Articoli

AI e assicurazioni: tra efficienza operativa e rischi cibernetici

Pubblicato il

di Mario Calcagnini (partner Excellence Consulting) e Maurizio Primanni (ceo del Gruppo Excellence)

Nel 2025, il settore assicurativo europeo vive un momento di forte accelerazione tecnologica. L’adozione di soluzioni basate sull’intelligenza artificiale, in particolare, sta crescendo con grande rapidità. Secondo Fitch Ratings, oltre il 50% delle compagnie non vita europee ha già adottato soluzioni di AI (dato aggiornato a febbraio 2025), mentre secondo Milliman, il 60% delle compagnie utilizza applicazioni generative nei processi legati alla gestione dei sinistri e al customer care, come riportato nel Milliman Barometer of GenAI Adoption – European Insurance, aggiornamento di marzo 2025.

Anche a livello globale, la direzione è chiara. Un recente sondaggio condotto da Gallagher nel 2025 mostra che il 68% dei dirigenti C-level considera l’intelligenza artificiale una leva strategica. Tuttavia, il dato è in calo rispetto all’82% registrato l’anno precedente, a segnalare una fase di maggiore consapevolezza: non si tratta più solo di adottare l’AI, ma di farlo secondo criteri di sicurezza, etica e controllo.

È un cambio di passo evidente rispetto al periodo 2020–2022, quando l’intelligenza artificiale era guardata con diffidenza e gli use case non apparivano ancora di immediata intuizione. Oggi, complice anche l’urgenza competitiva e il cosiddetto “effetto ChatGPT”, l’adozione dell’AI non è più una scommessa marginale o un esperimento secondario: è diventata un trend di sistema, strutturale e imprescindibile.

Tuttavia, mentre il motore accelera, la carrozzeria normativa e il telaio della resilienza operativa fanno fatica a tenere il passo. Le normative DORA e AI Act nascono proprio per colmare questo scollamento: non hanno l’obiettivo di frenare l’innovazione, ma vogliono ancorarla a criteri di solidità e governo sistematico.

Dov’è l’AI oggi nelle assicurazioni

L’intelligenza artificiale è ormai diventata pervasiva nel settore assicurativo. Le sue applicazioni sono molteplici e riguardano ambiti strategici. Nell’ underwriting intelligente, ad esempio, l’AI viene impiegata per il calcolo del rischio attraverso modelli predittivi avanzati. Nel campo dei sinistri automatizzati, invece, si fa uso di tecnologie come la visione artificiale e il Natural Language Processing per gestire in modo efficiente fotografie e quantificazioni dei danni.

Infografica-AI-AssicurazioniDownload

L’intelligenza artificiale è presente anche nel customer engagement, con agenti conversazionali sempre disponibili, 24 ore su 24, a servizio dei clienti. In aggiunta, sono sempre più diffuse le soluzioni di antifrode e pricing dinamico, in cui entrano in gioco algoritmi adattivi che si aggiornano dinamicamente con l’uso degli utenti.

I vantaggi di queste applicazioni sono evidenti: riduzione dei costi, maggiore qualità del servizio e una clientela più soddisfatta. Tuttavia, dietro l’entusiasmo per le prime applicazioni si celano elementi di rischio ancora non efficacemente gestiti: spesso manca una visione sistemica sul modello di governance dei rischi associati all’uso dell’AI.

I rischi possono deprimere il valore creato dall’AI

In molti casi, l’intelligenza artificiale viene trattata come se fosse un normale componente tecnologico, ma così facendo, si rischia di sottostimare i fattori di rischio che essa introduce. Esempi concreti di incidenti dovuti all’uso dell’AI sono sempre più frequenti.

In un caso, un audit interno ha scoperto che un modello di pricing basato su AI modificava autonomamente i parametri tariffari, seguendo pattern “opachi”, senza log di spiegabilità accessibili. In un altro caso, una compagnia ha testato un modello antifrode che finiva per penalizzare sistematicamente determinati codici postali, con il rischio evidente di incorrere in comportamenti discriminatori.

