by

Cosa possiamo aspettarci nel corso del 2023 in ambito Open Insurance e quali sono le principali strategie legali.

Open insurance: definizione del fenomeno

Open insurance significa accesso e condivisione di dati personali e non personali relativi all’ambito assicurativo (come i dati del KYC – Know Your Customer, dati inerenti i premi pagati, le coperture, la denuncia e il risarcimento dei sinistri, i dati ricavati dai sensori IoT e così via), di solito tramite API (Application Programming Interface) standardizzate e interoperabili. Condivisione che avviene tra compagnie assicurative, intermediari, ma anche imprese e organizzazioni non provenienti dal mondo assicurativo, come quelle del settore tecnologico. Pensiamo ai dati provenienti dai sensori IoT dei veicoli, tra cui quelli raccolti dagli stessi assicuratori attraverso i dispositivi telematici e quelli raccolti da terzi, inclusi i produttori di autoveicoli.

Malgrado l’assenza di un quadro normativo specifico per la condivisione sistematica di dati nel settore assicurativo, l’open insurance è uno dei fenomeni insurtech in maggiore crescita grazie alle iniziative di compagnie, intermediari e altri attori dell’ecosistema, che costituisce una leva essenziale per la digitalizzazione e innovazione dell’intero comparto.

Condivisione immediata, tempestiva e sicura di dati in ambito assicurativo tra compagnie, intermediari, banche, imprese tecnologiche e altri operatori per creare nuovi prodotti e servizi e migliorare quelli esistenti. Polizze on-demand, a consumo e parametriche, comparatori più efficaci e modalità innovative di gestione dei prodotti assicurativi sono soltanto alcuni esempi di ciò che un modello strutturato e regolamentato di open insurance promette di poter realizzare, in maniera simile alla Direttiva PSD2 per l’open banking.

Ad oggi non vi è, infatti, una normativa specifica volta a stabilire regole e perimetro del fenomeno e gli operatori interessati allo scambio e condivisione dei dati possono farlo soltanto stipulando tra loro accordi bilaterali o plurilaterali. Cresce anche la presenza sul mercato di player non provenienti dal mondo assicurativo, che da settore tradizionale dominato dall’impiego di sistemi di legacy chiusi e stratificati punta a diventare un ecosistema aperto basato su dinamiche collaborative tra incumbent e partner esterni. Secondo una recente analisi del mercato italiano gli attori non assicurativi erano 60 nel 2018 e saranno oltre 350 nel 2025. La buona riuscita di progetti in ambito open insurance dipende anche da un’accurata analisi dei rischi legali e dalla definizione dell’architettura contrattuale, incluse le clausole chiave.

Molti vantaggi e alcuni rischi

I vantaggi promessi da una diffusione ad ampio raggio dell’open insurance sono molteplici e interessano tanto gli operatori del settore, quanto i clienti e le Autorità di Vigilanza.

Dal punto di vista degli operatori una condivisione sistematica dei dati potrebbe portare a una generale ondata di innovazione, sia a livello di incumbent che di nuovi attori del mercato. Tra i potenziali benefici figurano una maggiore efficienza nella gestione dei processi e nel contrasto delle frodi, un incremento della concorrenza con la comparsa sul mercato di nuovi business model e un più rapido go-to-market.

Inoltre, l’accesso automatico ai dati degli assicurati e di altre fonti potrebbe facilitare e rendere più efficiente l’analisi e l’assunzione del rischio relativo alle polizze, a maggior ragione se in combinazione con strumenti di intelligenza artificiale e machine learning, tanto che sono state coniate le definizioni di “augmented underwriting” e “augmented automated underwriting”. Vi sono vantaggi anche per i broker, che grazie a una maggiore disponibilità e varietà di dati potrebbero essere messi in condizione di selezionare in modo più preciso e conveniente per i propri clienti i prodotti disponibili sul mercato e negoziarne le condizioni con le compagnie.

