati (CRIF, Experian, CTC, ecc.) di utilizzare algoritmi di valutazione, ma impone precise tutele per gli interessati.

Diritti di accesso e rettifica

Gli interessati hanno diritto a conoscere quali dati personali sono trattati, a ottenere la loro rettifica o aggiornamento e a chiedere la cancellazione quando i dati sono inesatti o non più pertinenti.

Diritto di opposizione

È riconosciuto il diritto di opporsi al trattamento per motivi legittimi e di richiedere la limitazione del trattamento nei casi previsti dalla legge.

Decisione umana

Il codice ribadisce che i punteggi sintetici o «score» devono essere utilizzati a supporto di una decisione umana e non come unico criterio di concessione del credito, in linea con l’art. 22 GDPR.

Il Garante ha inoltre accreditato un Organismo di monitoraggio indipendente che vigila sul rispetto del codice per cinque anni e verifica la conformità dei sistemi alle norme sulla protezione dei dati. Gli operatori devono condurre valutazioni d’impatto (DPIA), monitorare la qualità dei dati, predisporre misure di sicurezza tecniche e organizzative e adottare procedure efficaci per gestire le richieste degli interessati.

Il ruolo della Banca d’Italia Un ruolo complementare è svolto dalla Banca d’Italia, che nelle sue guide sul credito al consumo ricorda che gli intermediari devono valutare accuratamente il merito creditizio raccogliendo informazioni sul reddito e sulle posizioni debitorie del cliente, anche tramite banche dati pubbliche e private. Le banche sono tenute a comunicare al cliente il primo ritardo nei pagamenti, a fornire copie del contratto e a dare notizia del ricorso alle banche dati. Se insorgono contestazioni, il consumatore può presentare un reclamo all’intermediario, rivolgersi all’Arbitro Bancario Finanziario (ABF) o proporre ricorso al Garante Privacy.

4. La giurisprudenza italiana: tre casi significativi

4.1. Cassazione n. 14381/2021: rating reputazionale e trasparenza dell’algoritmo

Con l’ordinanza n. 14381/2021, la Prima sezione civile della Corte di Cassazione ha ritenuto invalido il consenso prestato dagli utenti di una piattaforma di rating reputazionale basata su algoritmi opachi. La Corte ha affermato che il consenso al trattamento dei dati personali è valido solo se prestato in modo libero e specifico rispetto a un trattamento chiaramente individuato; pertanto, nel caso di piattaforme che generano punteggi di affidabilità mediante algoritmi, il consenso non è consapevole se la logica e gli elementi essenziali del procedimento restano ignoti agli interessati. Gli ermellini hanno rilevato che l’opacità dell’algoritmo mina l’autodeterminazione informativa e viola i princìpi di trasparenza e correttezza.

Principio di diritto: La pronuncia richiama le prescrizioni del GDPR in tema di consenso (art. 7) e ribadisce che la profilazione automatizzata deve essere accompagnata da spiegazioni comprensibili e verificabili. Il caso fornisce un precedente utile per valutare la liceità di rating reputazionali e creditizi basati su machine learning.

4.2. Cassazione n. 18610/2021: dovere di valutare il merito creditizio

Nell’ordinanza n. 18610/2021, la Cassazione ha affrontato il tema della concessione abusiva di credito. Secondo la Corte, il finanziatore commette un illecito quando concede o continua a concedere credito in modo incauto a un imprenditore in stato di insolvenza o in situazione di crisi conclamata; tale condotta viola l’obbligo di valutare con prudenza la concessione del credito e obbliga il finanziatore a risarcire i danni derivanti dall’aggravamento del dissesto. L’illiceità ricorre soprattutto quando l’erogazione è effettuata con dolo o colpa (imprudenza o negligenza) e priva di prospettive concrete di risanamento. Per contro, non vi è abusiva concessione quando la banca, con un rischio non irragionevole, mira al risanamento aziendale sulla base di dati aggiornati e documentati.

