L'IA che determina i prezzi delle assicurazioni sulla vita e sanitarie rientra nell'elenco ad alto rischio del regolamento sull'IA dell'UE (AI Act). L'allegato III, punto 5(c) classifica come ad alto rischio i «sistemi di IA destinati a essere utilizzati per la valutazione dei rischi e la determinazione dei prezzi nei confronti di persone fisiche nel caso di assicurazioni sulla vita e assicurazioni sanitarie», e tale classificazione fa scattare l'articolo 27: l'obbligo per il deployer di svolgere una valutazione d'impatto sui diritti fondamentali (VIDF) prima che il sistema entri in funzione. Questo articolo è la versione assicurativa applicata del modello generico di VIDF: una valutazione completa, con tutte e sei le sezioni, per un assicuratore che mette in produzione un motore di IA per l'assunzione del rischio e la tariffazione, con una tabella precisa dei rami assicurativi dentro e fuori ambito e l'approfondimento sui dati sanitari e genetici delle categorie particolari che l'assunzione del rischio vita e salute richiede. Puoi produrre una prima bozza strutturata con il generatore di VIDF gratuito. Una nota sulle tempistiche, in apertura: il 2 agosto 2026 è la data di applicazione giuridicamente vincolante per i sistemi ad alto rischio autonomi dell'allegato III e per la relativa VIDF; il Digital Omnibus (concordato in via provvisoria intorno al 7 maggio 2026) la rinvierebbe al 2 dicembre 2027, ma a giugno 2026 non è ancora legge, quindi continua a prepararti sulla base del 2 agosto 2026.
La tua IA assicurativa rientra nell'ambito? Allegato III, punto 5(c)
Il punto 5(c) dell'allegato III del regolamento sull'IA dell'UE classifica come ad alto rischio i «sistemi di IA destinati a essere utilizzati per la valutazione dei rischi e la determinazione dei prezzi nei confronti di persone fisiche nel caso di assicurazioni sulla vita e assicurazioni sanitarie». Il criterio di attivazione è ristretto e specifico. Nomina le assicurazioni sulla vita e sanitarie e nomina due funzioni: la valutazione dei rischi e la determinazione dei prezzi. Un motore di IA per l'assunzione del rischio che attribuisce una classe di rischio, applica un sovrappremio o restituisce una decisione di accettazione, rifiuto o rinvio per una singola polizza vita o sanitaria rientra pienamente nella categoria. La classificazione è legge vincolante, verificata rispetto alla scheda dell'AI Act Service Desk dell'Ufficio per l'IA dell'UE relativa all'allegato III.
Il progetto di linee guida della Commissione sulla classificazione dei sistemi di IA ad alto rischio, pubblicato il 19 maggio 2026, indica che tanto la valutazione dei rischi quanto la determinazione dei prezzi possono, da sole, far rientrare un sistema nell'ambito: non è necessario che entrambe le funzioni siano presenti. Lo stesso progetto di linee guida indica che il punto 5(c) si estende all'assicurazione privata per l'assistenza a lungo termine, ai prodotti pensionistici individuali nella misura in cui incidono in modo significativo sul tenore di vita di una persona in età avanzata, all'assicurazione vita a copertura del credito (protezione del mutuo) e all'assicurazione sanitaria pubblica quando l'IA effettua la valutazione individuale del rischio. Queste linee guida sono in bozza, in consultazione con i portatori di interessi e non vincolanti; i confini dell'ambito che descrivono potrebbero cambiare prima della loro finalizzazione. Trattale come un segnale di pianificazione e verifica il testo definitivo rispetto al progetto di linee guida della Commissione.
