Obblighi dell'EU AI Act per le IA nel settore assicurativo: modelli attuariali, sottoscrizione, valutazione dei sinistri e IA per la determinazione del premio per le persone fisiche. Copre la categoria 5(b) dell'Annex III e l'interazione con Solvency II.
Assicurazioni e EU AI Act — la sfida attuariale
L'EU AI Act (Regolamento (UE) 2024/1689) impone gli obblighi di conformità più elevati ai sistemi IA che incidono sulla capacità delle persone fisiche di accedere a servizi essenziali e prodotti finanziari. Il settore assicurativo si trova al centro di questa preoccupazione. I sistemi IA che determinano se una persona fisica può ottenere un'assicurazione auto, sanitaria, vita o sulla proprietà — e a quale costo — sono, in molte configurazioni, sistemi IA ad alto rischio ai sensi dell'Annex III, punto 5(b) del Regolamento.
La sfida centrale per il settore assicurativo è di natura attuariale. Da oltre un secolo, il pricing assicurativo si fonda sulla modellizzazione statistica del rischio su coorti di popolazione. L'EU AI Act non vieta la differenziazione attuariale, ma impone obblighi sostanziali ai sistemi IA attraverso i quali tale differenziazione viene realizzata quando quei sistemi operano a livello della singola persona fisica. Il passaggio dai tradizionali modelli di pooling al punteggio di rischio individuale generato dall'IA — reso possibile dalla telematica, dai flussi di dati sanitari e dall'analisi comportamentale — è esattamente ciò che attiva il regime ad alto rischio del Regolamento.
Le compagnie assicurative operanti nell'UE devono pertanto condurre un esercizio sistematico di classificazione: quali dei loro sistemi IA producono output individualizzati che determinano o influenzano significativamente le decisioni di copertura per le persone fisiche? Tale esercizio di classificazione non è una mera formalità di conformità. Il suo esito determina se la compagnia assicurativa, in qualità di deployer ai sensi dell'Art. 26 (o di provider ai sensi dell'Art. 16), è soggetta agli obblighi relativi alla governance dei dati, alla documentazione tecnica, alla supervisione umana, alla valutazione della conformità e alla registrazione nella banca dati UE per le IA ad alto rischio.
L'applicazione del Regolamento al settore assicurativo è ulteriormente complicata dall'elevata densità normativa del settore. La Direttiva Solvency II (2009/138/CE), la Direttiva sulla Distribuzione Assicurativa (IDD) (UE) 2016/97, il GDPR e i principi EIOPA sull'IA (2021) impongono ciascuno requisiti sulla modellizzazione attuariale, sul trattamento dei clienti e sull'uso dei dati. Questi quadri normativi si sovrappongono a — ma non sostituiscono — gli obblighi dell'EU AI Act. I programmi di conformità devono affrontarli tutti contemporaneamente.
Casi d'uso IA ad alto rischio nelle assicurazioni
Modelli di pricing attuariale per persone fisiche
L'Annex III, punto 5(b) dell'EU AI Act classifica come ad alto rischio qualsiasi sistema IA utilizzato per valutare il merito creditizio delle persone fisiche o per classificare le persone fisiche in termini di profilo di rischio ai fini dell'accesso ai servizi assicurativi. Ciò riguarda i sistemi IA attuariali che:
- Generano un punteggio di rischio individuale utilizzato per determinare il premio di un'assicurazione auto per un contraente nominativamente identificato
- Classificano lo stato di salute o il rischio di mortalità di una persona fisica per determinare l'ammissibilità alla copertura assicurativa vita o il relativo premio
- Producono una decisione di pricing per un'assicurazione sulla proprietà sulla base di fattori di rischio valutati dall'IA e attribuibili a una specifica persona fisica
La soglia critica è l'impatto sulla singola persona fisica. L'IA attuariale applicata a persone giuridiche — responsabilità civile aziendale, merci commerciali, proprietà industriale — non attiva l'Annex III cat 5(b) a meno che le persone fisiche non siano interessate in modo materialmente equivalente. Le compagnie assicurative attive sia nelle linee personali che in quelle commerciali devono classificare ciascun sistema IA in base alla popolazione su cui opera.
