di Stefano De Polis.
L’innovazione, di per sé motore di sviluppo, è ormai da alcuni anni sospinta dalla rapida evoluzione della rivoluzione digitale. Le nuove soluzioni combinano una pluralità di tecnologie: i dispositivi mobili di comunicazione e le reti avanzate di trasmissione; l’uso di sistemi informatici in cloud e il supercomputing che consentono la creazione e l’utilizzo di grandi basi dati (advanced analytics e big data) e la gestione di enormi volumi di transazioni; il machine learning alla base del recente sviluppo dell’intelligenza artificiale nelle sue diverse forme. Dall’inizio di questo decennio la diffusione, anche in ambiti non specialistici, dell’intelligenza artificiale generativa basata sui dati ha portato a una crescita esponenziale nelle potenzialità di utilizzo e gestione integrata delle opportunità offerte dall’innovazione tecnologica. Più recente è l’arrivo dei prodotti chiamati agenti IA, capaci di eseguire autonomamente specifiche attività, adattandosi continuamente alle informazioni ricevute ed elaborate e in grado di autocorreggersi in base ai feedback dei risultati ottenuti. Gli agenti IA offrono un’ampia gamma di funzionalità: l’elaborazione del linguaggio naturale, il supporto ai processi decisionali, la risoluzione dei problemi, l’interazione con ambienti esterni e l’esecuzione di azioni.
Dal digitale all’intelligenza artificiale: opportunità di mercato e rischi per il settore assicurativo
I dati e la loro interpretazione costituiscono da sempre il fondamento dell’attività assicurativa, rendendo questo settore particolarmente adatto alle potenzialità dell’intelligenza artificiale. Fin dalla sua introduzione l’IA è apparsa in grado di influenzare positivamente numerosi processi nella catena del valore assicurativo, migliorando l’efficienza operativa, la gamma e il livello di personalizzazione dei prodotti e dei servizi, nonché l’accesso dei consumatori al mercato. Ha preso quindi avvio una prima fase di conoscenza e ambientamento di molte compagnie con la nuova tecnologia, cui ne potranno seguire altre – in relazione alle scelte di ciascuna impresa – volte ad automatizzare interi processi aziendali, sino a trasformare e permeare lo stesso modello di business.
Negli ultimi anni, gli investimenti delle compagnie assicurative italiane nell’adozione di sistemi di intelligenza artificiale sono aumentati significativamente. Sono già disponibili moduli di IA in grado di automatizzare, velocizzare e ottimizzare attività aziendali in materia di pricing, sottoscrizione, back-office, antifrode, liquidazione dei sinistri, gestione finanziaria, formazione del personale e interfaccia con la clientela. In quest’ultimo ambito, chatbot addestrati forniscono informazioni sulle polizze, effettuano confronti e consigliano soluzioni. Assistenti virtuali sono impiegati anche per le esigenze informative e di assistenza delle reti distributive e delle strutture interne delle compagnie assicurative[1].
Le applicazioni di IA stanno entrando con forza anche nel complesso e articolato mondo della distribuzione assicurativa, offrendo agli intermediari strumenti potenti per rafforzare, non sostituire, il loro ruolo consulenziale. L’IA permette di automatizzare la comunicazione con il cliente, ottimizzare il marketing e alleggerire il carico amministrativo, consentendo di concentrarsi sulle attività strategiche e di cura della qualità della relazione con il cliente[2].
Per le piccole e medie imprese assicurative e per gli intermediari gli oneri finanziari e organizzativi per la digitalizzazione e l’adozione dell’intelligenza artificiale rappresentano indubbiamente una sfida. Una strategia prudente, ma determinata, basata su progetti pilota circoscritti e successiva scalabilità in funzione dei risultati conseguiti, può rappresentare un approccio appropriato per operatori con risorse limitate, che non possono comunque permettersi di perdere il contatto con l’innovazione.
