Si discute sempre di più di rischio legato all’intelligenza artificiale e di come le aziende possano ottenere una copertura assicurativa per proteggersi in questo ambito. Abbiamo intervistato due esponenti del mondo dell’intermediazione assicurativa: Alessandra Corsi e Rossella Bollini di MARSH ci hanno fornito il loro punto di vista sulle sfumature della copertura del rischio da IA e sull’evoluzione del ruolo dell’assicurazione nella mitigazione delle responsabilità legate all’IA.
1. Dal punto di vista del broker, come sta rispondendo il mercato assicurativo alla copertura del rischio da IA?
Il mercato assicurativo, soprattutto dopo l’esplosione della GenAI, ha iniziato a monitorare l’emersione di nuovi rischi legati allo sviluppo e all’utilizzo di soluzioni di intelligenza artificiale sia per anticipare le richieste degli assicurati che per iniziare a gestire in modo efficiente l’esposizione sul portafoglio assicurativo. Siamo ancora agli inizi e proprio per questo è fondamentale avere uno sguardo globale sull’argomento. Dalla nostra prospettiva, in America e in alcuni paesi europei c’è più fermento, gli assicurati percepiscono la sfida, si interrogano su come trasferire il proprio rischio AI al mercato assicurativo e spingono gli assicuratori affinché diano risposte e propongano soluzioni. Finora nel mercato italiano – sia dal punto di vista della domanda che dell’offerta – non identifichiamo iniziative particolari ma ci aspettiamo che questo cambi nel prossimo futuro, visto l’interesse dagli assicuratori ad apportare valore aggiunto per i loro clienti con soluzioni sempre più innovative.
2. Nel contesto di mercato descritto, come viene gestita l’esposizione al rischio AI? È possibile fare affidamento su prodotti tradizionali?
Al momento esiste un solo prodotto assicurativo ad hoc per il rischio AI, distribuito da uno dei principali player del mercato riassicurativo. Per il resto, i clienti in cerca di copertura possono valutare altre linee di prodotto più tradizionali come le polizze cyber, professional indemnity, crime, intellectual property o product liability dove tipicamente i sinistri e/o le circostanze legate all’AI non sono ancora specificamente esclusi. Si tratta di una copertura prestata in modo c.d. “silent”: non affermativamente inclusa e non esplicitamente esclusa. Per fare qualche esempio, se i dati di addestramento e i dati di input interiorizzati dal modello di AI vengono accidentalmente divulgati in qualità di output causando un data breach, potrebbe attivarsi la polizza cyber; ancora, se una frode viene perpetrata con la tattica del deepfake, la polizza crime potrebbe coprire. Per ridurre il livello di incertezza, stiamo assistendo alla lenta introduzione di clausole affirmative riguardanti la copertura di scenari di sinistro cyber e crime che coinvolgono l’intelligenza artificiale ma si tratta, per il momento, di casi sporadici.
3. Quali sono secondo voi i rischi potenzialmente trasferibili con una polizza AI?
È un tema complesso, dipende dal tipo di esposizione, dall’attività svolta e dalla propensione al rischio dell’assicurato: si potrebbe decidere di coprire i danni diretti – assicurando le prestazioni dell’IA sviluppata in proprio (“home-grown”) – oppure eventuali profili di responsabilità civile nei confronti di terzi, contrattuale o extracontrattuale. A seconda dell’attività svolta dall’assicurato potrebbe essere rilevante coprire il rischio da allucinazioni e false informazioni, violazione della privacy, violazioni della proprietà intellettuale o produzione di output discriminatori.
Va da sé che è necessario un certo grado di personalizzazione per dare forma ad un prodotto che si adatti alle esigenze dell’assicurato.
4. I metodi di sottoscrizione tradizionali rimangono rilevanti e applicabili nel mondo dell’intelligenza artificiale?
Parzialmente; facciamo un confronto con il processo di sottoscrizione del rischio cyber. Per quanto si tratti di un rischio complesso e articolato il mercato assicurativo si è assestato sull’utilizzo dello strumento del questionario, talvolta affiancato a scansioni perimetrali o interviste one-to-one con la funzione IT/CISO: si tratta, quindi, di un percorso lineare. Per il rischio AI potrebbe non essere così semplice. Per quantificare il rischio sarà necessario identificare il set informativo necessario caso per caso (deployer, user, tipologia di AI coinvolta, rischio che si desidera trasferire) da valutare insieme ai dati sull’addestramento del modello e sui controlli post-deployment. Anche il tema della quantificazione del danno in caso di sinistro è molto complesso: si pensi ad un prodotto AI venduto alle banche per distinguere le transazioni lecite dalle frodi. In questo caso il fornitore potrebbe voler sottoscrivere una polizza che copra le situazioni di scarsa performance del prodotto. Per aggirare la difficoltà nel quantificare il danno potrà essere necessario fissare una soglia, ad esempio garantendo che il modello rilevi almeno il 99% di tutte le transazioni fraudolente: la Compagnia assicurativa sarà tenuta all’indennizzo qualora l’IA non riesca a fornire quanto promesso.
5. Vi è capitato di notificare sinistri ai sensi di polizze IA o comunque relative a danni causati da IA? Se sì, per quale tipo di sinistro?
Come Marsh, la maggior parte dei sinistri a cui abbiamo assistito che coinvolgono l’utilizzo di GenAI si concentrano nell’ambito delle frodi. Si tratta di trasferimenti fraudolenti di fondi ottenuti generando in dipendenti l’erronea convinzione di star adempiendo richiese legittime, provenienti da soggetti interni in azienda. Tali sinistri vengono generalmente aperti ai sensi della polizza crime. L’IA generativa viene utilizzata anche per perfezionare gli attacchi di phishing (attualmente uno dei principali vettori di ransomware), rendendoli più credibili e aumentando così il tasso di successo.
6. Quali sono le vostre previsioni per il prossimo futuro?
Verosimilmente il percorso sarà lo stesso a cui abbiamo assistito per il rischio cyber: ad un certo punto gli assicuratori avranno necessità di quantificare e monitorare l’esposizione al rischio AI insito nei prodotti assicurativi tradizionali nella misura in cui questo potrebbe determinare, al verificarsi di sinistri, un impatto significativo e inatteso sulla profittabilità dei loro portafogli. Per farlo, ci aspettiamo che i mercati riassicurativi e i Lloyds inizieranno ad imporre clausole di esclusione AI sulle polizze cyber, professional indemnity e crime creando contestualmente la necessità di colmare il vuoto di copertura. L’auspicio è che a quel punto i prodotti assicurativi specifici per l’IA siano pronti e performanti, supportati da un processo di sottoscrizione definito e replicabile e da un meccanismo di quantificazione delle perdite costantemente prevedibile.
Sul tema dell’assicurabilità del rischio AI, potresti trovare interessante anche: Assicurare l’imprevedibile: le polizze per il rischio di IA
Autori: Giacomo Lusardi e Karin Tayel