Telematica assicurativa auto e sistemi pay-as-you-drive
I sistemi di pricing assicurativo basati su telematica che raccolgono dati sul comportamento di guida — velocità, accelerazione, frenata, fasce orarie di utilizzo — e utilizzano modelli IA per generare un premio individuale per una persona fisica nominativamente identificata rappresentano il caso d'uso paradigmatico di IA assicurativa ad alto rischio. Questi sistemi soddisfano tutti gli elementi dell'Annex III cat 5(b): valutano singole persone fisiche, producono output che determinano l'accesso e il prezzo dell'assicurazione, e la loro individualizzazione guidata dall'IA è esattamente ciò che li distingue dai tradizionali modelli attuariali di pooling.
I provider di motori di scoring telematico — sviluppati internamente o acquisiti in licenza da un fornitore terzo — devono rispettare l'Art. 9 (gestione del rischio), l'Art. 10 (governance dei dati per i dataset di addestramento e validazione), l'Art. 11 letto in combinato disposto con l'Annex IV (documentazione tecnica), l'Art. 12 (registrazione), l'Art. 13 (trasparenza), l'Art. 14 (supervisione umana) e l'Art. 15 (accuratezza, robustezza, sicurezza informatica).
IA per la sottoscrizione di assicurazioni vita e sanitarie
I sistemi IA utilizzati nella sottoscrizione di assicurazioni vita per valutare il rischio di longevità o mortalità di singoli richiedenti — determinando se la copertura viene offerta e a quale premio — sono ad alto rischio ai sensi dell'Annex III cat 5(b) quando producono valutazioni individualizzate per persone fisiche. Ciò include i sistemi IA che elaborano le risposte ai questionari sanitari, le cartelle cliniche (laddove accessibili lecitamente) o i flussi di dati di dispositivi indossabili per generare un punteggio di rischio che influenza le decisioni di sottoscrizione.
La IA per le assicurazioni sanitarie che segmenta i singoli richiedenti per profilo di rischio sanitario ai fini della determinazione del prezzo o dell'ammissibilità è soggetta alla stessa classificazione. Le compagnie assicurative devono prestare attenzione all'intersezione tra l'Art. 9 del GDPR (dati sanitari come categoria speciale di dati) e i requisiti di governance dei dati dell'Art. 10 dell'AI Act: i dataset di addestramento contenenti dati sanitari richiedono una base giuridica esplicita ai sensi dell'Art. 9(2) del GDPR, e tale base deve essere documentata nella documentazione tecnica richiesta dall'Annex IV.
IA per la valutazione e il liquidazione dei sinistri
La classificazione dell'IA applicata ai sinistri dipende dal suo ruolo funzionale nel flusso di lavoro decisionale. È necessario distinguere due scenari:
- IA che influenza significativamente l'esito di un sinistro per una persona fisica: laddove un sistema IA valuta un sinistro e il suo output porta direttamente alla riduzione, al rifiuto o al pagamento condizionato di una prestazione assicurativa a una persona fisica — anche se nominalmente revisionato da un operatore umano — il sistema è probabilmente ad alto rischio ai sensi dell'Annex III cat 5(b), poiché determina di fatto l'accesso della persona fisica alle prestazioni assicurative.
- IA che segnala i sinistri per un'indagine umana: laddove l'output dell'IA è uno degli elementi considerati da un liquidatore che adotta una decisione sostanziale indipendente, e il liquidatore dispone dell'autorità e delle informazioni necessarie per discostarsi dalla valutazione dell'IA, il sistema potrebbe non essere ad alto rischio. Tale distinzione deve essere documentata e operativamente genuina, non meramente formale.