Nel contesto attuale del mercato assicurativo europeo e italiano, l’importanza strategica della digitalizzazione e dell’intelligenza artificiale trascende l’obiettivo di rendere più efficienti e dinamici i processi operativi e decisionali di compagnie e intermediari. È fondamentale il contributo che tali tecnologie possono apportare all’incremento della capacità produttiva necessaria per rispondere alle prospettive di una significativa crescita della domanda. Le compagnie saranno sollecitate a offrire soluzioni alle esigenze previdenziali e sanitarie derivanti dalla transizione demografica, alla copertura dei rischi catastrofali di imprese e famiglie, allo sviluppo della parametric, instant e della behavioural insurance e all’attuazione della Savings and Investments Union, che si avvale anche del mercato assicurativo per mobilitare il risparmio dei cittadini europei a beneficio della crescita economica e della sicurezza dell’Unione. In questa prospettiva, la gestione degli impatti, anche sociali, della transizione digitale e dell’IA, che suscitano attenzione e preoccupazione nel mondo del lavoro, potrebbe essere più semplice.
Tuttavia, l’adozione dell’IA non deve trascurare l’esistenza di rilevanti punti di attenzione connessi con la natura e talvolta con l’opacità dei modelli utilizzati; con l’esigenza di evitare violazioni dei diritti fondamentali dei cittadini e di protezione dei consumatori (le nuove tecnologie digitali possono accrescere le asimmetrie informative tra le imprese che le utilizzano e i clienti); con i rischi di ingiustizie e discriminazione e violazione della privacy; con un aumento esponenziale delle vulnerabilità informatiche derivanti anche dai crescenti livelli di interconnessione sistemica. Inoltre, approcci responsabili e affidabili sono necessari – anche nell’ottica delle imprese – per guadagnare la fiducia dei clienti/consumatori negli strumenti di IA utilizzati, portati del più generale principio di buona fede nelle relazioni di affari[3]. Le maggiori informazioni disponibili sui singoli clienti possono poi ridurre la centralità del principio di mutualità nella gestione dei rischi assicurativi, limitando l’accesso di fasce di popolazione ai servizi assicurativi e mettendo a rischio la tenuta di consolidati metodi attuariali.
Infine, per quanto anche i consumatori potranno avvalersi del supporto dell’IA nel definire esigenze e nel valutare e negoziare condizioni e costi, senza incisive iniziative di riequilibrio, forte è la prospettiva di una rimodulazione delle asimmetrie informative tra compagnie e assicurati a vantaggio delle prime, atteso il maggior potere informativo garantito dall’utilizzo integrato delle tecnologie digitali.
La nuova frontiera della corporate governance e il quadro normativo
A fronte di questi rischi l’ordinamento pone due anticorpi: la buona governance e le norme.
In primo luogo, è fondamentale che i vertici aziendali di compagnie e intermediari siano consapevoli delle opportunità e delle criticità, poiché il metodo più efficace per coglierle e gestirle risiede in una solida governance dei processi digitali, attenta a indirizzare responsabilmente le scelte strategiche, organizzative e gestionali, a mitigare i rischi con approcci by design, come connaturato al mondo digitale, e a promuovere la diffusione di una solida cultura aziendale in materia. I modelli di intelligenza artificiale possono presentare bias e commettere errori non accettabili. Molti programmi di IA ricordano agli utenti di esaminare attentamente i risultati, in particolare se possono avere conseguenze rilevanti: in sintesi, consigliano l’approccio “human in the loop”, con una supervisione umana che verifica criticamente contesto e risultati e prende le decisioni cruciali sul processo. E questo richiede anche attenzione ai profili etici dell’IA – andando ove ritenuto rilevante anche oltre la mera compliance alle norme a vantaggio della qualità complessiva dei sistemi – per ridurre i rischi che i risultati non siano nel caso concreto accettabili, sostenibili o preferibili per gli esseri umani e per la società. In sintesi, l’IA non può essere delegata[4]; sono necessarie competenze manageriali e professionali adeguate.