La sentenza evidenzia l’importanza delle informazioni sul merito creditizio nella valutazione ex ante; tali informazioni possono essere fornite dalle banche dati pubbliche, dai SIC e da ulteriori rilevazioni su reddito e affidabilità del cliente. Un sistema di scoring che offra indicatori di rischio senza adeguata verifica da parte dell’operatore può favorire condotte imprudenti.

4.3. Cassazione n. 24725/2021: legittimazione del curatore e credito abusivo

Con l’ordinanza n. 24725/2021 la Suprema Corte ha ulteriormente chiarito la fattispecie della concessione abusiva di credito nel contesto fallimentare. La Corte ha affermato che l’erogazione di credito in modo incauto o doloso a un’impresa priva di prospettive di superamento della crisi integra un illecito che obbliga il finanziatore a risarcire i danni derivanti dall’aggravamento del dissesto; tale responsabilità sussiste anche in concorso con gli organi sociali ed è fatta valere dal curatore fallimentare. Non costituisce invece abuso la concessione di credito quando l’operatore assume un rischio non irragionevole e documentato, finalizzato al risanamento, sulla base di informazioni adeguate.

Rilevanza per il credito al consumo: Il provvedimento riconosce la legittimazione del curatore ad agire direttamente contro la banca che abbia finanziato abusivamente la società fallita e richiama gli obblighi di prudente gestione e di verifica del merito creditizio previsti dal testo unico bancario. Sebbene la decisione riguardi un caso di insolvenza societaria, i princìpi in essa contenuti sono richiamabili anche per il credito ai consumatori: gli intermediari devono valutare con diligenza la capacità di rimborso, non limitandosi a un punteggio automatizzato, e conservare evidenza delle informazioni utilizzate.

5. Implicazioni pratiche per banche, finanziarie e consumatori

Alla luce del quadro normativo e giurisprudenziale, i soggetti coinvolti nei processi di valutazione del merito creditizio devono adottare cautele specifiche:

🏦

Obblighi per intermediari e SIC

Gli intermediari devono effettuare una valutazione approfondita del merito creditizio basata su dati aggiornati e comprensibili, non affidandosi esclusivamente a punteggi automatizzati; devono informare gli interessati sull’esistenza e la logica dello scoring, fornire canali per richiedere l’intervento umano e assicurare l’aggiornamento dei dati.

🔍

DPIA e trasparenza

Quando si impiegano algoritmi di profiling è necessario svolgere una valutazione d’impatto sulla protezione dei dati e adottare misure per prevenire discriminazioni, falsi positivi e errori; occorre documentare la logica del modello e condividerne gli elementi essenziali in forma chiara.

👤

Diritti dei consumatori

I consumatori possono chiedere l’accesso alle informazioni utilizzate per calcolare lo score, ottenere la rettifica o la cancellazione di dati errati, richiedere un riesame umano della decisione ed opporsi al trattamento automatizzato. In caso di rifiuto del credito basato esclusivamente sullo score, è consigliabile inviare una richiesta scritta all’intermediario invocando gli artt. 13-15 e 22 GDPR e, se necessario, presentare reclamo al Garante o all’ABF.

⚖️

Compliance organizzativa

Banche e finanziarie devono integrare i princìpi della privacy by design nei processi di scoring, conservare documentazione delle valutazioni e prevedere procedure per la gestione dei reclami. La designazione di un data protection officer e la formazione del personale contribuiscono a ridurre i rischi di violazione.

6. Domande frequenti (FAQ)

❓ Il credit scoring è sempre vietato?

No. L’art. 22 GDPR vieta le decisioni basate unicamente su trattamenti automatizzati che producono effetti giuridici o analoghi. È possibile utilizzare un punteggio come supporto alla decisione, purché sia previsto l’intervento umano e siano rispettati i requisiti di trasparenza e di base giuridica.

❓ Posso conoscere la logica con cui viene calcolato lo score?

Sì. Il GDPR obbliga il titolare del trattamento a fornire «informazioni significative sulla logica utilizzata», cioè una spiegazione comprensibile delle variabili principali e della loro incidenza. Tale spiegazione non richiede la divulgazione del codice sorgente, ma deve consentire all’interessato di comprendere come i propri dati influenzano il risultato.

