Innovation Law Insights

Artificial Intelligence 

Parere dell’EIOPA sulla governance e gestione dei rischi dell’IA

Lo scorso 6 agosto EIOPA ha pubblicato un parere volto a chiarire come l’interpretazione delle norme assicurative debba essere coordinata con le previsioni dell’AI Act. Il documento non introduce nuove regole, ma offre una guida interpretativa che colloca l’IA nel quadro normativo attuale (Solvency II, IDD, DORA, GDPR). L’obiettivo è fornire criteri di governance e risk management proporzionati, capaci di mitigare i rischi e tutelare gli assicurati.

Obiettivi e ambito del parere

L’intelligenza artificiale è destinata ad assumere un ruolo sempre più strategico nella trasformazione digitale che coinvolge tutti i comparti economici, incluso quello assicurativo. In tale settore, l’uso di sistemi di IA si estende lungo l’intera catena del valore: dalla determinazione dei premi e sottoscrizione delle polizze, fino alla gestione dei sinistri e al contrasto delle frodi. Le opportunità sono evidenti: liquidazioni più rapide e automatizzate, valutazioni dei rischi più granulari e accurate, strumenti più sofisticati per individuare attività fraudolente. Tuttavia, tali vantaggi si accompagnano a rischi non trascurabili, legati soprattutto alla limitata trasparenza e opacità di alcuni modelli, con il pericolo di bias sistemici e potenziali effetti discriminatori sugli assicurati.

Con l’entrata in vigore del Regolamento (UE) 2024/1689, noto come AI Act, l’Unione europea ha introdotto un approccio organico e trasversale alla regolamentazione dell’IA, basato su una logica risk-based. Il regolamento classifica i sistemi in base al livello di rischio legato al loro utilizzo e, per quanto concerne il settore assicurativo, considera “ad alto rischio” quelli impiegati per la valutazione dei rischi e la determinazione dei prezzi nelle polizze vita e salute. Tali casi restano esclusi dall’ambito di applicazione del parere dell’EIOPA e rimangono soggetti agli obblighi di governance e risk-management già stringenti previsti dall’AI Act. Al contrario, per i sistemi che non rientrano in queste categorie, il parere indica che la normativa assicurativa viene integrata da obblighi di trasparenza, dall’invito a promuovere la formazione interna e dall’adozione di codici di condotta, favorendo una gestione responsabile e coordinata dell’IA.

È in questo contesto che si colloca il parere dell’EIOPA, il cui scopo è chiarire l’interpretazione della normativa di settore nel contesto dei sistemi di IA, inesistenti o poco diffusi al momento dell’adozione di tale normativa. Come anticipato, il documento non introduce obblighi nuovi, ma definisce le aspettative di supervisione in chiave proporzionata e basata sul rischio, proponendo un approccio sistemico e adattato alle specificità di ciascun caso d’uso. Particolare rilievo è poi attribuito all’esigenza di coerenza a livello europeo, richiamando la definizione di “sistema di IA” contenuta nell’AI Act e nelle linee guida dell’Ufficio per l’IA della Commissione europea, pur lasciando spazio a futuri chiarimenti interpretativi. È opportuno osservare che, anche prescindendo dalla qualificazione formale come “sistema di IA”, la normativa assicurativa già prevede misure di governance e controllo per l’impiego di modelli machine-based.

Governance dell’IA e gestione dei rischi

Il tema della governance si innesta in un quadro normativo già articolato (Solvency II, IDD, DORA), che converge su un principio cardine: i sistemi di governance e risk management devono essere efficaci, proporzionati e commisurati alla complessità delle operazioni.

Secondo EIOPA, il primo passo è una valutazione accurata dei rischi connessi ai sistemi adottati, poiché l’impatto non è il medesimo. I sistemi che trattano dati sensibili o incidono su decisioni cruciali per i clienti richiedono controlli più solidi, mentre altri possono essere gestiti con procedure semplificate. La valutazione deve tener conto, tra l’altro, del volume e della sensibilità dei dati trattati, delle caratteristiche della clientela coinvolta, del grado di autonomia del sistema, della sua applicazione (interna o consumer-facing), degli effetti sui diritti fondamentali (non-discriminazione e inclusione finanziaria) e delle ricadute prudenziali (continuità operativa, solvibilità, reputazione).