Due sono le normative di più diretta rilevanza per l’innovazione digitale degli operatori del mercato assicurativo: le disposizioni della Direttiva DORA (Reg. UE 2022/2554) in materia di resilienza operativa e rischi cyber e l’Artificial Intelligence Act (Reg. UE 2024/1689)[5], entrambi di emanazione unionale. Si propongono di cogliere le potenzialità delle nuove tecnologie digitali ponendo argini ai rischi che ne possono derivare. Completa e integra il quadro la recente legge italiana in tema di IA (L. 23 settembre 2025, n. 132).
Dal 17 gennaio 2025 è applicabile la Direttiva sulla resilienza operativa digitale del settore finanziario (Digital Operational Resilience Act, DORA). Essa introduce norme armonizzate a livello europeo in materia di gestione dei rischi legati all’utilizzo della tecnologia dell’informazione e della comunicazione (ICT). La Direttiva rafforza i presìdi già esistenti[6] che devono essere adottati da compagnie e grandi intermediari per prevenire e gestire i rischi connessi all’utilizzo delle tecnologie digitali, che hanno ormai assunto valenza sistemica per la complessa rete di connessioni tra sistemi informatici delle compagnie, dei provider di informazioni, dei fornitori di servizi di gestione delle infrastrutture informatiche; crescente e massiccio è infatti il ricorso all’esternalizzazione di funzioni verso operatori specializzati. La Direttiva richiede agli enti vigilati il monitoraggio dei rischi ICT al fine di identificarli e mitigarli; la segnalazione alle autorità dei gravi incidenti informatici e delle minacce rilevanti; l’effettuazione periodica di test di resilienza digitale; una attenta gestione dei contratti con i terzi fornitori di tecnologie digitali.
Il settore assicurativo è consapevole del lavoro necessario per raggiungere gli standard richiesti, in particolare per quanto concerne la definizione da parte delle aziende di un’efficace strategia di resilienza digitale e la revisione degli accordi contrattuali con i fornitori terzi di servizi ICT.
L’elemento di novità introdotto dalla Direttiva DORA risiede nel riconoscimento della ormai avvenuta “globalizzazione delle sfide tecnologiche”. Essa introduce un quadro di sorveglianza e monitoraggio costante delle attività dei fornitori terzi di servizi ICT considerati critici a livello europeo. Il sistema di sorveglianza, che sta muovendo i primi passi a livello europeo, si basa su un’articolata ripartizione di compiti e responsabilità tra Autorità nazionali e unionali, al fine di salvaguardare la resilienza informatica dei singoli operatori e del sistema finanziario europeo nel suo complesso. Si tratta della presa d’atto che, nel mondo digitale, per garantire la stabilità degli organismi vigilati è necessario andare oltre i confini del sistema finanziario.
È superfluo sottolineare come le potenzialità del mondo digitale e della stessa intelligenza artificiale rappresentino un’arma a doppio taglio, offrendo strumenti anche alla criminalità informatica, la quale sta incrementando gli attacchi. La sicurezza informatica risulta pertanto fondamentale lungo l’intero ciclo di vita dei sistemi digitali e dei modelli di IA, al fine di garantirne il corretto funzionamento e prevenire i rischi di alterazioni nell’utilizzo.