Lato clienti, i principali benefici dell’open insurance risiedono nell’offerta di prodotti assicurativi innovativi, in una più agevole comparabilità tra i prodotti delle diverse compagnie, ma anche in una maggiore trasparenza e facilità nel passaggio da un operatore all’altro. Non solo, lo scambio di dati tra operatori potrebbe anche accorciare il processo di KYC (Know Your Customer) e agevolare l’impiego di dashboard e piattaforme avanzate che consentano ai clienti di gestire con un’unica interfaccia i propri prodotti bancari e assicurativi assieme a servizi di terze parti, come quelli di pagamento, mobilità, salute e benessere e intrattenimento.

Anche le Autorità di Vigilanza potrebbero trarre vantaggio da un’ampia disponibilità di dati ed eventualmente da un accesso ad essi in tempo reale. Da un lato, aumenterebbe l’efficacia delle attività di supervisione e controllo, dall’altro diminuirebbe il tempo impiegato nella raccolta e verifica delle informazioni.

Accanto ai numerosi vantaggi promessi dall’adozione di un modello strutturato e regolamentato di open insurance, vi sono anche rischi di cui tenere conto. Una prima dimensione di rischio riguarda i clienti e le persone fisiche. Anzitutto, i dati potrebbero essere trattati al di fuori delle finalità e dei limiti consentiti o, ancor peggio, essere oggetto di data breach. Rischio, questo, significativo e con conseguenze potenzialmente molto negative per le persone alle quali i dati si riferiscono se consideriamo il tipo di dati particolarmente sensibile che viene spesso impiegato in ambito assicurativo (stato di salute, sinistri, ecc.). Altri rischi riguardano, ad esempio, la sicurezza informatica e la possibilità che una maggior apertura delle infrastrutture degli operatori agevoli la circolazione di malware e la proliferazione di attacchi informatici, come pure la discriminazione nel momento in cui nuove modalità di calcolo dei premi rendano inaccessibili le coperture assicurative a determinati soggetti oppure, ancora, una prevalenza di distribuzione digitale escluda dal mercato quella parte di clientela meno avvezza all’utilizzo delle tecnologie digitali.

Vi è poi anche il rischio di effetti anticoncorrenziali, come la concentrazione di dati di qualità in pochi operatori e le barriere all’ingresso, di natura tecnologica, che potrebbero ostacolare gli sbocchi di mercato per i nuovi player.

Assenza di un quadro normativo per l’open insurance e differenze con il mondo bancario

Con la Direttiva PSD2 il legislatore europeo ha gettato le basi del modello open banking. Grazie alle normative nazionali di recepimento nei diversi Stati membri, a prestatori terzi di servizi di pagamento e di informazione è oggi consentito l’accesso ai conti di pagamento degli utenti, alle relative procedure di autenticazione e dati personali. L’accesso in questione è consentito a determinate condizioni e con il consenso degli utenti, a prescindere dall’esistenza di rapporti contrattuali tra i prestatori di servizi di pagamento di radicamento del conto e i prestatori terzi, senza che i primi possano imporre l’adozione di specifici modelli commerciali ai secondi.

Nonostante il “modello PSD 2” possa essere sfruttato anche dagli operatori del mondo assicurativo, il suo campo di applicazione è limitato ai conti di pagamento e ai relativi dati. Non vi sono, invece, normative assimilabili alla Direttiva PSD2 specificamente concepite per la condivisione sistematica di dati in ambito assicurativo.

Tra mondo bancario tradizionale e mondo assicurativo vi sono, infatti, differenze significative da considerare. Una delle principali è il tipo di dati trattati. I dati relativi ai prodotti assicurativi sono eterogenei, spesso molto delicati e in grado di rivelare informazioni sensibili sugli individui quali stato di salute, abitudini, mobilità e sinistri. Inoltre, le compagnie e gli altri soggetti che detengono i dati in questione li analizzano e rielaborano per proprie finalità interne e potrebbero essere riluttanti a concedere l’accesso a informazioni che rappresentano un vero e proprio patrimonio intangibile e sono spesso tutelate come segreti commerciali.