Sulla base di tale analisi, le imprese sono chiamate ad adottare misure proporzionate di gestione e mitigazione, che possono spaziare dalla supervisione umana alla governance dei dati, fino all’adozione di strumenti volti a compensare l’opacità di modelli complessi. L’approccio suggerito da EIOPA è flessibile: non impone un modello unico, ma raccomanda un intervento calibrato sugli effettivi rischi generati.

In coerenza con le direttive Solvency II, IDD e il regolamento DORA, le imprese devono garantire un uso responsabile dell’IA sviluppando sistemi di governance e gestione dei rischi proporzionati e basati sul rischio, prendendo in considerazione le seguenti aree: equità ed etica, governance dei dati, documentazione e conservazione, trasparenza, supervisione umana, accuratezza, robustezza e sicurezza informatica. Questi principi non devono essere trattati isolatamente, ma in modo integrato e coerente, documentati a livello organizzativo e applicati lungo l’intero ciclo di vita del sistema.

Il parere analizza poi la chiara definizione di ruoli e responsabilità. Le imprese restano, infatti, responsabili dei sistemi utilizzati, anche quando sviluppati da terzi. In tali casi, i fornitori devono offrire garanzie adeguate e, qualora limitate da vincoli di proprietà intellettuale, devono essere previste soluzioni complementari di natura contrattuale, SLA, audit o test di due diligence.

Il parere insiste sull’importanza di un approccio centrato sul cliente: agire in modo onesto, equo e professionale implica coltivare una cultura aziendale orientata all’etica, promuovere la formazione del personale, adottare politiche di data governance che riducano i bias e rendano comprensibili i risultati, nonché monitorare regolarmente i sistemi e predisporre chiari meccanismi di ricorso.

Particolare attenzione è dedicata alla data governance, i dati devono essere completi, accurati, adeguati e correttamente documentati lungo tutto il ciclo di vita del sistema, inclusa la gestione dei dati di terzi. La responsabilità ultima resta sempre in capo all’impresa. La documentazione deve garantire la tracciabilità e i risultati devono poter essere spiegati sia alle autorità (con un linguaggio tecnico e globale), sia ai clienti (con modalità semplici e comprensibili).

Supervisione umana, accuratezza, robustezza e sicurezza informatica

La supervisione umana deve essere assicurata lungo l’intero ciclo di vita dei sistemi. Ruoli e responsabilità devono essere chiaramente definiti, con procedure di escalation adeguate, programmi di formazione e, quando opportuno, figure dedicate.

In parallelo, i sistemi devono garantire accuratezza, robustezza e sicurezza informatica, in coerenza con i principi di Solvency II e DORA. Essi devono essere monitorati tramite metriche specifiche, inclusi indicatori di equità, testati nelle interazioni tramite API e resi resilienti rispetto a minacce esterne quali data poisoning o attacchi. Le imprese devono inoltre dotarsi di infrastrutture ICT aggiornate e predisporre piani di continuità operativa, al fine di assicurare la resilienza dell’intero ecosistema IA.

Conclusioni

Il parere dell’EIOPA conferma che l’intelligenza artificiale non rappresenta un corpo estraneo alla regolazione assicurativa, ma un fattore che ne mette alla prova la capacità di adattamento. La sfida non consiste semplicemente nell’aggiungere nuove regole, ma anche nel reinterpretare quelle esistenti alla luce del mutato contesto tecnologico e normativo, preservando la centralità del cliente e la solidità prudenziale del settore.

Autore: Giacomo Lusardi

 

Data Protection & Cybersecurity  

Il Garante Privacy contro CamHub: un monito per la tutela della riservatezza ai tempi della videosorveglianza domestica

Con il provvedimento n. 573 del 1° ottobre 2025, il Garante per la protezione dei dati personali ha emesso un avvertimento formale nei confronti della società ICF Technology, Inc., titolare del sito web CamHub.com, in relazione a gravi criticità riscontrate nel trattamento dei dati personali effettuato tramite tale piattaforma. La decisione trae origine da una precedente istruttoria che ha evidenziato come CamHub, sito che offre un servizio di video streaming di contenuti sessualmente espliciti, fosse coinvolto nella diffusione illecita di filmati estratti da sistemi di videosorveglianza domestici ("IP Cam") non protetti, collocati sul territorio italiano.