Rilevamento delle frodi assicurative
I sistemi IA utilizzati per rilevare potenziali frodi sui sinistri occupano un'importante zona di confine. Laddove la IA antifrode attivi automaticamente un'azione pregiudizievole — sospensione del pagamento, cancellazione della polizza — nei confronti di una persona fisica senza una revisione umana sostanziale, è probabilmente ad alto rischio. Laddove la IA generi soltanto un indicatore di rischio frode che viene poi investigato da un operatore specializzato che conserva piena autorità decisionale, potrebbe non esserlo. Le compagnie assicurative devono documentare in dettaglio il flusso di lavoro della IA antifrode e valutare se la supervisione umana operativa sia sostanziale o meramente formale.
Provider e deployer nel settore assicurativo
Distinzione dei ruoli
L'EU AI Act impone insiemi di obblighi differenti a seconda che un'organizzazione sia un provider (sviluppa e immette l'IA sul mercato) o un deployer (utilizza un sistema IA di terze parti in un contesto professionale). Per le compagnie assicurative, questa distinzione ha rilevanza commerciale significativa:
- Una compagnia assicurativa che sviluppa internamente il proprio motore di scoring telematico o la propria IA di pricing attuariale è un provider ai sensi dell'Art. 3(3) e si assume i pieni obblighi del provider ai sensi dell'Art. 16: sistema di gestione della qualità, documentazione tecnica, Dichiarazione di Conformità UE, marcatura CE, registrazione nella banca dati UE e monitoraggio post-commercializzazione.
- Una compagnia assicurativa che acquisisce in licenza software IA attuariale da un fornitore è un deployer ai sensi dell'Art. 3(4) e si assume gli obblighi del deployer ai sensi dell'Art. 26: implementazione in conformità alle istruzioni del provider, supervisione umana, conservazione dei log e segnalazione degli incidenti.
- Una compagnia assicurativa che modifica un sistema IA acquisito in licenza in modi che alterano lo scopo previsto — ad esempio, applicando un modello telematico a una popolazione di contraenti al di fuori dell'ambito validato — può essere riclassificata come provider ai sensi dell'Art. 25(1) con i pieni obblighi del provider.
Due diligence del deployer per la IA attuariale di fornitori terzi
Le compagnie assicurative che si avvalgono di sistemi IA attuariali di terze parti devono esercitare una due diligence strutturata prima e dopo il deployment:
Pre-deployment: Verificare che il sistema IA sia registrato nella banca dati UE per le IA ad alto rischio ai sensi dell'Art. 49, rechi la marcatura CE e sia accompagnato da una Dichiarazione di Conformità UE. Richiedere e revisionare il sommario della documentazione tecnica, incluse le metriche di accuratezza e bias, l'ambito del caso d'uso validato e la dichiarazione dello scopo previsto.
Protezioni contrattuali: I contratti di approvvigionamento con i fornitori di IA devono specificare: l'obbligo del fornitore di notificare alla compagnia assicurativa aggiornamenti significativi o rivalutazioni; l'obbligo del fornitore di produrre dati aggiornati di monitoraggio post-commercializzazione su richiesta; e i limiti dell'ambito di deployment consentito — con un meccanismo chiaro perché la compagnia assicurativa possa richiedere una valutazione di estensione dell'ambito anziché procedere unilateralmente.
Monitoraggio continuativo: Ai sensi dell'Art. 26(5), i deployer devono monitorare le prestazioni dei sistemi IA ad alto rischio nel loro contesto operativo. Per la IA attuariale, ciò significa monitorare le prestazioni del modello rispetto agli esiti effettivi dei sinistri, rilevare eventuali slittamenti distributivi tra la popolazione di addestramento e la popolazione live dei contraenti, e segnalare scostamenti materiali al fornitore per le indagini del caso.
Interazione con Solvency II, IDD e GDPR
Solvency II — Sistema di Governance e ORSA
I requisiti del Pilastro II della Direttiva Solvency II istituiscono un Sistema di Governance sulle funzioni attuariali e di gestione del rischio. L'Own Risk and Solvency Assessment (ORSA) richiede un'identificazione documentata del rischio, stress test e una governance dei modelli interni. Questi requisiti si sovrappongono in modo sostanziale al sistema di gestione del rischio dell'Art. 9 dell'EU AI Act e alle componenti di validazione dei modelli della documentazione tecnica dell'Annex IV.