Ancora, soggetti non vigilati come le imprese tecnologiche e le big tech potrebbero finire per assumere il ruolo di principali attori dell’ecosistema open insurance, con ricadute operative non indifferenti. Da un lato, gli operatori in questione potrebbero avere accesso ai dati degli assicurati ma non concederlo ai propri database in condizione di reciprocità. Dall’altro lato, potrebbero aumentare i rischi per i consumatori in quanto le entità in questione non sono soggette allo stesso livello di regolamentazione e supervisione e ad adeguati standard di tutela del consumatore e resilienza operativa come quelli previsti per i soggetti vigilati. Rispetto a quest’ultimo punto, il nuovo Regolamento Europeo sulla resilienza operativa e digitale per il settore finanziario (Regolamento “DORA”) si applicherà anche ai fornitori di servizi ICT e dovrebbe quindi contribuire a mitigare i rischi citati.

Altri elementi rilevanti che differenziano il settore assicurativo da quello dei servizi bancari e finanziari sono la maggior varietà e minor standardizzazione dei prodotti e la minore presenza di touchpoint e interazione tra gli assicuratori e la loro clientela.

Per queste e altre ragioni che sono oggetto di valutazione da parte degli stakeholder interessati e delle istituzioni, un’applicazione “copia-e-incolla” del modello PSD2 in ambito assicurativo potrebbe non essere la strada giusta.

I contratti di open insurance

In assenza di un quadro normativo specifico per la condivisione sistematica e tempestiva dei dati in ambito assicurativo i progetti open insurance sono lasciati all’iniziativa privata e possono essere attuati tramite contratti stipulati dai soggetti coinvolti. Sul punto, oltre un terzo degli intervistati nell’ambito della consultazione EIOPA del 2021 ha risposto che open insurance continuerà a svilupparsi a prescindere dall’introduzione di un quadro normativo specifico.

I contratti in questione possono assumere diverse forme a seconda del tipo e della portata del progetto, dei soggetti interessati e delle giurisdizioni coinvolte. Alcune fattispecie prevedono la mera fornitura di tecnologia da un soggetto ad un altro, riconducibile ad un appalto/somministrazione di servizi (come la fornitura di servizi basati su cloud alle compagnie assicurative per la digitalizzazione di determinati processi), altre contratti di licenza o cessione di informazioni anonimizzate qualificabili come segreto commerciale o banche dati sui generis o, ancora, accordi sul trattamento di dati personali. Quando i progetti di open insurance prevedono orizzonti temporali di lungo periodo e contributi di una certa entità da parte dei partecipanti, quali dati, tecnologia e know-how (ad es. basi clienti, processi e modelli operativi, ecc.), non è infrequente che assumano anche la forma di partnership, joint venture societarie o contrattuali, oppure consorzi e società consortili. Questo è il caso, ad esempio, dello sviluppo di prodotti o servizi innovativi in ambito assicurativo in tandem tra operatori e imprese tecnologiche (pensiamo alla distribuzione digitale delle polizze, a programmi di ricompensa per comportamenti salutari, o alla digitalizzazione dei processi di denuncia e liquidazione sinistri).

I progetti di open insurance richiedono un’accurata analisi preventiva. L’architettura contrattuale disegnata per l’operazione deve poter operare in maniera conforme alla legge, in particolare rispetto alla normativa di settore e a quella sulla privacy e la protezione dei dati personali. Inoltre, deve essere gestito con attenzione e analisi specifiche l’eventuale impiego di tecnologie avanzate, quali i sistemi di intelligenza artificiale o la blockchain e altre tecnologie basate su registri distribuiti (DLT). Laddove il progetto venga lanciato in diversi paesi e giurisdizioni l’analisi dovrà anche tenere conto delle specificità del quadro normativo locale e sarà essenziale un buon project management.

Quanto ai contratti, dovrebbero contenere una serie di elementi imprescindibili: gli impegni assunti dalle parti e le garanzie fornite rispetto agli obiettivi del progetto, al tipo e alla qualità di dati coinvolti, ai relativi flussi e al perimetro di sfruttamento, alla conformità alla normativa applicabile lungo tutta la catena di trattamento a partire dalla raccolta, alla governance dei dati e del progetto stesso, all’interoperabilità dei sistemi informatici e API delle parti, a particolari configurazioni dell’architettura hardware e software e alle misure di sicurezza tecniche e organizzative da adottare.