Nonostante la momentanea non fruibilità del sito, la pagina contenente i termini e le condizioni del servizio, nonché la relativa informativa sulla privacy, risultano tuttora accessibili, consentendo una verifica della natura e delle modalità del trattamento dei dati. Si legge che CamHub si definisce un servizio interattivo, gratuito e a pagamento, che consente ai propri fornitori ("performer") di caricare contenuti multimediali pubblicamente visibili, tra cui immagini, video, suoni e testi, anche sessualmente espliciti, che possono essere visionati all’interno di specifiche chat room e contenere immagini in tempo reale.

L’attività istruttoria ha messo in luce l’esistenza di trattamenti di dati personali non conformi alla normativa vigente, in particolare riguardo alla raccolta di immagini e video provenienti da videocamere posizionate in luoghi privati nel territorio italiano. Tali immagini, riproducenti momenti di vita privata di persone fisiche, sono da considerarsi dati personali ai sensi del Regolamento (UE) 2016/679 (GDPR), con l’aggravante che frequentemente si tratta di dati appartenenti a categorie particolari (di cui agli artt. 4 n.1 e 9) che richiedono specifiche protezioni. La raccolta e diffusione di tali contenuti, effettuata senza il consenso degli interessati e senza alcuna base giuridica legittima (artt. 6, 9 GDPR), configura una grave violazione del diritto alla riservatezza e della dignità delle persone coinvolte. Per di più, il Garante ha anche rilevato la mancanza di misure tecniche e organizzative adeguate adottate da CamHub per garantire il rispetto dei principi di protezione dei dati personali, quali la minimizzazione e la sicurezza, che avrebbero dovuto impedire la raccolta e la diffusione di immagini sessualmente esplicite provenienti da IP cam non protette, liberamente accessibili e collocate in luoghi privati sul territorio italiano (es. telecamere di sorveglianza domestiche). Da ciò l'addebito a Cam Hub di aver violato gli artt. 5, 6, 9, 25 e 32 del Regolamento.

Visata la natura particolarmente sensibile delle immagini di cui trattasi, tali da ingenerare elevati rischi per i diritti e le libertà fondamentali delle persone riprese, con particolare riferimento alla violazione della loro riservatezza e dignità, l’Autorità ha quindi disposto, ai sensi dell’articolo 58, paragrafo 2, lettera a), del Regolamento, un avvertimento formale nei confronti della società ICF Technology, Inc., sottolineando che la

prosecuzione delle attività di raccolta e diffusione dei dati personali tramite il sito CamHub, in particolare da IP cam non protette, può configurare una violazione normativa grave e sanzionabile. Il provvedimento è stato adottato con urgenza, in considerazione della gravità della situazione e dell’indifferibilità dell’intervento. Il Garante ha altresì riservato ogni ulteriore attività e provvedimento necessari.

In conclusione, il provvedimento del Garante evidenzia che l'accessibilità tecnica ai dati o alle immagini non corrisponde automaticamente alla liceità del trattamento. Rimane, infatti, la necessità di un rigoroso controllo e di una governance attenta dei trattamenti di dati personali, con particolare riguardo a informazioni sensibili e immagini che possono ledere in modo profondo la sfera privata degli individui. La tutela della riservatezza e della dignità, quindi, viene riconfermata come principio inderogabile anche in relazione ai nuovi modelli di business basati sulla condivisione di contenuti multimediali online e che nessuna apparenza di accessibilità o disponibilità tecnica può giustificare il trattamento illecito di dati personali, specie se appartenenti a categorie particolarmente sensibili.