Il confine segue la copertura sanitaria piuttosto che l'etichetta vita o non vita. Il progetto di linee guida colloca l'IA di tariffazione per i rami auto, casa e danni a beni e responsabilità civile al di fuori del punto 5(c), insieme ai prodotti di investimento assicurativi, alla gestione dei sinistri e alla progettazione di prodotti a livello di portafoglio. Quando un ramo offre una copertura sanitaria, la situazione cambia: le linee guida considerano le assicurazioni infortuni, malattia e salute privata come assicurazione sanitaria, quindi la valutazione dei rischi o la determinazione dei prezzi tramite IA per quei rami può rientrare all'interno del 5(c) anche se sono sottoscritti come rami danni. Non dare per scontato che un'etichetta «non vita» tenga fuori dall'ambito un portafoglio infortuni o malattia. Quel confine non disattiva nemmeno tutti gli altri obblighi: il GDPR, gli obblighi di trasparenza dell'articolo 50 e le regole di condotta negli affari del settore assicurativo possono comunque applicarsi ai rami esclusi dal 5(c). L'obbligo di VIDF del 5(c) si applica indipendentemente dal fatto che l'assicuratore sia un ente pubblico o privato. Il discrimine tra pubblico e privato dell'articolo 27 governa le categorie generali dell'allegato III; per lo scoring del credito (punto 5(b)) e per le assicurazioni sulla vita e sanitarie (punto 5(c)) la VIDF è dovuta da ogni deployer. Per una trattazione più completa di come un sistema rientri nell'allegato III, consulta la guida alla classificazione ad alto rischio.
| Ramo assicurativo e uso dell'IA | Alto rischio allegato III 5(c)? | VIDF richiesta? |
|---|---|---|
| Assicurazione vita individuale — valutazione dei rischi o determinazione dei prezzi di persone fisiche | Sì (vincolante) | Sì — obbligo del deployer, indipendentemente dalla natura pubblica/privata |
| Assicurazione sanitaria privata — valutazione dei rischi o determinazione dei prezzi | Sì (vincolante) | Sì |
| Assicurazione privata per l'assistenza a lungo termine — valutazione dei rischi o determinazione dei prezzi | Sì, secondo il progetto di linee guida della Commissione (non ancora definitivo) | Sì, se confermato |
| Assicurazione vita a copertura del credito (protezione del mutuo) — valutazione dei rischi o determinazione dei prezzi | Sì, secondo il progetto di linee guida della Commissione | Sì, se confermato |
| Prodotti pensionistici individuali che incidono sul tenore di vita in età avanzata — valutazione dei rischi | Probabile, secondo il progetto di linee guida della Commissione | Sì, se confermato |
| Coperture infortuni / malattia sottoscritte come rami danni — valutazione dei rischi o determinazione dei prezzi | Sì, considerate assicurazione sanitaria secondo il progetto di linee guida | Sì, se confermato |
| Auto, casa/danni a beni, responsabilità civile — determinazione dei prezzi | No — fuori dalla prima ondata dell'allegato III 5(c) | Non su questa base |
| Gestione dei sinistri / rilevamento delle frodi autonomo (sistema separabile) | Fuori dal 5(c) — non è valutazione dei rischi né determinazione dei prezzi | Non su questa base (possono applicarsi GDPR, regole EIOPA/IDD) |
| Funzionalità antifrode integrata in un sistema di valutazione dei rischi o determinazione dei prezzi vita/salute | Sì — il punto 5(c) non prevede eccezioni per le frodi | Sì |
Rilevamento delle frodi: il punto 5(c) non prevede alcuna esenzione per le frodi
L'esenzione esplicita per il rilevamento delle frodi nell'elenco ad alto rischio si trova nel punto 5(b) — merito creditizio e scoring del credito, «ad eccezione dei sistemi di IA utilizzati allo scopo di individuare frodi finanziarie». La versione applicata al credito di questa valutazione è nell'esempio di VIDF per lo scoring del credito. Il punto 5(c) non contiene alcuna esenzione analoga per le frodi. Il progetto di linee guida della Commissione è esplicito sull'asimmetria: a differenza del punto 5(b), il punto 5(c) non prevede alcuna eccezione per il rilevamento delle frodi, quindi un sistema di IA destinato alla valutazione dei rischi o alla determinazione dei prezzi nelle assicurazioni sulla vita e sanitarie resta ad alto rischio anche quando include una funzionalità di rilevamento delle frodi.
Il confine è quindi stretto. Un sistema di rilevamento delle frodi autonomo e separabile — che non svolge esso stesso valutazione dei rischi o determinazione dei prezzi — si colloca fuori dal 5(c) per ragioni di ambito, perché individuare le frodi non è né valutazione dei rischi né determinazione dei prezzi. Una funzionalità antifrode integrata nel motore di assunzione del rischio o di tariffazione non elimina la classificazione del 5(c). Documenta in quale dei due casi ti trovi, tracciando esplicitamente il confine del sistema, così che un esaminatore possa seguire il ragionamento.
