La diffusione dell’intelligenza artificiale (IA) nelle aziende sta superando la capacità del mercato assicurativo di far fronte alle responsabilità che ne derivano, secondo un report di Gallagher Re in collaborazione con MIT Testudo (Smart Systems, Blind Spots: Rethinking Insurance for the AI Era), che mette in guardia da un crescente «vuoto di protezione» per le organizzazioni che utilizzano l’IA in processi critici, decisioni automatizzate e canali di interazione con i clienti.
Il documento sostiene che i danni derivanti dall’IA non sempre assomigliano a un incidente informatico, a un classico errore professionale o a un difetto di prodotto. Possono derivare dal funzionamento stesso del sistema — ad esempio, risposte inventate presentate come fatti (allucinazioni), decisioni automatizzate errate, comportamenti discriminatori, deriva del modello o dati di addestramento contaminati, bias algoritmici, attacchi tramite iniezione di prompt — e, ciononostante, tradursi in richieste di risarcimento, sanzioni o contenziosi.
Il documento analizza quattro linee assicurative tradizionali e i loro limiti:
- Cyber: copre l’AI come vettore di attacco (es. phishing potenziato dall’AI), ma non come fonte di responsabilità (allucinazioni, discriminazione, violazione di copyright). La copertura interviene solitamente quando scatta la clausola contrattuale (ad esempio, una violazione o un’interruzione dell’attività), e in genere non è rilevante che l’attacco sia «potenziato» dall’IA. Tuttavia, il rapporto sottolinea che molte responsabilità tipiche della GenAI — diffamazione, allucinazioni che causano perdite finanziarie, violazione della proprietà intellettuale o divulgazione di dati attraverso l’output del modello — non rientrano nella copertura informatica perché non vi è, necessariamente, una falla nella sicurezza della rete.
- Technology E&O: protegge chi fornisce tecnologia AI, non chi la utilizza. Il rapporto spiega che si tratta di una polizza pensata per i fornitori di tecnologia (sviluppatori e venditori), in quanto copre la responsabilità civile nei confronti di terzi per difetti nei prodotti o nei servizi tecnologici. Per la maggior parte delle aziende utilizzatrici —che integrano strumenti di terze parti—, questo non rappresenta il loro principale rischio, pertanto l’adeguatezza della polizza è limitata. Inoltre, il broker avverte che questa copertura di solito non copre lesioni personali, danni materiali o altri casi associati ai risultati dell’IA come allucinazioni, divulgazione di dati o violazioni della proprietà intellettuale.
- RC prodotti: La questione di chi possa essere ritenuto responsabile quando l’IA controlla dispositivi o sistemi con impatto fisico (robotica, veicoli autonomi, infrastrutture) dipende dalla giurisdizione, dalle clausole contrattuali e dal fatto che il software/l’IA sia considerato un «prodotto». A questo proposito, cita la direttiva europea sulla responsabilità per i prodotti 2024/2853, in vigore dal 9 dicembre 2024 e con obbligo di recepimento entro il 9 dicembre 2026. Tuttavia, il rapporto sottolinea che i danni non fisici (perdita finanziaria, discriminazione o pregiudizio) rimangono al di fuori dell’ambito tradizionale della responsabilità civile prodotti.
- RC generale: esclude la maggior parte dei danni AI; nuove clausole ISO dal 2026 rischiano di ridurre ulteriormente la copertura. La copertura potrebbe essere garantita in casi limitati (ad esempio, determinati danni alla persona o alla reputazione), ma il rapporto mette in guardia dalle nuove esclusioni relative all’IA generativa, in vigore dal 1° gennaio 2026, che potrebbero escludere la copertura per danni alla persona o alla reputazione e persino per danni fisici o materiali derivanti dall’IA generativa, qualora venisse adottata tale formulazione.
Un aspetto cruciale è la distinzione tra developer (chi crea il modello), vendor (chi lo commercializza) e deployer (chi lo usa nella propria azienda). I tribunali tendono a ritenere responsabile il deployer, perché è lui a interfacciarsi con gli utenti finali. I contratti con i vendor limitano tipicamente la loro responsabilità a 12 mesi di canoni pagati, lasciando i deployer esposti.
I casi citati a dimostrazione sono emblematici: Air Canada condannata per le allucinazioni del suo chatbot; UnitedHealthcare sotto indagine per i dinieghi automatizzati di rimborso sanitario; Zillow che ha perso 7,8 miliardi di capitalizzazione per un algoritmo di valutazione immobiliare fuori controllo.
Per dare un’idea della portata del cambiamento, il rapporto cita un’analisi di Testudo sulle cause legali relative all’IA generativa negli Stati Uniti: il numero complessivo di cause supera le 700 tra il 2020 e il 2025 e le nuove cause sarebbero aumentate del 978,1% tra il 2021 e il 2025. Secondo il documento, parte di questi casi riguarda rivendicazioni relative a brevetti (11,9%), copyright (11,2%) e lesioni personali (10,2%), il che indica un rischio legale ampio, che va oltre la sicurezza informatica.
Parallelamente, la percezione del rischio si diffonde anche tra le aziende. Il rapporto include un sondaggio globale di Gallagher su 1.250 aziende (fine 2025) in cui il 57% indica come principale preoccupazione gli errori, la disinformazione e le allucinazioni; il 56% cita i rischi legali e reputazionali; e il 55% punta il dito sulla privacy e la protezione dei dati. Il testo interpreta questi dati come un segnale che l’esposizione sta crescendo più rapidamente dell’adeguamento dei programmi assicurativi.
Come sta rispondendo il mercato
Il mercato sta iniziando a reagire in due modi. Da un lato, con prodotti specifici («standalone») per rischi che non trovano una «destinazione naturale» nelle polizze tradizionali: il rapporto cita aiSure di Munich Re, Armilla (lanciata nel 2025) e Testudo (prodotto lanciato nel gennaio 2026 e orientato alle richieste di risarcimento da parte di terzi relative all’utilizzo della GenAI). Dall’altro, clausole aggiuntive alle polizze esistenti per chiarire i limiti e ridurre l’ambiguità (ad esempio, nel settore cyber o della responsabilità civile tecnologica), sebbene il rapporto ritenga che l’incertezza rimanga elevata.
Infine, il report evidenzia un rischio sistemico: la dipendenza dell’ecosistema dell’IA da un numero limitato di modelli fondamentali. Un guasto critico in un modello ampiamente adottato potrebbe innescare richieste di risarcimento simultanee in diversi settori e paesi, senza confini geografici, costringendo assicuratori e riassicuratori a sviluppare quadri di riferimento per misurare l’accumulo e l’esposizione correlata.
Per tutti questi motivi, la questione non è più se l’IA genererà responsabilità, ma se il mercato assicurativo si adatterà con sufficiente rapidità per colmare il divario di protezione, combinando chiarimenti sulle coperture, governance e soluzioni specifiche allineate alle reali modalità di malfunzionamento dell’IA.
© Riproduzione riservata