Autore: Giovanni Chieco

 

 

Intellectual Property

Il consiglio di stato si pronuncia sulla rimborsabilità dei farmaci equivalenti

Lo scorso 19 settembre il Consiglio di Stato si è pronunciato su una questione di particolare rilievo nel settore farmaceutico: la rimborsabilità dei farmaci equivalenti da parte del sistema sanitario nazionale.

La controversia trae origine da una determina dell'Agenzia Italiana del Farmaco (1344/2017 del 19 luglio 2017), con la quale l'ente aveva inserito il farmaco equivalente del Truvada – antiretrovirale utilizzato per il trattamento dell'infezione da HIV – nella classe di rimborsabilità H, fissando tuttavia l'efficacia della determina al giorno successivo alla scadenza del brevetto dell'originator sul principio attivo, come previsto dalla legge. Fino a quel momento, dunque, il farmaco sarebbe stato invece classificato nella classe C, riservata ai farmaci non ancora valutati ai fini della rimborsabilità.

La società titolare del generico aveva già contestato innanzi al TAR del Lazio l'inesistenza di qualsiasi protezione sull'originator, sostenendo che il brevetto fosse ormai scaduto e che il CCP fosse invalido poiché riferito a principi attivi diversi rispetto a quelli rivendicati nella privativa.

Il Tribunale amministrativo aveva confermato la determinazione dell'Agenzia, rilevando che l'ente doveva limitarsi a consultare i registri ufficiali, nei quali la scadenza del CCP del Truvada era indicata 21 febbraio 2020, senza poter sindacare sulla validità dei titoli, rinviando quindi la rimborsabilità del farmaco a un momento successivo alla scadenza del titolo.

Parallelamente, la società ricorrente aveva promosso un autonomo giudizio dinanzi al Tribunale di Milano volto a far dichiarare la nullità del certificato complementare di protezione relativo al farmaco originator.

Con sentenza n. 6062/2019 del 21 giugno 2019, il Tribunale aveva accolto le domande della società, dichiarando nullo il CCP. Tale decisione era stata successivamente confermata dalla Corte d’Appello di Milano con sentenza n. 1310/2020 del 29 maggio 2020.

L'azienda farmaceutica aveva quindi adito il Consiglio di Stato, lamentando un danno economico subito nel triennio 2018-2020. In quel periodo, infatti, il farmaco era rimasto classificato come C(nn) e, di conseguenza, non poteva essere acquistato dalle strutture sanitarie pubbliche con oneri a carico del SSN. La ricorrente contestava dunque di aver subito un pregiudizio nel periodo in cui il CCP, pur nullo, non era stato ancora dichiarato tale in sede giudiziale.

In conclusione, il giudice amministrativo di secondo grado, confermando la decisione del TAR, ha da un lato escluso ogni competenza dell'AIFA a valutare la validità del brevetto o del CCP e dall'altro lato ha escluso la sussistenza del danno lamentato, ribadendo che l'AIFA avesse agito nel pieno rispetto della legge.

Su di un simile argomento, potrebbe interessarti: Al via la riforma dell’AIFA

Autrice: Noemi Canova

 

Technology, Media and Telecommunications

Pubblicato il contributo del BEREC alla consultazione della Commissione europea sulla revisione della Raccomandazione relativa ai mercati rilevanti oggetto di regolamentazione ex ante

Il 30 settembre scorso, il BEREC ha pubblicato sul relativo sito web il testo del proprio contributo alla consultazione pubblica avviata dalla Commissione europea relativamente alla revisione della Raccomandazione della Commissione relativa ai mercati rilevanti di prodotti e servizi del settore delle comunicazioni elettroniche che possono essere oggetto di una regolamentazione ex ante (la "Raccomandazione").