A chi spetta la VIDF e le sei componenti dell'articolo 27(1)
In questo esempio pratico un assicuratore europeo dei rami vita e salute («l'assicuratore») mette in produzione un motore di IA per l'assunzione del rischio e la tariffazione di polizze vita temporanee individuali e polizze sanitarie private. Il modello è sviluppato da un fornitore terzo e messo a punto internamente. A ogni nuova richiesta e alla ritariffazione in fase di rinnovo acquisisce i dati della proposta — età, anamnesi medica dichiarata, indice di massa corporea (BMI), stato di fumatore, un questionario sullo stile di vita — insieme a dati strutturati del questionario medico e a segnali esterni o comportamentali selezionati, e restituisce una classe di rischio, un sovrappremio e una decisione di accettazione, rifiuto o rinvio all'assuntore per una persona fisica. Poiché svolge la valutazione dei rischi e la determinazione dei prezzi nei confronti di persone fisiche nelle assicurazioni sulla vita e sanitarie, è ad alto rischio ai sensi dell'allegato III 5(c) e l'assicuratore è tenuto a una VIDF ai sensi dell'articolo 27 prima della messa in produzione.
L'assicuratore è il deployer e su di esso grava l'obbligo di VIDF. Il fornitore terzo del modello è di norma il fornitore ai sensi dell'AI Act, ma questa ripartizione non è automatica. Ai sensi dell'articolo 25 l'assicuratore può diventare esso stesso un fornitore — e assumere gli obblighi del fornitore — se apporta una modifica sostanziale al sistema, lo immette sul mercato o lo mette in servizio con il proprio nome o marchio, oppure ne modifica la finalità prevista; la messa a punto interna può oltrepassare questa soglia, quindi accertati del ruolo prima di farvi affidamento. Ai fini della VIDF, il deployer dovrebbe ottenere dal fornitore quanto basta per valutare il rischio per i diritti fondamentali: le istruzioni per l'uso e le informazioni di cui all'articolo 13 — finalità prevista, limiti noti, accuratezza e le misure di sorveglianza umana integrate — supportate da evidenze contrattuali sui dati di addestramento e sulla distorsione residua (bias). Il fornitore redige la documentazione tecnica dell'allegato IV per la propria valutazione della conformità e per le autorità; né tale documentazione né la valutazione della conformità del fornitore assolvono l'obbligo di VIDF del deployer. La responsabilità della VIDF non è trasferibile; esternalizzare il modello non esternalizza l'obbligo.
L'articolo 27(1) elenca sei componenti obbligatorie; la tabella associa ciascuna a ciò che questo assicuratore documenta. La notifica dei risultati della VIDF all'autorità di vigilanza del mercato è un passaggio distinto, previsto dall'articolo 27(3), successivo alla valutazione e trattato nell'ultima sezione.
| Componente | Cosa documenta l'assicuratore | Base giuridica |
|---|---|---|
| 1. Descrizione del sistema e finalità prevista | Il motore di assunzione del rischio e tariffazione, la sua finalità prevista secondo il fornitore del modello, i dati identificativi del fornitore, il contesto operativo (punto vendita tramite broker e canale diretto online) e la classificazione allegato III 5(c) | Art. 27(1)(a) |
| 2. Durata e frequenza d'uso | Data di avvio in produzione, durata indeterminata, volume in richieste al giorno, attivazione a ogni richiesta e rinnovo, e ambito geografico/di mercato | Art. 27(1)(b) |
| 3. Categorie di persone interessate | Richiedenti e assicurati in fase di rinnovo, con evidenziazione dei gruppi vulnerabili (disabilità, condizioni croniche o genetiche, richiedenti anziani) | Art. 27(1)(c) |
| 4. Rischi specifici per i diritti fondamentali | Il registro dei rischi seguente, valutato per probabilità e gravità, con mitigazione e rischio residuo | Art. 27(1)(d) |
| 5. Misure di sorveglianza umana | Revisione da parte dell'assuntore dei rifiuti e dei sovrappremi rilevanti, approvazione del medico fiduciario e ruoli, qualifiche e formazione del personale di sorveglianza | Art. 27(1)(e) |
| 6. Misure in caso di concretizzazione dei rischi | Percorso di assunzione manuale, spiegazioni delle decisioni sfavorevoli e canale di reclamo e ricorso attivato se un rischio si concretizza | Art. 27(1)(f) |
Gruppi interessati e diritti in gioco nell'assunzione del rischio vita e salute
La sezione 3 della VIDF identifica chi è interessato dal sistema. I gruppi direttamente interessati sono i richiedenti di coperture vita e sanitarie private e gli assicurati esistenti in fase di rinnovo. Tra i gruppi vulnerabili che richiedono particolare attenzione nell'assunzione del rischio rientrano le persone con disabilità; le persone con condizioni croniche o genetiche come il diabete, le persone guarite da un tumore, i richiedenti sieropositivi e le persone con patologie ereditarie; i richiedenti anziani; i richiedenti con una storia di disturbi della salute mentale; e le richiedenti in stato di gravidanza. Indirettamente interessati sono le persone a carico e i beneficiari designati che fanno affidamento sulla copertura.