C’è di più, alcuni sinistri sono stati rifiutati dal modello AI per una presunta incongruenza, che però era frutto di un errore nel percorso di “ragionamento” dell’algoritmo stesso. In tutti questi casi, il problema non risiede nella tecnologia in sé, ma nella mancanza di un modello di governance adeguato basato sulla trasparenza operativa e su presidi strutturati.

DORA e AI Act: due normative, un messaggio coerente

Il Digital Operational Resilience Act (DORA) e l’AI Act europeo non vanno interpretati come regolamenti concorrenti, ma come strumenti complementari. Il DORA impone requisiti stringenti sulla resilienza ICT e sul controllo dei fornitori critici. L’AI Act, invece, introduce una classificazione dei sistemi di intelligenza artificiale in base al rischio, imponendo requisiti specifici per quelli considerati “ad alto rischio” – una categoria in cui rientrano molte applicazioni assicurative.

Ci sono alcuni punti chiave da presidiare. Anzitutto, la cybersecurity by design, che deve essere estesa anche ai modelli di AI integrati nei processi. Occorre poi implementare una valutazione continua dei fornitori di soluzioni tecnologiche, inclusi quelli che forniscono modelli o servizi attraverso API.

È indispensabile garantire la tracciabilità delle decisioni automatizzate, con la possibilità di analizzare, spiegare, intervenire e, se necessario, disattivare i comportamenti erronei. Infine, è fondamentale introdurre un testing continuo di robustezza, anche in contesti operativi reali.

Per la sua stessa natura non deterministica, l’AI deve essere governata come un asset strategico e regolata come una possibile fonte di rischio operativo.

La sfida: governare un’intelligenza che non è (ancora) matura

Per passare dall’adozione all’orchestrazione dell’AI, le compagnie assicurative devono agire su quattro direttrici fondamentali.

Primo, è necessario un modello di governance interfunzionale, dove IT, compliance, risk management, data science e business condividano linguaggi, obiettivi e responsabilità. Secondo, è cruciale adottare una logica di explainability by design: la capacità di tracciare, comprendere e correggere le decisioni assunte dai modelli di AI non può più essere considerata opzionale.

Il terzo elemento riguarda il supply chain management: ogni algoritmo o dataset esterno rappresenta un potenziale vettore di rischio e deve essere quindi verificato e certificato. Infine, serve una cyber readiness evolutiva: la sicurezza non è più solo una funzione tecnica dell’IT, ma un asset strategico che deve sapersi adattare all’evoluzione dell’utilizzazione dell’AI che faranno le compagnie.

Le principali compagnie italiane hanno già da tempo avviato percorsi strutturati per affrontare queste sfide. Tuttavia, la vera differenza non sarà fatta da chi si limita a “usare l’AI”, bensì da chi sarà in grado di governarla con visione strategica e disciplina industriale.

Nel mondo assicurativo, dove fiducia e affidabilità sono asset vitali, la vera innovazione sarà quella capace non solo di sfruttare l’AI, ma anche di proteggere il sistema dalle sue applicazioni fallaci.

Questo articolo è stato pubblicato sul n. 2795 di Insurance Daily

Whistleblowing

L’Istituto del “Whistleblowing” è riconosciuto come strumento fondamentale nell’emersione di illeciti; per il suo efficace operare è pero cruciale assicurare una protezione adeguata ed equilibrata ai segnalanti. In tale ottica, al fine di garantire che i soggetti segnalanti siano meglio protetto da ritorsioni e conseguenze negative, e incoraggiare l’utilizzo dello strumento, in Italia è stato approvato il D.Lgs. n.24 del 10 marzo 2023 a recepimento della Direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni.

Il decreto persegue l’obiettivo di rafforzare la tutela giuridica delle persone che segnalano violazioni di disposizioni normative nazionali o europee, che ledono gli interessi e/o l’integrità dell’ente pubblico o privato di appartenenza, e di cui siano venute a conoscenza nello svolgimento dell’attività lavorativa.

Eventuali segnalazioni possono essere inviate, anche in forma anonima, compilando il form disponibile cliccando qui.

Segnalazione

(*) Campi obbligatori