IVASS e la regolamentazione AI: lo stato attuale in Italia
L'Istituto per la Vigilanza sulle Assicurazioni (IVASS) ha avviato nel 2024 un percorso di aggiornamento regolamentare per rispondere alla diffusione dell'intelligenza artificiale nel settore assicurativo italiano. Il Regolamento IVASS n. 38/2011 sul governo societario è stato integrato con disposizioni specifiche che anticipano il recepimento dell'EU AI Act.
A differenza di altri paesi europei, l'Italia ha scelto un approccio gradualistico: IVASS ha emesso circolari di indirizzo prima della scadenza cogente dell'EU AI Act (agosto 2026), permettendo alle compagnie di adeguarsi progressivamente.
Le disposizioni IVASS sul governo dei modelli AI
La Lettera al Mercato IVASS del 2024 sui sistemi algoritmici stabilisce che le imprese assicurative devono:
Censimento completo di tutti i sistemi AI/ML in uso per funzioni assicurative core: sottoscrizione, pricing, liquidazione, antifrode, distribuzione digitale. La mappatura deve essere aggiornata annualmente e comunicabile a IVASS su richiesta.
Il CDA deve approvare la politica AI e ricevere reportistica periodica sui rischi AI materiali. Non è ammesso delegare completamente la supervisione alla funzione IT — la governance deve essere a livello di board.
Le decisioni automatizzate che incidono sul contratto (rifiuto, premio, esclusione sinistro) devono essere spiegabili. Il contraente ha diritto a richiedere l'intervento umano in revisione della decisione AI — diritto già codificato nell'art. 22 GDPR.
Pricing algoritmico e discriminazione: il rischio regolatorio principale
L'area di maggiore attenzione per IVASS è il pricing dinamico e comportamentale, diffuso soprattutto nelle polizze auto telematics e nelle polizze salute digital-first. I rischi regolatori sono duplici:
Discriminazione indiretta: variabili apparentemente neutrali (frequenza di ricarica dello smartphone, orari di utilizzo dell'auto) possono correlare con caratteristiche protette (etnia, condizioni di salute) e generare pricing discriminatorio vietato dalla Direttiva Anti-discriminazione (2004/113/CE) e dal Codice delle Assicurazioni art. 132-ter.
Opacità dei modelli: modelli black-box (deep learning) rendono impossibile la spiegazione al contraente richiesta da IVASS. L'orientamento è verso modelli interpretabili o verso sistemi di post-hoc explanation (SHAP, LIME) certificati.
Scadenze operative per le imprese assicurative italiane
- Entro febbraio 2025: Comunicazione IVASS su sistemi AI rilevanti già in uso
- Entro agosto 2026: Piena conformità EU AI Act per sistemi ad alto rischio
- Dal 2026: Inclusione rischi AI nell'ORSA e nelle relazioni alla funzione attuariale
- Continuativo: Registro incidenti AI aggiornato e disponibile per ispezioni
Cosa rischia chi non si adegua
Le sanzioni per violazione dell'EU AI Act sui sistemi ad alto rischio possono arrivare a €30 milioni o il 6% del fatturato globale. IVASS, in caso di violazione delle disposizioni sul governo societario, può applicare sanzioni da €50.000 a €5 milioni (art. 309 CAP) e, nei casi più gravi, la sospensione dell'autorizzazione all'esercizio.
Ma il rischio reputazionale e il rischio di class action da parte dei contraenti danneggiati da decisioni AI errate è probabilmente più rilevante delle sanzioni amministrative nel medio termine.
Certifica la conformità dei tuoi documenti AI
Validazione automatica, certificato RFC 3161 immutabile e report EU AI Act pronti per audit e ispezioni.
Inizia il Trial Gratuito →