Scopo della Raccomandazione è quello di individuare i mercati di prodotti e servizi del settore delle comunicazioni elettroniche in cui sia giustificabile una regolamentazione ex ante, così da apportare vantaggi agli utenti finali rendendo tali mercati effettivamente concorrenziali. Ai sensi dell'articolo 64, paragrafo 1, della direttiva (UE) 2018/1972 (recante il Codice europeo delle comunicazioni elettroniche), è previsto che la Commissione riesamini periodicamente la Raccomandazione. L'ultima revisione della Raccomandazione risale a dicembre 2020, mentre l’attuale processo di revisione è stato introdotto con la consultazione avviata dalla Commissione il 17 giugno 2025 e conclusasi il 30 settembre scorso. In base alle tempistiche comunicate dalla Commissione in sede di avvio della consultazione, dovrebbe essere in corso l’analisi dei contributi ricevuti, a valle della quale la Commissione procederà alla predisposizione della bozza della nuova Raccomandazione. Come previsto dal Codice europeo delle comunicazioni elettroniche, il BEREC renderà un parere del quale la Commissione terrà conto nella definizione della versione finale della Raccomandazione.

Il contributo del BEREC si compone di cinque sezioni: un'introduzione; una seconda sezione dedicata all'attuale situazione della regolamentazione ex ante in Europa; una terza dedicata allo sviluppo dei mercati rilevanti; la quarta sezione riguardante la rilevanza della Raccomandazione e, infine, un capitolo conclusivo.

Il contributo del BEREC fa il punto sullo stato attuale della regolamentazione in Europa e ribadisce la perdurante utilità della Raccomandazione quale strumento di armonizzazione e flessibilità a disposizione delle Autorità nazionali di regolamentazione (ANR).

Con riferimento allo stato attuale della regolamentazione ex ante in Europa, la seconda sezione chiarisce che, in base ai dati attualmente disponibili, i mercati già inclusi nella Raccomandazione sono ancora regolamentati, almeno in parte, in un numero significativo di Stati membri. Questo fenomeno, secondo il parere del BEREC, è dovuto a una caratteristica comune a tali mercati, ossia la dipendenza da elementi di rete che possono essere difficili da replicare per i concorrenti. Il BEREC osserva quindi che laddove permangono ostacoli economici e tecnici è necessario imporre una regolamentazione ex ante al fine di salvaguardare una concorrenza effettiva prevenendo potenziali abusi di potere di mercato da parte degli operatori con significativo potere di mercato ("SMP").

Nella terza sezione, il BEREC presenta i principali sviluppi nel settore delle telecomunicazioni tali da avere un potenziale impatto sui mercati di accesso da regolamentare in base alle valutazioni relative all'esistenza di SMP e che quindi devono essere inclusi nella Raccomandazione.

Per quanto riguarda le tendenze generali del mercato, il BEREC evidenzia i progressi compiuti in Europa negli ultimi anni:

• la copertura VHCN (Very High-Capacity Networks) fissa è cresciuta dal 50% all'82,5% nell'UE. In termini di copertura in fibra, gli Stati membri dell'UE hanno una quota relativamente elevata di copertura Fibre-to-the-Premises (FTTP);
• Per quanto riguarda il 5G, il 94,3% della popolazione dell'UE era coperto da almeno una rete 5G nel 2024.

Nella quarta sezione, il BEREC evidenzia la rilevanza della Raccomandazione che, insieme alle Linee Guida SMP (i.e., gli Orientamenti per l’analisi del mercato e la valutazione del significativo potere di mercato ai sensi del quadro normativo dell’UE per le reti e i servizi di comunicazione elettronica), garantiscono che le ANR definiscano i mercati in linea con i principi e la prassi stabiliti dal diritto europeo della concorrenza e, pertanto, contribuiscano all'armonizzazione nell'applicazione della legislazione settoriale europea.

Alla luce di quanto sopra, il BEREC sottolinea che, dopo oltre 20 anni di regolamentazione ex ante, il regime ha aperto con successo i mercati delle comunicazioni elettroniche a una concorrenza effettiva. Tuttavia, non tutti i mercati in tutti gli Stati membri hanno prodotto gli stessi risultati; ciò dimostra come la regolamentazione ex ante sia ancora necessaria e continuerà a esserlo anche nel prossimo futuro.

Su un simile argomento può essere interessante l’articolo: “Consultazione pubblica del BEREC sulle reti ad altissima capacità”.

Autori: Massimo D'Andrea, Flaminia Perna, Arianna Porretti

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Italia Società Tra Avvocati S.r.l. (DLA Piper Italia S.T.A .) tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.