Il Regolamento (UE) 2024/1689 disciplina lo sviluppo e l’utilizzo dei sistemi di IA, stabilendo una serie di obblighi in base a una classificazione dei rischi e dei livelli di impatto (inaccettabili, alti, limitati, minimi). Nell’Unione Europea è vietato l’utilizzo di applicazioni di IA che costituiscono una reale minaccia per i diritti fondamentali dei cittadini.[7] Sono invece ammessi, ma classificati ad alto rischio i sistemi potenzialmente in grado di arrecare danni significativi alla salute, alla sicurezza, ai diritti fondamentali, all’ambiente, alla democrazia e allo Stato di diritto[8]. In ambito assicurativo, rientrano in questa categoria i sistemi preordinati alla valutazione dei rischi e alla determinazione dei prezzi delle polizze vita e salute. Gli sviluppatori e i deployers (ovvero gli utilizzatori professionali) di sistemi ad alto rischio devono attenersi ad una serie di pratiche di governance e risk management volte a valutare preventivamente e ridurre i rischi dei modelli, mantenere registri d’uso, essere trasparenti e accurati e garantire la sorveglianza umana. Ai cittadini è riconosciuto il diritto di presentare reclami alle Autorità di vigilanza del mercato (c.d. Market Surveillance Authority) che hanno poteri di indagine e sanzionatori. Inoltre, la normativa europea attribuisce ai clienti incisi negativamente – in termini di salute, sicurezza o diritti fondamentali – da un sistema di IA ad alto rischio il diritto di ottenere dal deployer spiegazioni chiare e significative sul ruolo avuto dall’IA nella procedura e nella decisione adottata. Nei sistemi a rischio limitato (ad esempio le chatbot), l’obbligo è di informare gli utenti che stanno interloquendo con un sistema di IA.
Il 17 settembre scorso, il Parlamento italiano ha approvato definitivamente la legge sull’intelligenza artificiale, con l’obiettivo di definire una normativa nazionale organica in materia ed efficaci strumenti di tutela per cittadini e imprese. L’intervento non si sovrappone all’AI Act, ma ne integra il quadro regolatorio negli spazi riservati al diritto interno, coordinandosi con esso. La legge introduce principi in materia di ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e modelli di intelligenza artificiale, promuovendone un utilizzo corretto, trasparente e responsabile, in una dimensione antropocentrica. Centrali sono il rispetto dei diritti fondamentali, delle libertà costituzionali, la trasparenza, la correttezza e l’accuratezza, anche dei dati utilizzati, la tutela della riservatezza e la non discriminazione[9].
La legge definisce un sistema di vigilanza articolato. L’Agenzia per l’Italia digitale e l’Agenzia per la cybersicurezza nazionale sono designate quali Autorità nazionali per l’intelligenza artificiale; la prima è responsabile della promozione dell’innovazione e dello sviluppo dell’IA e, ai sensi della normativa UE, funge da Autorità di notifica, valutazione, accreditamento e monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi di IA; la seconda è responsabile, oltre che dei profili di cybersicurezza, della vigilanza, incluse le attività ispettive e sanzionatorie, secondo quanto previsto dalla normativa nazionale e dell’Unione, e funge da punto di contatto unico con le istituzioni europee. Per quanto riguarda il comparto finanziario, la legge prevede che la Banca d’Italia, la CONSOB e l’IVASS assumano il ruolo di autorità di vigilanza del mercato, ai sensi dell’articolo 74, paragrafo 6 dell’AI Act, limitatamente ai sistemi di IA ad alto rischio direttamente collegati alla fornitura da parte dei soggetti vigilati dei servizi alla clientela[10]. Competenze in materia di IA fanno capo anche al Garante per la Protezione dei Dati Personali e all’Autorità per le Garanzie nelle Comunicazioni. L’efficacia del modello dipenderà in misura rilevante dal grado di coordinamento e collaborazione tra le diverse Autorità coinvolte: a tal fine è stato costituito un Comitato presso la Presidenza del Consiglio dei Ministri.
La normativa sulla produzione dei dati e la privacy ha un impatto rilevante nell’adozione di moduli di IA. L’utilizzo intensivo di dati personali, implicito in molte applicazioni di intelligenza artificiale, comporta rischi per la privacy, in particolare quando le informazioni sono soggette a trattamenti opachi e non autorizzati dal consumatore. In Europa, il legame tra il GDPR e l’AI Act è forte e la tutela dei dati personali è centrale; anche la legislazione italiana ribadisce che restano ferme le competenze, i compiti e i poteri del Garante per la protezione dei dati personali. Come è noto questo aspetto costituisce uno dei principali punti attrito tra la Commissione Europea e il Governo degli Stati Uniti, che tende a considerare i vincoli posti dalle normative europee come “dazi” che gravano sulle imprese informatiche. In proposito, il Presidente Mario Draghi ha di recente posto all’attenzione del Parlamento Europeo l’esigenza di rimodulazione di alcune norme[11].