❓ È possibile chiedere un riesame umano?

Sì. In presenza di una decisione automatizzata che incide sull’accesso al credito, l’interessato può chiedere che una persona riesamini la pratica, esprima un giudizio indipendente e, se del caso, modifichi l’esito.

❓ Quali rimedi ho se il mio score contiene errori?

Gli utenti dei SIC possono esercitare il diritto di accesso e di rettifica. In caso di errori, si può chiedere la correzione o l’aggiornamento dei dati; se l’operatore non risponde, è possibile presentare un reclamo al Garante Privacy o ricorrere al giudice civile.

7. Conclusioni e prospettive

La sentenza SCHUFA rappresenta un punto di svolta nella disciplina del credit scoring: riconoscendo che il punteggio creditizio può costituire una decisione automatizzata, la Corte di giustizia estende le tutele previste dal GDPR ai processi di valutazione del merito creditizio. La giurisprudenza italiana — dalla tutela del consenso informato nella sentenza 14381/2021 alle pronunce sulla concessione abusiva di credito — conferma l’esigenza di trasparenza, prudenza e centralità dell’elemento umano nella concessione del credito.

Per le banche e i gestori dei SIC, ciò implica l’obbligo di riesaminare i propri modelli di scoring, garantire la conformità alle norme sulla protezione dei dati e integrare procedure di verifica umana. Per i consumatori, è fondamentale conoscere i propri diritti, richiedere spiegazioni e far valere le garanzie previste dal GDPR e dal Codice Privacy.

📚 Approfondimenti LexOpera LexOpera continuerà a monitorare l’evoluzione normativa e giurisprudenziale. Per altri contenuti e approfondimenti su responsabilità civile, tecnologie emergenti, tutela dei consumatori, diritto bancario consulta le nostre sezioni dedicate. Scrivi a info@lexopera.it

Parole chiave: credit scoring automatizzato | Articolo 22 GDPR | decisione automatizzata | diritto alla rivalutazione umana | sentenza SCHUFA C-634/21 | sistemi informazioni creditizie | SIC | Cassazione 14381/2021 | concessione abusiva credito | merito creditizio | profilazione algoritmica | tutela consumatori | trasparenza algoritmi | DPIA | privacy by design | Garante Privacy | Arbitro Bancario Finanziario

Condividi

Recupero perdite su investimenti e responsabilità degli intermediari finanziari

 Continua a Leggere

Cessione Crediti ex Art. 58 TUB: La Gazzetta Ufficiale Non Basta, Serve il Contratto

 Continua a Leggere

La nullità degli interessi per la manipolazione del tasso euribor euribor

 Continua a Leggere

Area Tematica

Come trovarci

Indirizzo
Via Ferdinando Paoletti 24,
50134 Firenze

Orari
lunedì—venerdì: 9:00–18:00

avvocati a firenze
Link
tibunale di firenze Tribunale di Firenze
Giudice di Pace di Firenze Giudice di Pace di Firenze
ricerca legislativa Ricerca Legislativa
ricerca legislativa Consiglio Naz. Forense
cnel Contratti Collettivi
sentenze cerca TAR e CdS
Corte di Cassazione cerca Cassazione
Corte di Giustizia cerca Corte di Giustizia UE
Corte dei Conti cerca Corte dei Conti
Sentenze Corte Costituzionale cerca Corte Costituzionale
Sei vittima di  un danno, un infortunio o un sinistro stradale a Firenze e provincia? Chiamaci subito per ottenere il risarcimento in modo facile, veloce e senza spese.

Danno infortunio Firenze

Partners

tladvice consulenza societaria e aziendale
Copyright © 2018 | Lexopera.it - Sede: Via F. Paoletti, 24, 50134 Firenze | Telefono: 055.9067007 | Email: info@lexopera.it | P.IVA 06211720484

Privacy | Cookie

Created by domenicopitisci@gmail.com.