I diritti in gioco si ricollegano alla Carta dei diritti fondamentali dell'UE. L'aggancio più diretto per l'assunzione del rischio è l'**articolo 21** sulla non discriminazione, che nomina espressamente le caratteristiche genetiche, la disabilità e l'età tra i motivi vietati — esattamente gli attributi che l'assunzione del rischio tocca. L'articolo 26 riconosce il diritto delle persone con disabilità di beneficiare di misure che ne garantiscano l'autonomia e la partecipazione. L'articolo 7 tutela la vita privata e familiare e l'articolo 8 tutela i dati personali.
I dati sanitari e genetici sono categorie particolari ai sensi dell'articolo 9 del GDPR. Il trattamento è vietato a meno che non si applichi una condizione dell'articolo 9(2), ad esempio il consenso esplicito (9(2)(a)) o un interesse pubblico rilevante (9(2)(g)) su una base giuridica dell'Unione o di uno Stato membro. L'articolo 9(4) consente agli Stati membri di mantenere o introdurre ulteriori condizioni in materia di dati genetici, biometrici e sanitari, il che è direttamente rilevante per l'assunzione del rischio assicurativo: la normativa nazionale può limitare o vietare l'uso dei risultati dei test genetici nella determinazione dei prezzi. La VIDF registra la base giuridica per ogni campo di categoria particolare toccato dal modello e rispetta qualsiasi restrizione nazionale.
Esempio pratico: un registro dei rischi VIDF assicurativo completato
La sezione 4 è quella in cui la VIDF diventa concreta. Valuta ogni rischio sulla stessa matrice probabilità per gravità definita nel modello generico di VIDF e calibra la gravità sul danno assicurativo: un rifiuto erroneo o un sovrappremio discriminatorio possono precludere l'accesso a una copertura vita o sanitaria, quindi qui la maggior parte dei danni a livello di diritti riceve una gravità Grave anche quando la probabilità è solo Possibile. Il registro seguente mostra come l'assicuratore documenta i rischi del suo motore di assunzione del rischio vita e salute: ogni diritto fondamentale in gioco, lo scenario di danno, una valutazione di probabilità e gravità, la mitigazione e il rischio residuo che permane successivamente. È un livello pratico di specificità a cui puntare, ed è la parte che questo articolo aggiunge al modello generico.