Una visione d’insieme
La digitalizzazione e l’intelligenza artificiale offrono al settore assicurativo un’occasione unica per migliorare efficienza, qualità e produttività. Ma la tecnologia non può sostituire la consapevolezza: la fiducia dei cittadini e la responsabilità delle imprese restano gli asset intangibili più preziosi.
Un eccesso di affidamento agli algoritmi rischia di generare deresponsabilizzazione e opacità. Serve quindi un governo equilibrato dell’innovazione, capace di coniugare sviluppo, etica e regole.
Come ha ricordato di recente[12] il Presidente dell’IVASS, Luigi Federico Signorini, occorre evitare sia i timori apocalittici sia l’ottimismo acritico, mantenendo uno sguardo vigile sui rischi ma anche fiducioso sul potenziale dell’IA di migliorare la vita delle persone e la competitività del sistema.
La sfida per il settore assicurativo non è scegliere se adottare l’intelligenza artificiale, ma come farlo. L’obiettivo è costruire un’alleanza tra intelligenza umana e artificiale, in cui l’una amplifica l’altra senza sostituirla. Solo così l’innovazione potrà tradursi in progresso sostenibile, in crescita equilibrata e in una rinnovata fiducia tra cittadini, imprese e istituzioni.
___________________
[1] Più in dettaglio le applicazioni di IA in via di sviluppo riguardano le fasi di:
sottoscrizione: gli algoritmi di IA sono in grado di analizzare grandi quantità di dati e possono valutare il rischio associato a un potenziale cliente in modo più rapido e completo rispetto ai metodi tradizionali, ad esempio tenendo conto di correlazioni nascoste proprio tra i dati e non previste dalla teoria; si riscontrano anche utilizzi per finalità di pricing e in sede di rinnovo contrattuale;
l’analisi predittiva: l’IA può individuare in modo esteso e approfondito le esigenze dei clienti, suggerendo prodotti assicurativi adeguati al target market o evidenziando rischi potenziali su cui effettuare prevenzione, migliorando la proattività del servizio;
personalizzazione del prodotto: utilizzando dati provenienti da una varietà di fonti (come dispositivi IoT, social media e transazioni finanziarie), i sistemi di IA delle imprese potranno offrire premi dinamici basati sul comportamento del cliente come, per esempio, l’utilizzo effettivo dei veicoli (nel caso delle assicurazioni auto) o le abitudini di salute. Sarà possibile sviluppare prodotti su misura che si adattano automaticamente ai cambiamenti nelle esigenze di protezione del cliente, offrendo coperture flessibili;
gestione dei sinistri: l’IA può automatizzare la revisione e l’elaborazione delle richieste di risarcimento. Algoritmi avanzati possono analizzare documentazione, immagini e video, selezionando i casi non problematici per i quali è possibile velocizzare le procedure di liquidazione;
la prevenzione delle frodi: attraverso l’analisi di pattern di comportamento e di reti di relazioni, correlando dati provenienti da diverse fonti, gli algoritmi possono identificare condotte anomale evidenziando sospette frodi, riducendo significativamente gli oneri di controllo e le perdite finanziarie per le compagnie; già si riscontrano utilizzi di questo tipo nel ramo r.c. auto;
chatbot e assistenti virtuali: le compagnie assicurative e le reti possono utilizzare questi strumenti per fornire supporto senza soluzione di continuità, rispondere a domande frequenti, guidare i clienti attraverso il processo di acquisto di polizze non complesse e aiutare nella gestione dei sinistri.