Le compagnie assicurative devono condurre un'analisi strutturata dei gap per identificare quali artefatti di governance di Solvency II possono essere valorizzati ai fini della conformità all'AI Act e quali lacune rimangono. I gap chiave includono tipicamente: test di bias e valutazione dell'equità specifici per l'IA (non affrontati in Solvency II); documentazione dei dataset ai sensi dell'Art. 10 per i dati di addestramento e validazione (che va oltre l'ambito della validazione dei modelli Solvency II); registrazione automatica del funzionamento del sistema IA ai sensi dell'Art. 12; e progettazione del meccanismo di supervisione umana ai sensi dell'Art. 14. Laddove un modello interno approvato ai sensi di Solvency II incorpori componenti IA, il framework di governance per quel modello deve essere esteso per soddisfare gli obblighi dell'AI Act prima che il sistema possa essere legittimamente deployato nel regime ad alto rischio.
Direttiva sulla Distribuzione Assicurativa — Equità e Trasparenza
L'IDD (UE) 2016/97 richiede che la distribuzione assicurativa sia condotta nell'interesse del cliente, con informazioni presentate in modo comprensibile. Laddove l'IA venga utilizzata nel processo distributivo — ad esempio in una piattaforma digitale che genera raccomandazioni di prodotto personalizzate o preventivi — gli obblighi di equità e informativa dell'IDD si allineano con i requisiti di trasparenza dell'Art. 13 dell'EU AI Act. Le compagnie assicurative devono integrare gli obblighi di comunicazione dell'AI Act nei documenti informativi sul prodotto (IPID) e nei Documenti Informativi Chiave dell'IDD, garantendo che il ruolo dell'IA nella decisione di distribuzione o pricing venga comunicato in un linguaggio accessibile al contraente.
GDPR — Dati di categoria speciale e processo decisionale automatizzato
L'Art. 9 del GDPR classifica i dati sanitari, genetici e relativi alle condizioni fisiche o mentali di una persona come dati di categoria speciale, il cui trattamento è vietato in assenza di una specifica deroga. Le compagnie di assicurazione vita e sanitaria che utilizzano tali dati nell'addestramento o nel punteggio IA devono identificare e documentare una valida base giuridica ai sensi dell'Art. 9(2) — nella maggior parte dei casi il consenso esplicito ai sensi dell'Art. 9(2)(a) o una deroga prevista dal diritto di uno Stato membro ai sensi dell'Art. 9(2)(b) — per ciascuna categoria di dati e finalità di trattamento.
L'Art. 22 del GDPR limita le decisioni basate esclusivamente su trattamento automatizzato che producono effetti giuridici o analoghi effetti significativi per le persone fisiche. Una decisione di sottoscrizione IA che rifiuta automaticamente una domanda di copertura, o una decisione IA sui sinistri che riduce automaticamente il pagamento di una prestazione, senza coinvolgimento umano, costituisce un processo decisionale basato esclusivamente su trattamento automatizzato ai sensi dell'Art. 22. L'interessato ha diritto a: la revisione umana della decisione; una spiegazione dei fattori principali che hanno influenzato la decisione automatizzata; e il diritto di contestare l'esito. Le compagnie assicurative devono integrare questi diritti nei propri processi rivolti ai clienti e garantire che i meccanismi di revisione interna siano sostanzialmente funzionali.
