Autorità europea per le Assicurazioni (EIOPA): pubblicato il parere sulla governance dei rischi dell’Intelligenza Artificiale.

L'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) ha pubblicato un parere sulla governance e la gestione del rischio dell'IA. Il parere affronta l'impatto dei sistemi di intelligenza artificiale (IA) quali definiti e considerati ai sensi della legge dell'UE sull'IA (Regolamento 2024/1689) in relazione alla legislazione settoriale del settore assicurativo. La legislazione in materia di assicurazioni esplicitamente citata nel parere comprende:

• la direttiva sulla distribuzione assicurativa (IDD);

• la direttiva Solvibilità II; e

• la legge sulla resilienza operativa digitale (DORA).

Il parere riguarda anche i sistemi di IA ad alto rischio, dal momento che l’AI Act menziona tra quelli ad alto rischio i sistemi di IA utilizzati per la valutazione del rischio e la determinazione dei prezzi nell'assicurazione vita e malattia. Di conseguenza, il parere chiarisce i principi e i requisiti fondamentali previsti dalla legislazione del settore assicurativo che dovrebbero essere presi in considerazione in relazione ai sistemi di IA assicurativi che non sono considerati pratiche di IA vietate o ad alto rischio ai sensi della legge sull'IA.

Come primo passo, per i sistemi di IA che rientrano nell'ambito di applicazione del parere, si raccomanda alle organizzazioni di valutare il rischio dei diversi sistemi di IA utilizzati. Le organizzazioni dovrebbero valutare i propri rischi e sviluppare misure di governance e gestione del rischio adeguate e proporzionate alle caratteristiche e ai rischi dell'uso specifico dei sistemi di IA a portata di mano.

In una seconda fase, tenendo conto della valutazione d'impatto di cui sopra, il parere prevede che le organizzazioni debbano sviluppare una serie di misure proporzionate volte a garantire l'uso responsabile del sistema di IA.

Un sistema di gestione del rischio, in linea con l'articolo 41 della direttiva Solvibilità II, l'articolo 25 della direttiva IDD e gli articoli 4, 5 e 6 del Regolamento DORA, dovrebbe sviluppare sistemi di governance e di gestione del rischio proporzionati e basati sul rischio, considerando i seguenti settori:

• correttezza ed etica;

• governance dei dati;

• documentazione e tenuta dei registri;

• trasparenza e spiegabilità;

• supervisione umana;

• precisione, robustezza e sicurezza informatica.

Per quanto riguarda il principio di equità, ai sensi della direttiva IDD, il parere evidenzia che dovrebbero essere istituiti anche meccanismi di ricorso adeguati, come un meccanismo di reclamo, per consentire ai clienti di accedere e chiedere un risarcimento quando sono stati danneggiati da un sistema di IA.

Analogamente, in base al principio della governance dei dati di cui alla direttiva Solvibilità II, una solida governance dei dati dovrebbe essere applicata durante l'intero ciclo di vita del sistema di IA per la raccolta, l'elaborazione e la post-elaborazione dei dati.

Per quanto riguarda gli obblighi di trasparenza ai sensi dell'IDD e della legge sull'IA, il parere sottolinea che qualsiasi spiegazione deve essere adattata agli usi specifici dei sistemi di IA e alle esigenze dei diversi portatori di interessi.

Per quanto riguarda la sorveglianza umana, ai sensi dell'articolo 46 della direttiva Solvibilità II, gli organismi di assicurazione devono disporre di sistemi di controllo interno efficaci a tutti i livelli dell'organismo di assicurazione. In linea con tale obbligo legislativo, la supervisione umana da parte del personale competente dovrebbe sostenere l'individuazione e l'attenuazione di potenziali distorsioni, in linea con la politica dell'organizzazione. Dovrebbero essere istituiti parapetti adeguati per garantire che il sistema di IA funzioni come previsto, rispetti i diritti dei clienti e mantenga un elevato livello di sicurezza.