| Diritto fondamentale | Scenario di danno | Probabilità | Gravità | Rischio | Mitigazione | Residuo |
|---|---|---|---|---|---|---|
| Non discriminazione (art. 21) — comprende caratteristiche genetiche, disabilità ed età | La determinazione dei prezzi usa proxy correlate alla salute (professione, codice di avviamento postale, storico dei sinistri o delle prescrizioni, dati da dispositivi indossabili o sullo stile di vita) o dati di categoria particolare che sistematicamente fanno ricadere premi più alti o rifiuti sulle persone con disabilità, condizioni croniche o genetiche e sui richiedenti anziani. | Possibile | Grave | Alto | Test trimestrale sull'impatto discriminatorio per strati di disabilità, stato di salute, età e sesso; ogni fattore tariffario giustificato su una base attuariale oggettiva; divieto d'uso dei dati genetici e divieto di inferenza tramite proxy non attuariali; validazione dell'equità attuariale da parte di un attuario qualificato; rimozione o trasformazione delle proxy prive di una base di rischio dimostrabile. | Medio |
| Diritti delle persone con disabilità (art. 26) | Ai richiedenti con una disabilità o una condizione cronica dichiarata viene applicato automaticamente un sovrappremio, o la copertura viene loro rifiutata, in base a una regola, senza una valutazione medica individualizzata, precludendo l'accesso a una copertura vita o sanitaria. | Possibile | Grave | Alto | Revisione obbligatoria da parte di un assuntore umano di ogni rifiuto o sovrappremio rilevante che coinvolga una disabilità o una condizione cronica; valutazione individualizzata tramite un percorso di assunzione manuale; valutazione degli accomodamenti ragionevoli; approvazione del medico fiduciario sugli esiti sfavorevoli. | Medio |
| Vita privata (art. 7) e dati personali (art. 8) — dati di categoria particolare ai sensi dell'art. 9 del GDPR | Il modello tratta o inferisce dati sanitari e genetici di categoria particolare oltre il necessario, oppure inferisce lo stato di salute da dati non medici, senza una condizione valida dell'art. 9(2) del GDPR. | Possibile | Grave | Alto | Revisione della minimizzazione dei dati e della base giuridica; consenso esplicito (art. 9(2)(a)) o un'altra condizione valida dell'art. 9; divieto di inferire lo stato di salute o genetico da dati proxy; integrazione con la DPIA del GDPR (art. 27(4)); rispetto delle restrizioni degli Stati membri ai sensi dell'art. 9(4) sui dati genetici e sanitari in ambito assicurativo. | Basso |
| Accesso ai servizi essenziali | Un punteggio di rischio erroneo rifiuta a torto la copertura o ne fissa un prezzo insostenibile, escludendo il richiedente dalla protezione sanitaria o dalla copertura vita necessaria a garantire un mutuo (vita a copertura del credito). | Improbabile | Grave | Medio | Soglie di accuratezza e back-testing allineati all'articolo 15; ripiego sulla valutazione manuale; rinvio dei casi limite a un assuntore umano; verifica della sostenibilità economica e una via di ricorso. | Basso |
| Ricorso effettivo / spiegazione (art. 47; art. 22 del GDPR) | Un richiedente riceve un rifiuto o un sovrappremio automatizzato senza una motivazione comprensibile e senza alcuna via per contestarlo, in violazione delle garanzie dell'art. 22 del GDPR per le decisioni esclusivamente automatizzate. | Possibile | Moderata | Medio | Motivazioni delle decisioni sfavorevoli, per singola decisione, in un linguaggio semplice; quando la decisione si fonda sulla necessità contrattuale o sul consenso esplicito, le garanzie dell'art. 22(3) del GDPR — intervento umano, diritto di esprimere la propria opinione e di contestare; un flusso di revisione umana tracciato; un canale accessibile di reclamo e ricorso. | Basso |
Integrazione tra VIDF, DPIA e articoli 9 / 22 del GDPR
Un modello di assunzione del rischio vita e salute tratta quasi sempre dati personali, quindi l'assicuratore dispone di una DPIA del GDPR oltre alla VIDF. L'articolo 27(4) consente al deployer di basarsi su una DPIA esistente laddove copra già gli obblighi della VIDF; la VIDF integra la DPIA. La VIDF abbraccia ogni diritto della Carta, quindi richiede quasi sempre un'analisi che va oltre la DPIA. Per la DPIA in sé, consulta DPIA per i sistemi di IA; per redigere entrambe insieme, il generatore di DPIA + VIDF produce una bozza integrata.
Le decisioni di assunzione automatizzate chiamano in causa anche l'articolo 22 del GDPR, che disciplina le decisioni basate unicamente sul trattamento automatizzato che producono effetti giuridici o incidono in modo analogo significativamente. Un rifiuto o un sovrappremio rilevante vi rientrano. Una decisione di questo tipo è ammessa solo su una delle basi di cui all'articolo 22(2) — in ambito assicurativo, di norma la necessità contrattuale (22(2)(a)) o il consenso esplicito (22(2)(c)) del richiedente. Quando la decisione si fonda su una di queste vie, si applicano le garanzie dell'articolo 22(3) — il diritto di ottenere l'intervento umano, di esprimere la propria opinione e di contestare la decisione — che devono essere integrate nella messa in produzione, con un flusso di revisione umana tracciato. Il diritto del richiedente a una spiegazione si fonda sugli obblighi di trasparenza del GDPR e, per i sistemi ad alto rischio, sull'articolo 86 dell'AI Act (il diritto a una spiegazione dei singoli processi decisionali); fornisci le motivazioni delle decisioni sfavorevoli in un linguaggio semplice per ogni decisione.