Linee guida EIOPA sull'IA
Le linee guida di principio dell'EIOPA sull'uso dell'IA nelle assicurazioni (2021) hanno stabilito le aspettative del settore in materia di trasparenza, non discriminazione, qualità dei dati e spiegabilità dei modelli prima dell'entrata in vigore dell'AI Act. L'EIOPA sta sviluppando orientamenti di implementazione settoriale per l'EU AI Act e le compagnie assicurative devono monitorare attentamente i suoi output. Le autorità di vigilanza nazionali — ACPR (Francia), BaFin (Germania), IVASS (Italia), DNB (Paesi Bassi) — implementeranno le aspettative di vigilanza in linea con le indicazioni dell'EIOPA, e si prevedono pubblicazioni di Q&A settoriali nel corso del periodo di attuazione del Regolamento.
Enforcement — EIOPA e autorità di vigilanza nazionali
Il ruolo di vigilanza dell'EIOPA
L'EIOPA (Autorità europea delle assicurazioni e delle pensioni aziendali e professionali) non dispone di potere di enforcement diretto ai sensi dell'EU AI Act, che designa le autorità di vigilanza nazionali come autorità competenti ai sensi dell'Art. 70. Tuttavia, l'EIOPA coordina la convergenza della vigilanza tra i regolatori assicurativi dell'UE e emette norme tecniche vincolanti e non vincolanti. Le aspettative di governance dell'IA dell'EIOPA — espresse attraverso linee guida, pareri e dichiarazioni di vigilanza — orienteranno le modalità con cui le autorità nazionali attuano i requisiti dell'AI Act nel contesto assicurativo. Le compagnie assicurative devono considerare gli output dell'EIOPA come orientamenti settoriali autorevoli anche laddove non siano giuridicamente vincolanti.
Le autorità di vigilanza assicurativa nazionali come autorità competenti AI
Le autorità di vigilanza assicurativa nazionali nei principali mercati UE sono posizionate per esercitare le funzioni di autorità competente ai sensi dell'AI Act sui sistemi IA assicurativi:
- ACPR (Autorité de contrôle prudentiel et de résolution) in Francia, che ha pubblicato aspettative di vigilanza sull'IA nei servizi finanziari
- BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) in Germania, con una consolidata esperienza nella vigilanza sui processi decisionali algoritmici
- IVASS (Istituto per la Vigilanza sulle Assicurazioni) in Italia
- DNB (De Nederlandsche Bank) nei Paesi Bassi
Queste autorità dispongono dei poteri previsti dagli Art. 74 e Art. 75 per richiedere l'accesso ai dati di addestramento, alla documentazione tecnica e ai log; per condurre ispezioni in loco; per ordinare misure correttive; e per raccomandare sanzioni finanziarie in caso di inadempienza. Le sanzioni per l'immissione sul mercato di IA ad alto rischio non conforme possono raggiungere 30 milioni di euro o il 6% del fatturato annuo globale, se superiore.
Doppia vigilanza: AI Act e regolamentazione di settore
Le autorità di vigilanza assicurativa che esercitano l'enforcement dell'AI Act lo faranno nel contesto dei loro più ampi mandati prudenziali e di condotta. Un'indagine ai sensi dell'AI Act su un modello di pricing attuariale discriminatorio può coinvolgere simultaneamente gli obblighi di reporting del Pilastro III di Solvency II, i requisiti di condotta dell'IDD e l'enforcement del GDPR da parte dell'autorità per la protezione dei dati. Le compagnie assicurative devono presumere che gli interventi di vigilanza saranno interfunzionali e progettare i propri programmi di conformità di conseguenza.
Roadmap di conformità per le compagnie assicurative
Passo 1: Inventario e classificazione dei sistemi IA
Condurre un inventario completo di tutti i sistemi IA utilizzati in: pricing dei premi; accettazione o rifiuto in sede di sottoscrizione; valutazione o liquidazione dei sinistri; rilevamento delle frodi; scoring del rischio del cliente; e distribuzione o raccomandazione di prodotti. Per ciascun sistema, valutare se produce output che determinano o influenzano significativamente i risultati per singole persone fisiche. I sistemi che superano tale soglia richiedono una valutazione di classificazione ai sensi dell'Annex III cat 5(b).
