L’accordo con cui Block, la società di pagamenti presieduta da Jack Dorsey, ha chiuso le accuse di 46 stati americani per 45 milioni di dollari segna molto più di una semplice multa. La vicenda – frodi gestite in modo inadeguato su Cash App, la piattaforma di trasferimento denaro e banking digitale del gruppo – illumina un riassetto del potere regolatorio che sta già condizionando le scelte tecniciche delle aziende fintech, in particolare quelle che integrano sistemi di intelligenza artificiale.

Con il Consumer Financial Protection Bureau (CFPB) federale arretrato sotto la nuova amministrazione, gli stati hanno colmato il vuoto. Il risultato è una frammentazione della vigilanza che obbliga chi opera con dati finanziari a ripensare il controllo e la localizzazione dell’infrastruttura. Per chi sviluppa modelli LLM per il rilevamento delle frodi o per la valutazione del rischio, la posta in gioco è duplice: da un lato la precisione degli algoritmi, dall’altro la capacità di dimostrare, in sede di audit, che i dati personali non siano mai usciti da un perimetro certificato.

Un nuovo fronte per la regolamentazione finanziaria

L’insediamento di Trump ha svuotato l’aggressività del CFPB, ma non ha spento l’interesse pubblico. Quarantasei stati non si sono mossi per caso: dove il governo federale si ritira, la protezione dei consumatori diventa terreno di competizione politica locale. Ne deriva un mosaico normativo in cui ogni singolo attorney general può chiedere conto delle procedure di sicurezza, della reportistica delle frodi e della trasparenza dei sistemi automatici che prendono decisioni sui conti.

Per un’azienda come Block, che muove miliardi di dollari attraverso Cash App, la multa è un costo, ma il vero impatto è operativo: adeguarsi a richieste diverse significa architetture flessibili, con dati facilmente segregabili per giurisdizione. Ecco perché il settlement non riguarda solo i legali, ma interpella direttamente chi disegna l’infrastruttura dati – una figura sempre più centrale nelle fintech guidate dall’AI.

Il fattore sovranità

La tentazione di riversare tutto su cloud pubblico è forte, ma la compliance multi-statale introduce un fattore di rischio che rende il self-hosting o l’on-premise più attraenti. Quando l’algoritmo di fraud detection addestrato su milioni di transazioni deve dimostrare di non aver esposto informazioni personali al di fuori dei confini consentiti, avere i modelli e i dati su macchine proprie, in data center dedicati, semplifica gli audit e riduce la superficie di attacco normativo. Non si tratta solo di privacy: è una questione di TCO della compliance, dove le sanzioni da mancata protezione possono superare il risparmio ottenuto con un’infrastruttura condivisa.

In questo scenario, le architetture ibride stanno guadagnando quote: l’inference dei modelli LLM avviene in locale, sui server aziendali, mentre solo i risultati anonimizzati o aggregati vengono esposti via API. Chi si occupa di deployment on-premise per carichi di intelligenza artificiale sa che i trade-off riguardano principalmente l’efficienza computazionale e la scalabilità orizzontale, ma quando entra in gioco la sovranità dei dati, il calcolo cambia. E la storia di Cash App dimostra che il regolatore, anche quello statale, non concede sconti.