EIOPA e intelligenza artificiale: nuove linee guida su governance e risk management
Nel mese di agosto 2025, EIOPA ha pubblicato un’Opinion dedicata all’uso dell’intelligenza artificiale nel settore assicurativo. L’obiettivo è fornire alle imprese un quadro chiaro di governance e gestione dei rischi, alla luce dell’entrata in vigore dell’AI Act europeo (Reg. 2024/1689) e in coerenza con Solvency II, IDD e DORA. L’Autorità ribadisce che l’AI non è più un tema emergente, ma un elemento già presente nella quotidianità: si stima infatti che oltre il 40% delle compagnie europee utilizzi sistemi automatizzati e modelli predittivi in aree chiave come pricing, underwriting e gestione dei sinistri.
1. Approccio proporzionato e risk-based
EIOPA insiste su un approccio proporzionato: le misure di governance devono essere calibrate sul livello di rischio dei sistemi.
- Applicazioni a basso rischio (es. strumenti di supporto interni) → controlli meno invasivi.
- Applicazioni ad alto rischio (es. modelli di pricing o algoritmi che influenzano l’accesso alle coperture) → necessarie misure robuste su trasparenza, dati, audit e supervisione.
Questa logica consente di evitare un doppio rischio: da un lato, che la normativa rallenti l’innovazione; dall’altro, che un utilizzo privo di regole crei danni reputazionali, rischi legali e impatti negativi sulla fiducia dei clienti.
2. I pilastri della governance dell’AI
EIOPA individua sei aree di presidio, da integrare nei sistemi di controllo già previsti dalla normativa:
- Fairness ed etica: obbligo di prevenire discriminazioni e bias, con metriche di monitoraggio e meccanismi di rimedio per i clienti eventualmente penalizzati.
- Data governance: i dati devono essere accurati, completi e adeguati allo scopo; è richiesta documentazione sulle fonti e sulle eventuali limitazioni.
- Trasparenza ed explainability: i processi devono essere spiegabili e comprensibili. Vengono citati strumenti come LIME e SHAP per supportare la spiegabilità dei modelli.
- Supervisione umana: definizione chiara di ruoli e responsabilità, inclusa la possibilità di nominare un AI Officer o un comitato dedicato; necessaria formazione del personale.
- Robustezza e cybersecurity: monitoraggio di metriche come accuracy, recall e drift, test periodici delle API e protezioni contro attacchi (es. data poisoning).
- Documentazione: tracciamento completo del ciclo di vita dei sistemi AI, dalle decisioni progettuali iniziali fino al monitoraggio in fase operativa.
3. Coinvolgimento dei fornitori terzi
Un punto critico affrontato dall’Opinion riguarda i sistemi sviluppati da provider esterni. Anche in questi casi, la responsabilità finale resta in capo all’impresa assicurativa. Ciò comporta la necessità di:
- stipulare contratti e SLA che definiscano chiaramente ruoli e responsabilità,
- effettuare audit e verifiche periodiche,
- includere i sistemi esterni nei framework di risk management e compliance.
4. Monitoraggio e follow-up
EIOPA prevede un monitoraggio a due anni dalla pubblicazione dell’Opinion, per valutare il recepimento da parte delle autorità nazionali e delle imprese. Verranno raccolti dati sull’effettivo livello di adozione delle pratiche indicate e, se necessario, saranno emanate ulteriori linee guida. L’Autorità non esclude la possibilità di rafforzare i controlli se emergessero lacune significative.
Conclusione
L’Opinion di EIOPA non introduce obblighi radicalmente nuovi, ma offre un quadro organico che integra innovazione e compliance. L’intelligenza artificiale è destinata a diventare sempre più strategica per il settore assicurativo, ma la sua adozione deve avvenire all’interno di una governance solida, trasparente e orientata al cliente. Il messaggio è netto: l’AI può generare valore solo se gestita in modo responsabile, sicuro e proporzionato al rischio.