Passo 2: Determinazione del ruolo provider/deployer
Per ciascun sistema IA ad alto rischio, determinare se la compagnia assicurativa è il provider, il deployer, o — aspetto critico — se l'utilizzo al di fuori dell'ambito validato dal fornitore ha comportato la riclassificazione come provider. Coinvolgere il consulente legale per valutare le configurazioni di confine, in particolare laddove dati interni o popolazioni di contraenti siano stati utilizzati per affinare o estendere un modello acquisito in licenza.
Passo 3: Analisi dei gap rispetto agli obblighi dell'AI Act
Mappare gli artefatti di governance Solvency II esistenti, la documentazione ORSA e i processi di validazione dei modelli interni rispetto ai requisiti dell'AI Act ai sensi dell'Art. 9 (gestione del rischio), dell'Art. 10 (governance dei dati), degli Art. 11 e Annex IV (documentazione tecnica), dell'Art. 12 (registrazione), dell'Art. 13 (trasparenza), dell'Art. 14 (supervisione umana) e dell'Art. 15 (accuratezza, robustezza, sicurezza informatica). Documentare i gap identificati e assegnare le responsabilità di rimedio.
Passo 4: Governance dei dati e allineamento con il GDPR
Per ciascun sistema IA ad alto rischio, verificare i dataset di addestramento e validazione. Documentare la provenienza dei dati, i metodi di raccolta, la rappresentatività rispetto ai gruppi demografici rilevanti della popolazione di contraenti e le limitazioni note. Garantire che le basi giuridiche del GDPR siano in essere per tutti i dati personali e, ove applicabile, per i dati di categoria speciale. Integrare la documentazione dell'Art. 10 nel fascicolo tecnico dell'Annex IV.
Passo 5: Progettazione del meccanismo di supervisione umana
Progettare meccanismi di supervisione umana operativamente realistici per ciascun deployment di IA ad alto rischio. Per la IA di sottoscrizione, ciò significa che un sottoscrittore qualificato disponga delle informazioni, dell'autorità e del tempo necessari nel flusso di lavoro per revisionare e discostarsi dalla raccomandazione dell'IA prima che questa incida sul contraente. Per la IA sui sinistri, significa che il liquidatore disponga di un'autorità di revisione sostanziale — non di una mera funzione di ratifica formale. Documentare il progetto di supervisione e includerlo nella documentazione tecnica.
Passo 6: Due diligence sui fornitori e revisione contrattuale
Per i sistemi IA attuariali di terze parti, implementare il processo di due diligence pre-deployment descritto in precedenza e revisionare i contratti con i fornitori esistenti. Laddove i contratti manchino di clausole che obblighino il fornitore a mantenere la documentazione di conformità all'AI Act, a notificare alla compagnia assicurativa le modifiche significative e a consentire la verifica delle prestazioni del sistema IA, procedere alla modifica o alla rinegoziazione del contratto. Definire procedure interne per il monitoraggio delle prestazioni del sistema IA nella popolazione live dei contraenti e per la segnalazione di scostamenti significativi ai fornitori e, ove richiesto, alle autorità di vigilanza.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Un algoritmo di pricing per l'assicurazione auto è probabilmente ad alto rischio ai sensi dell'Annex III, punto 5(b), se valuta il merito creditizio o il profilo di rischio di singole persone fisiche al fine di determinare il livello del premio o l'ammissibilità alla copertura. I sistemi pay-as-you-drive basati su telematica che analizzano il comportamento del singolo conducente e utilizzano quel punteggio per determinare il premio di un contraente nominativamente identificato rientrano pienamente in questa categoria. I tradizionali modelli attuariali di pooling che assegnano gli individui a classi attuariali senza un punteggio individuale generato da IA occupano un'area più grigia; tuttavia qualsiasi componente IA che produca un punteggio individualizzato utilizzato per prezzare o accettare la polizza di una persona fisica deve essere valutato ai sensi dell'Art. 6(2) letto in combinato disposto con l'Annex III cat 5(b).