Altro tema rilevante rispetto al trattamento dei dati personali sono l’offshoring e i trattamenti di dati extra-UE, rispetto ai quali occorre accertarsi che i trasferimenti verso paesi terzi siano effettuati secondo quanto disposto dalla normativa vigente. Qualora oggetto del contratto siano dati anonimizzati, che non ricadono quindi nel campo di applicazione della normativa in materia di protezione dei dati personali, il soggetto che li riceve dovrà assicurarsi che la tecnica di anonimizzazione impiegata sia in linea con i più elevati standard tecnologici e che dai dati in questione non si possa più risalire alle persone fisiche cui fanno riferimento.

Dal punto di vista della proprietà intellettuale, vanno identificati gli istituti giuridici mediante i quali viene realizzata l’eventuale cessione o licenza dei dati e regolata la titolarità (o contitolarità) di qualsiasi elaborazione o opera derivata ricavate dai dati di partenza.

Oltre alle disposizioni contrattuali inerenti la nascita e la “vita” del rapporto contrattuale, è necessario considerare anche le circostanze che potrebbero giustificarne la cessazione e le conseguenze in termini di operatività che essa potrebbe comportare.

Verso una normativa specifica?

Gli operatori del settore si aspettano che già nel corso del 2023 possano essere presentate proposte a livello europeo per una regolamentazione specifica dell’open insurance. Esse dovrebbero avere ad oggetto sia un sostrato di norme giuridiche volte a disciplinare accesso e condivisione sistematica dei dati, che gli standard tecnici (ad esempio, in termini di API) richiesti per consentire una piena operatività dell’ecosistema, anche eventualmente in forma di delega alle Autorità competenti. Nel frattempo molti operatori hanno aderito a iniziative di open insurance di natura associativa, con l’obiettivo di stabilire standard comuni per le API e di portabilità dei dati. Una di queste è Open Insurance Initiative Network (OPIN), a cui hanno aderito 61 imprese di tutto il mondo. Altre iniziative sono la Free Insurance Data Initiative (FRIDA) e l’Osservatorio Open and Embedded Insurance in collaborazione tra Italian Insurtech Association e Accenture.

Lato EIOPA, nel giugno 2022 l’Autorità ha presentato i risultati della consultazione pubblica svolta nel 2021 assieme a un nuovo discussion paper.

Di particolare interesse sono le risposte fornite dai partecipanti alla consultazione rispetto all’adeguatezza del quadro normativo attuale in materia di open insurance. Mentre più della metà (52%) degli intervistati non lo ritiene adeguato per la gestione dei rischi, il 18% ritiene che lo sia. La maggior parte degli stakeholder ha inoltre evidenziato l’importanza del principio del level playing field, ossia “stessa attività, stessi rischi, stesse regole”, della convergenza delle attività di vigilanza e la necessità che le Autorità dispongano di risorse adeguate (personale, bilancio, competenze tecniche).

In sintesi, dalla consultazione EIOPA emerge che gran parte degli operatori del settore vedono con favore l’adozione di un quadro normativo simile a PSD2 per la condivisione sistematica e obbligatoria dei dati in ambito assicurativo. Tuttavia, per una parte degli intervistati l’approccio migliore consisterebbe nell’autoregolamentazione. Un gruppo minoritario ritiene, infine, che la condivisione di legge dovrebbe limitarsi soltanto a determinati tipi di dati (dati raccolti dai sensori IoT o soltanto in relazione ad alcune linee di business e/o rispetto a determinati specifici prodotti).

Un tratto comune alle risposte di molti dei partecipanti alla consultazione è l’esigenza di garantire che la regolamentazione, in generale, non ostacoli le iniziative volontarie di open insurance basate sui contratti tra le parti. In attesa, dunque, di possibili sviluppi del quadro normativo, l’open insurance continua a correre e crescere tramite le iniziative volontarie degli operatori, costituendo uno dei filoni di sviluppo più promettenti dell’insurtech dei prossimi anni in termini di investimenti e innovazione.

Su un simile argomento, potrebbe interessarti: “Principi di IA governance per il settore assicurativo secondo l’EIOPA”.

Il presente contributo è stato pubblicato in origine su DirittoBancario (“Open Insurance: gli scenari per il 2023 e le principali strategie legali”).

(Visited 347 times, 1 visits today)
Close Search Window