[2] L’approccio cosiddetto phygital, nel quale le capacità umane, empatiche e di interazione col consumatore, tipiche dell’intermediario, si integrano con l’efficienza e la rapidità delle nuove tecnologie di intelligenza artificiale, appare quello che meglio fornisce un valore aggiunto a tutta la filiera assicurativa, delegando all’IA il compito di potenziare il rapporto tra i soggetti coinvolti e rendere il processo assicurativo più semplice, veloce ed efficace.
[3] Sul punto si veda OECD, Declaration on Protecting and Empowering Consumers in the Digital and Green Transitions, OECD/LEGAL/0504, 9 ottobre 2024, p. 3 e 6.
[4] È ad esempio fondamentale addestrare i sistemi anche con dati in grado di esprimere la storia, le conoscenze e le competenze distintive della propria cultura aziendale.
[5] A queste va aggiunto il Data Act (Reg. UE 2022/868) volto a garantire un accesso equo, la trasparenza e la protezione dei dati generati da dispositivi connessi.
[6] In Italia il riferimento per il mercato assicurativo è al Reg. IVASS 38/2018. Questa normativa richiede che i sistemi informatici delle compagnie siano “appropriati rispetto alla natura, portata e complessità dell’attività dell’impresa” e che attenzione sia riservata a tutelare “la cyber security aziendale…” (art. 18).
[7] Tra queste, ad esempio, i sistemi di categorizzazione biometrica basati su caratteristiche sensibili e l’estrapolazione indiscriminata di immagini facciali da internet o dalle registrazioni dei sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale.
[8] I diritti fondamentali comprendono il diritto alla dignità umana, il rispetto della vita privata e della vita familiare, la protezione dei dati personali, la libertà di espressione e di informazione, la libertà di riunione e di associazione e la non discriminazione, il diritto all’istruzione, la protezione dei consumatori, i diritti dei lavoratori, i diritti delle persone con disabilità, l’uguaglianza di genere, i diritti di proprietà intellettuale, il diritto a un ricorso effettivo e a un giudice imparziale, la protezione dei minori.
[9] La legge – che qui viene tratteggiata nei profili di più diretta rilevanza – contiene deleghe al Governo da attuare con successivi decreti ma anche norme di immediata attuazione. Tra l’altro, la legge promuove la costituzione di data-set di qualità, considerati bene pubblico digitale, legalmente utilizzabili per l’addestramento dei modelli. Viene introdotto il reato di “illecita diffusione di contenuti generati o manipolati con sistemi di IA”; l’impiego di sistemi di IA con modalità insidiosa verrà considerato una circostanza aggravante in alcuni reati (sostituzione di persona, truffa, riciclaggio e altri); nell’esercizio delle deleghe attribuite il Governo potrà prevedere strumenti, anche cautelari, in ambito, civile, amministrativo e penale per inibire la diffusione e per rimuovere contenuti generati illecitamente.
[10] È importante ricordare che le specifiche norme in tema di IA lasciano impregiudicate e pienamente applicabili, anche nel settore assicurativo, le regole già previste dalle disposizioni vigenti a protezione dei consumatori (la c.d. vigilanza di condotta).
[11] Mario Draghi, nell’intervento alla Conferenza Un anno dopo il rapporto Draghi: cosa è stato realizzato, cosa è cambiato, Bruxelles, 16 settembre 2025, ha, tra l’altro, evidenziato che “tra le imprese europee, una delle richieste più chiare è una semplificazione radicale del GDPR; non solo della legge primaria ma anche delle pesanti aggiunte da parte degli Stati membri…” e soggiunto che “l’AI Act è un’altra fonte di incertezza” sottolineando che la disciplina dei “sistemi di IA ad alto rischio in settori come le infrastrutture critiche e la sanità, deve essere proporzionata e sostenere innovazione e sviluppo”: a tal fine ha auspicato la sospensione della fase dei controlli ex-ante fino a quando non sia possibile comprenderne meglio gli svantaggi.
[12] L.F Signorini, Artificial Intelligence in Finance, Durban, South Africa, 17 luglio 2025
© Riproduzione riservata