No, ma esiste una sovrapposizione sostanziale che dovrebbe essere sfruttata. L'Art. 9 dell'EU AI Act richiede un sistema di gestione del rischio che identifichi, analizzi e mitighi i rischi prevedibili lungo l'intero ciclo di vita del sistema IA. I requisiti del Pilastro II di Solvency II relativi all'Own Risk and Solvency Assessment (ORSA) e al Sistema di Governance richiedono un'identificazione documentata del rischio e una governance dei modelli interni sui processi attuariali e di pricing. Le strutture di governance, le valutazioni del rischio documentate e le procedure di validazione dei modelli sviluppate per Solvency II possono costituire la base per la conformità all'AI Act, ma devono essere integrate per affrontare gli obblighi specifici dell'IA: test di bias, governance dei dati ai sensi dell'Art. 10, registrazione automatica ai sensi dell'Art. 12 e supervisione umana ai sensi dell'Art. 14. Un'analisi dei gap rispetto ai requisiti di documentazione tecnica dell'Annex IV è indispensabile.
Nei casi in cui un sistema IA ad alto rischio venga utilizzato per adottare o influenzare in modo significativo una decisione che riguarda una persona fisica — incluse l'accettazione, il rifiuto o la determinazione del prezzo di una copertura assicurativa — il deployer deve fornire informazioni adeguate alla persona fisica ai sensi dell'Art. 26(6) dell'EU AI Act e, laddove si applichi il processo decisionale automatizzato ai sensi dell'Art. 22 del GDPR, si applicano le disposizioni sui diritti degli interessati di cui agli Art. 13–15 e 22 del GDPR. I contraenti hanno diritto a una spiegazione della logica delle decisioni automatizzate, al diritto di richiedere una revisione umana e al diritto di contestare l'esito. Le compagnie assicurative che utilizzano strumenti IA per la sottoscrizione devono pertanto progettare processi di comunicazione rivolti ai clienti e implementare meccanismi di revisione umana che siano genuinamente accessibili — non subordinati al possesso di competenze specialistiche.
Non automaticamente. La IA per il rilevamento delle frodi che segnala i sinistri per un'indagine umana — dove è il perito ad adottare la decisione finale su pagamento, riduzione o rifiuto del sinistro — potrebbe non raggiungere la soglia per la classificazione ad alto rischio ai sensi dell'Annex III cat 5(b), poiché l'IA non determina in modo autonomo l'accesso all'assicurazione per le persone fisiche. Tuttavia, se l'output del sistema di rilevamento delle frodi attiva automaticamente una riduzione, sospensione o diniego del pagamento di un sinistro a una persona fisica senza una revisione umana sostanziale, il sistema è probabilmente ad alto rischio. Le compagnie assicurative devono documentare con precisione come gli output dell'IA antifrode vengono utilizzati nel flusso di lavoro dei sinistri e garantire che, nei casi che riguardano persone fisiche, una supervisione umana significativa intervenga prima che si produca una privazione del beneficio.
Le compagnie assicurative che si avvalgono di strumenti IA attuariali di terze parti devono richiedere contrattualmente quanto segue: la Dichiarazione di Conformità UE e la documentazione relativa alla marcatura CE per i sistemi ad alto rischio; la documentazione tecnica richiesta dall'Annex IV, inclusa la dichiarazione dello scopo previsto, le descrizioni dei dataset di addestramento, i risultati di validazione e test (comprensivi di metriche di bias e accuratezza su sottopopolazioni demografiche), e il file di gestione del rischio; le istruzioni per l'uso indirizzate al deployer; i dati di monitoraggio post-commercializzazione e le segnalazioni di incidenti; e i parametri e le condizioni nell'ambito dei quali il sistema è stato validato, incluse eventuali restrizioni sui casi d'uso o sulle popolazioni di contraenti. L'utilizzo al di fuori dell'ambito delle istruzioni per l'uso del fornitore può comportare la riclassificazione della compagnia assicurativa come provider con i relativi obblighi previsti dall'Art. 16.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.