Come la VIDF si colloca rispetto alle regole del settore assicurativo
Gli assicuratori operano sotto la vigilanza di settore parallelamente all'AI Act. L'EIOPA ha pubblicato il suo parere sulla governance e la gestione del rischio dell'intelligenza artificiale il 6 agosto 2025, rivolto alle autorità di vigilanza nazionali. Applica un approccio proporzionato e basato sul rischio a governance dei dati, conservazione dei registri, equità, cibersicurezza, spiegabilità e sorveglianza umana, e interpreta la normativa settoriale esistente — la direttiva sulla distribuzione assicurativa (IDD) e Solvency II — per l'uso dell'IA. Non introduce nuovi requisiti e non modifica l'ambito di applicazione dell'AI Act né della normativa settoriale.
I sistemi di IA ad alto rischio o vietati ai sensi dell'AI Act sono esclusi dall'ambito del parere. Un modello di tariffazione vita o salute è ad alto rischio ai sensi dell'allegato III 5(c), quindi è l'AI Act a disciplinarlo, inclusa la VIDF dell'articolo 27. I principi dell'EIOPA riguardano principalmente l'IA non ad alto rischio dell'assicuratore — tariffazione dei rami danni, gestione dei sinistri, distribuzione e rilevamento autonomo delle frodi. Il parere dell'EIOPA non sostituisce la VIDF.
Notifica, il modello atteso e la tempistica
Una volta svolta la VIDF, l'articolo 27(3) impone al deployer di notificarne i risultati all'autorità di vigilanza del mercato. L'articolo 27(5) affida all'Ufficio per l'IA un modello e un questionario ufficiali a supporto della notifica; a giugno 2026 tale modello non è ancora stato pubblicato, e la sua assenza non esime dall'obbligo. Finché non esiste, effettua la notifica sulla base della tua documentazione delle componenti dell'articolo 27(1). Il funzionamento dell'articolo 27 è riassunto sull'AI Act Service Desk.
Le date di applicazione si inseriscono nella più ampia scansione temporale del regolamento sull'IA dell'UE. Il 2 agosto 2026 è la data giuridicamente vincolante per i sistemi ad alto rischio autonomi dell'allegato III e per la relativa VIDF dell'articolo 27. Il Digital Omnibus, concordato in via provvisoria intorno al 7 maggio 2026, la rinvierebbe al 2 dicembre 2027 una volta pubblicato nella Gazzetta ufficiale. A giugno 2026 non è ancora legge. Continua a prepararti sulla base del 2 agosto 2026. La guida ai requisiti del regolamento sull'IA dell'UE tiene traccia dell'intera scansione temporale.
| Obbligo | Data vincolante | Dopo il Digital Omnibus* |
|---|---|---|
| Pratiche vietate (art. 5) + alfabetizzazione in materia di IA | 2 feb 2025 | Invariata |
| Obblighi sui modelli GPAI, governance, gran parte delle sanzioni (sanzioni per i fornitori di GPAI ai sensi dell'art. 101 dal 2 ago 2026) | 2 ago 2025 | Invariata |
| Trasparenza (art. 50) | 2 ago 2026 | Invariata (proroga provvisoria per la marcatura ex art. 50(2) fino al 2 dic 2026) |
| VIDF per la tariffazione vita/salute + alto rischio autonomo (allegato III) | 2 ago 2026 | 2 dic 2027 |
| Alto rischio incorporato nei prodotti (allegato I) | 2 ago 2027 | 2 ago 2028 |
Domande frequenti
L'IA assicurativa è ad alto rischio ai sensi del regolamento sull'IA dell'UE?
L'IA utilizzata per la valutazione dei rischi o la determinazione dei prezzi nelle assicurazioni sulla vita e sanitarie è ad alto rischio ai sensi dell'allegato III, punto 5(c); il progetto di linee guida della Commissione considera sufficiente una sola delle due funzioni. Il confine segue la copertura sanitaria: i rami infortuni, malattia e salute privata possono rientrarvi come assicurazione sanitaria. La tariffazione auto, danni a beni, casa e responsabilità civile resta fuori da questo punto nella prima ondata, anche se possono comunque applicarsi altri obblighi come il GDPR, le regole di trasparenza dell'articolo 50 e le regole di condotta negli affari di EIOPA/IDD.
