A seguito della consultazione pubblica di questa primavera su “AI Governance e Risk Management”, il 6 agosto scorso l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) ha pubblicato il proprio Feedback Statement con cui ha risposto ai dubbi sollevati dagli stakeholder. Tanti gli aspetti interessanti da segnalare.
Il parere introduce nuovi obblighi?
Diversi stakeholder hanno apprezzato l’obiettivo del parere di EIOPA, il suo approccio basato sui principi e l’attenzione al rischio e alla proporzionalità, così come l’allineamento con l’AI Act. Alcuni hanno, tuttavia, espresso timori che l’uso ricorrente del termine “should” possa creare obblighi impliciti, soprattutto per piccole imprese o sistemi a basso rischio, suggerendo che il parere sia da considerare una mera raccomandazione. Altri hanno invece chiesto indicazioni più dettagliate, come criteri di valutazione del rischio o modelli standardizzati di documentazione, per facilitarne l’applicazione.
Infine, le opinioni sulla tempestività del parere sono divergenti: alcuni hanno manifestato l’esigenza di attendere le misure attuative dell’AI Act ed eventuali linee guida della Commissione sull’utilizzo dell’AI in ambito finanziario, altri hanno segnalato che la maggior parte dei sistemi di AI non sono “ad alto rischio” secondo l’AI Act e, pertanto, occorre muoversi subito per favorire approccio coerente degli operatori e convergenza delle autorità di vigilanza.
Al riguardo, EIOPA ha sottolineato l’importanza della convergenza internazionale sui principi generali di governance dell’AI, da applicare considerando le specificità del settore assicurativo.
Ha poi chiarito che il parere non introduce nuovi obblighi, ma fornisce indicazioni su come interpretare le normative del settore assicurativo in contesto di sistemi di AI, adottando un approccio olistico basato su rischio e proporzionalità. Secondo EIOPA, l’uso di termini come “should” è coerente con altri documenti di orientamento e non implica obblighi vincolanti.
Il parere si sovrappone all’AI Act?
Gli stakeholder hanno manifestato di condividere l’ambito di applicazione del parere, che ha ad oggetto i sistemi di AI nel settore assicurativo non considerati pratiche proibite o ad alto rischio secondo l’AI Act. Alcuni hanno chiesto chiarimenti sulla distinzione tra sistemi ad alto rischio ai sensi dell’AI Act e quelli che potrebbero essere considerati ad alto rischio a seguito di una valutazione d’impatto prevista dal parere. È stato inoltre condiviso l’uso della definizione di “sistemi di IA” prevista dall’AI Act, sebbene siano stati richiesti chiarimenti su modelli tradizionali come i Generalized Linear Models (GLM). Alcuni hanno, infine, espresso preoccupazioni sul fatto che i riferimenti a Solvency II e IDD possano estendere involontariamente il perimetro regolatorio, ad esempio in materia di gestione dei dati o di trattamento equo dei consumatori.
In risposta, EIOPA conferma che il parere si applica esclusivamente ai sistemi di IA che non rientrino nelle pratiche proibite o nell’alto rischio, evitando sovrapposizioni e oneri regolatori non necessari, e chiarisce che la valutazione di alto rischio ai sensi dell’AI Act ha significato e implicazioni legali indipendenti dall’analisi d’impatto prevista dal parere. Il parere non estende i requisiti dell’AI Act e riconosce che i livelli di rischio possano variare tra sistemi non considerati ad “alto rischio”.
Per quanto riguarda la definizione di sistemi di IA, il parere fa ora esplicito riferimento alle Linee guida della Commissione Europea e segnala che ulteriori chiarimenti potranno essere forniti in futuro. Infine, i riferimenti a Solvency II, DORA e IDD non ne modificano l’ambito di applicazione, ma i principi del parere, quali correttezza, supervisione umana e data governance, rimangono pertinenti e devono essere applicati in modo proporzionato anche da operatori non soggetti a tali norme, garantendo un trattamento equo dei clienti.
Quali oneri per le piccole imprese e quali requisiti per i sistemi a basso rischio?
In generale, gli stakeholder hanno apprezzato l’approccio basato su rischio e proporzionalità delineato nel parere, pur esprimendo preoccupazioni sui possibili costi di conformità per sistemi di IA a basso rischio e per le piccole imprese. Alcuni hanno chiesto indicazioni più dettagliate sull’impatto e sui criteri di valutazione, suggerendo di distinguere tra sistemi rivolti ai clienti e sistemi interni, tra nuove tecnologie come l’IA generativa e tecnologie di machine learning consolidate, e di considerare l’impatto ambientale. Sono emerse anche richieste di chiarimento su come bilanciare la natura del sistema e il suo potenziale impatto sui consumatori, senza compromettere la convergenza di vigilanza a livello europeo.
EIOPA conferma il mantenimento dell’approccio basato su rischio e proporzionalità, bilanciando opportunità e rischi e limitando gli oneri di conformità per sistemi a basso rischio e per le piccole imprese. Il parere chiarisce che le aspettative di vigilanza per sistemi a basso rischio saranno limitate e che lo svolgimento della valutazione d’impatto può essere proporzionata all’effettivo impatto del sistema. Senza fornire una lista esaustiva, EIOPA ha aggiunto al parere esempi di criteri di valutazione, come la distinzione tra applicazioni rivolte ai clienti e usi interni senza impatto diretto sui clienti, e il numero di clienti coinvolti. La valutazione deve considerare sia l’impatto sui consumatori sia sugli operatori, tenendo conto della natura e della complessità dei sistemi di IA.
Quali sistemi di gestione del rischio e come gestire il rischio di terza parte?
Alcuni stakeholder hanno chiesto chiarimenti sull’opportunità di utilizzare i framework esistenti di Enterprise Risk Management (ERM), gestione del rischio dei modelli o Product Oversight and Governance (POG) per governare l’uso dei sistemi di IA, senza dover sviluppare nuovi strumenti specifici. È stata inoltre suggerita una distinzione tra le responsabilità dei “developer” e dei “deployers”, sottolineando le difficoltà nel garantire la governance dei dati o l’“explainability” per strumenti forniti da terzi, come l’IA generativa.
EIOPA conferma che le imprese possono avvalersi dei framework esistenti o aggiornati (ERM, gestione del rischio dei modelli, POG, strategie IT, dati o IA) purché riflettano i principi chiave indicati nel parere. Inoltre, pur essendo responsabili dei sistemi di IA utilizzati, anche quando sviluppati da terzi, le imprese devono ottenere informazioni e garanzie sui sistemi forniti e, in caso di difficoltà nell’implementare alcuni principi (ad esempio governance dei dati o explainability), mitigare i rischi con misure complementari, clausole contrattuali, audit esterni, due diligence e monitoraggio continuo.
E ora?
La conclusione della consultazione pubblica rappresenta più un punto di partenza che un traguardo. Attendiamo ulteriori chiarimenti e linee guida sia da EIOPA che da Commissione e Autorità nazionali in un prossimo futuro. Nel frattempo, gli operatori devono avviare e consolidare i propri piani di conformità, muovendosi in uno scenario normativo complesso e frammentato, che include l’AI Act europeo, la normativa italiana di adeguamento e le indicazioni delle autorità di vigilanza. Un percorso tutt’altro che semplice e lineare.
Su questo argomento potrebbero interessarti anche EIOPA lancia consultazione su AI governance e gestione rischio AI e L’Italia ha la sua legge sull’intelligenza artificiale: approvato DDL AI.
About the Author: Giacomo Lusardi
