Parere dell’EIOPA sulla governance e gestione dei rischi dell’IA

Lo scorso 6 agosto EIOPA ha pubblicato un parere volto a chiarire come l’interpretazione delle norme assicurative debba essere coordinata con le previsioni dell’AI Act. Il documento non introduce nuove regole, ma offre una guida interpretativa che colloca l’IA nel quadro normativo attuale (Solvency II, IDD, DORA, GDPR). L’obiettivo è fornire criteri di governance e risk management proporzionati, capaci di mitigare i rischi e tutelare gli assicurati.

 

Obiettivi e ambito del parere

L’intelligenza artificiale è destinata ad assumere un ruolo sempre più strategico nella trasformazione digitale che coinvolge tutti i comparti economici, incluso quello assicurativo. In tale settore, l’uso di sistemi di IA si estende lungo l’intera catena del valore: dalla determinazione dei premi e sottoscrizione delle polizze, fino alla gestione dei sinistri e al contrasto delle frodi. Le opportunità sono evidenti: liquidazioni più rapide e automatizzate, valutazioni dei rischi più granulari e accurate, strumenti più sofisticati per individuare attività fraudolente. Tuttavia, tali vantaggi si accompagnano a rischi non trascurabili, legati soprattutto alla limitata trasparenza e opacità di alcuni modelli, con il pericolo di bias sistemici e potenziali effetti discriminatori sugli assicurati.

Con l’entrata in vigore del Regolamento (UE) 2024/1689, noto come AI Act, l’Unione europea ha introdotto un approccio organico e trasversale alla regolamentazione dell’IA, basato su una logica risk-based. Il regolamento classifica i sistemi in base al livello di rischio legato al loro utilizzo e, per quanto concerne il settore assicurativo, considera “ad alto rischio” quelli impiegati per la valutazione dei rischi e la determinazione dei prezzi nelle polizze vita e salute. Tali casi restano esclusi dall’ambito di applicazione del parere dell’EIOPA e rimangono soggetti agli obblighi di governance e risk-management già stringenti previsti dall’AI Act. Al contrario, per i sistemi che non rientrano in queste categorie, il parere indica che la normativa assicurativa viene integrata da obblighi di trasparenza, dall’invito a promuovere la formazione interna e dall’adozione di codici di condotta, favorendo una gestione responsabile e coordinata dell’IA.

È in questo contesto che si colloca il parere dell’EIOPA, il cui scopo è chiarire l’interpretazione della normativa di settore nel contesto dei sistemi di IA, inesistenti o poco diffusi al momento dell’adozione di tale normativa. Come anticipato, il documento non introduce obblighi nuovi, ma definisce le aspettative di supervisione in chiave proporzionata e basata sul rischio, proponendo un approccio sistemico e adattato alle specificità di ciascun caso d’uso. Particolare rilievo è poi attribuito all’esigenza di coerenza a livello europeo, richiamando la definizione di “sistema di IA” contenuta nell’AI Act e nelle linee guida dell’Ufficio per l’IA della Commissione europea, pur lasciando spazio a futuri chiarimenti interpretativi. È opportuno osservare che, anche prescindendo dalla qualificazione formale come “sistema di IA”, la normativa assicurativa già prevede misure di governance e controllo per l’impiego di modelli machine-based.

 

Governance dell’IA e gestione dei rischi

Il tema della governance si innesta in un quadro normativo già articolato (Solvency II, IDD, DORA), che converge su un principio cardine: i sistemi di governance e risk management devono essere efficaci, proporzionati e commisurati alla complessità delle operazioni.

Secondo EIOPA, il primo passo è una valutazione accurata dei rischi connessi ai sistemi adottati, poiché l’impatto non è il medesimo. I sistemi che trattano dati sensibili o incidono su decisioni cruciali per i clienti richiedono controlli più solidi, mentre altri possono essere gestiti con procedure semplificate. La valutazione deve tener conto, tra l’altro, del volume e della sensibilità dei dati trattati, delle caratteristiche della clientela coinvolta, del grado di autonomia del sistema, della sua applicazione (interna o consumer-facing), degli effetti sui diritti fondamentali (non-discriminazione e inclusione finanziaria) e delle ricadute prudenziali (continuità operativa, solvibilità, reputazione).

Sulla base di tale analisi, le imprese sono chiamate ad adottare misure proporzionate di gestione e mitigazione, che possono spaziare dalla supervisione umana alla governance dei dati, fino all’adozione di strumenti volti a compensare l’opacità di modelli complessi. L’approccio suggerito da EIOPA è flessibile: non impone un modello unico, ma raccomanda un intervento calibrato sugli effettivi rischi generati.

In coerenza con le direttive Solvency II, IDD e il regolamento DORA, le imprese devono garantire un uso responsabile dell’IA sviluppando sistemi di governance e gestione dei rischi proporzionati e basati sul rischio, prendendo in considerazione le seguenti aree: equità ed etica, governance dei dati, documentazione e conservazione, trasparenza, supervisione umana, accuratezza, robustezza e sicurezza informatica. Questi principi non devono essere trattati isolatamente, ma in modo integrato e coerente, documentati a livello organizzativo e applicati lungo l’intero ciclo di vita del sistema.

Il parere analizza poi la chiara definizione di ruoli e responsabilità. Le imprese restano, infatti, responsabili dei sistemi utilizzati, anche quando sviluppati da terzi. In tali casi, i fornitori devono offrire garanzie adeguate e, qualora limitate da vincoli di proprietà intellettuale, devono essere previste soluzioni complementari di natura contrattuale, SLA, audit o test di due diligence.

Il parere insiste sull’importanza di un approccio centrato sul cliente: agire in modo onesto, equo e professionale implica coltivare una cultura aziendale orientata all’etica, promuovere la formazione del personale, adottare politiche di data governance che riducano i bias e rendano comprensibili i risultati, nonché monitorare regolarmente i sistemi e predisporre chiari meccanismi di ricorso.

Particolare attenzione è dedicata alla data governance, i dati devono essere completi, accurati, adeguati e correttamente documentati lungo tutto il ciclo di vita del sistema, inclusa la gestione dei dati di terzi. La responsabilità ultima resta sempre in capo all’impresa. La documentazione deve garantire la tracciabilità e i risultati devono poter essere spiegati sia alle autorità (con un linguaggio tecnico e globale), sia ai clienti (con modalità semplici e comprensibili).

 

Supervisione umana, accuratezza, robustezza e sicurezza informatica

La supervisione umana deve essere assicurata lungo l’intero ciclo di vita dei sistemi. Ruoli e responsabilità devono essere chiaramente definiti, con procedure di escalation adeguate, programmi di formazione e, quando opportuno, figure dedicate.

In parallelo, i sistemi devono garantire accuratezza, robustezza e sicurezza informatica, in coerenza con i principi di Solvency II e DORA. Essi devono essere monitorati tramite metriche specifiche, inclusi indicatori di equità, testati nelle interazioni tramite API e resi resilienti rispetto a minacce esterne quali data poisoning o attacchi. Le imprese devono inoltre dotarsi di infrastrutture ICT aggiornate e predisporre piani di continuità operativa, al fine di assicurare la resilienza dell’intero ecosistema IA.

 

Conclusioni

Il parere dell’EIOPA conferma che l’intelligenza artificiale non rappresenta un corpo estraneo alla regolazione assicurativa, ma un fattore che ne mette alla prova la capacità di adattamento. La sfida non consiste semplicemente nell’aggiungere nuove regole, ma anche nel reinterpretare quelle esistenti alla luce del mutato contesto tecnologico e normativo, preservando la centralità del cliente e la solidità prudenziale del settore.