Mi serve una VIDF per un modello di tariffazione assicurativa?
Sì, se il modello svolge la valutazione dei rischi e/o la determinazione dei prezzi nei confronti di persone fisiche nelle assicurazioni sulla vita o sanitarie. La VIDF è un obbligo del deployer ai sensi dell'articolo 27, dovuto indipendentemente dal fatto che l'assicuratore sia un ente pubblico o privato. Il progetto di linee guida della Commissione suggerisce che anche una sola tra la valutazione dei rischi e la determinazione dei prezzi è sufficiente a rientrare nell'ambito.
Le assicurazioni dei rami danni (property & casualty) sono incluse?
L'IA di tariffazione per i rami auto, danni a beni/casa e responsabilità civile è fuori dall'allegato III 5(c) nella prima ondata. La copertura sanitaria è l'eccezione: il progetto di linee guida della Commissione considera i rami infortuni, malattia e salute privata come assicurazione sanitaria, quindi la valutazione dei rischi o la determinazione dei prezzi tramite IA per quei rami può rientrare nel 5(c). I rami esclusi restano comunque soggetti al GDPR e alle regole di condotta negli affari.
Possiamo usare dati sanitari o genetici in un modello di assunzione del rischio?
I dati sanitari e genetici sono categorie particolari ai sensi dell'articolo 9 del GDPR; il trattamento è vietato a meno che non si applichi una condizione dell'articolo 9(2), ad esempio il consenso esplicito. Gli Stati membri possono imporre ulteriori restrizioni sui dati genetici e sanitari ai sensi dell'articolo 9(4), e l'articolo 21 della Carta vieta espressamente la discriminazione basata su caratteristiche genetiche, disabilità ed età, quindi l'uso diretto o tramite proxy richiede una solida giustificazione e test sull'impatto discriminatorio.
Che rapporto ha la VIDF con la nostra DPIA?
L'articolo 27(4) consente di riutilizzare una DPIA del GDPR laddove copra già gli obblighi della VIDF; la VIDF la integra. La VIDF copre tutti i diritti della Carta, quindi richiede quasi sempre un'analisi che va oltre la DPIA.
Il parere dell'EIOPA sull'IA sostituisce la VIDF?
No. Il parere dell'EIOPA del 6 agosto 2025 interpreta la normativa settoriale esistente (la IDD e Solvency II) per l'IA ed esclude dal proprio ambito i sistemi ad alto rischio ai sensi dell'AI Act. Un modello di tariffazione vita o salute è ad alto rischio ai sensi dell'AI Act, quindi è l'AI Act — inclusa la VIDF dell'articolo 27 — a disciplinarlo; i principi dell'EIOPA riguardano principalmente l'IA non ad alto rischio dell'assicuratore.
Qual è la scadenza della VIDF per gli assicuratori?
Il 2 agosto 2026 è la data giuridicamente vincolante. Il Digital Omnibus, concordato in via provvisoria intorno al 7 maggio 2026, la rinvierebbe al 2 dicembre 2027 una volta pubblicato nella Gazzetta ufficiale, ma a giugno 2026 non è ancora legge, quindi continua a prepararti sulla base del 2 agosto 2026.
Punti chiave
L'IA che determina i prezzi delle coperture vita e salute è ad alto rischio ai sensi dell'allegato III 5(c), e la VIDF è un obbligo dell'assicuratore ai sensi dell'articolo 27. Il lavoro è lo stesso qualunque sia la data applicabile: classifica ogni ramo assicurativo rispetto al 5(c), documenta le sei componenti dell'articolo 27(1), compila il registro dei rischi diritto per diritto con un reale approfondimento sui dati sanitari e genetici, integra la sorveglianza di un assuntore umano in ogni decisione sfavorevole e prepara la notifica dei risultati prevista dall'articolo 27(3). Inizia ora — fai l'inventario dei tuoi sistemi di IA per l'assunzione del rischio e la tariffazione, redigi la valutazione con il generatore di VIDF gratuito e mappa i controlli e le evidenze che dovrai mostrare a un'autorità di vigilanza. Questo articolo ha finalità puramente informative e non costituisce consulenza legale; verifica i tuoi obblighi ai sensi dell'articolo 27 con un legale qualificato e ricontrolla lo stato normativo — incluse le bozze di linee guida della Commissione e il Digital Omnibus — prima di fare affidamento su qualsiasi data.