Solvency II e Intelligenza Artificiale: il quadro normativo 2026
La Direttiva Solvency II (2009/138/CE), aggiornata dalla Direttiva Omnibus 2023, regola la gestione del rischio e il capitale delle compagnie assicurative nell'UE. Con la diffusione di modelli AI per pricing, sottoscrizione e gestione dei sinistri, EIOPA ha pubblicato linee guida specifiche che intersecano Solvency II con il nuovo EU AI Act.
Il risultato è un framework duplice: da un lato Solvency II impone governance dei modelli e validazione interna; dall'altro l'EU AI Act richiede documentazione tecnica e supervisione umana per i sistemi AI ad alto rischio. Le compagnie che usano AI nel pricing RCA, nella valutazione vita o nella gestione dei riservati devono rispettare entrambi.
Quali sistemi AI rientrano nell'alto rischio secondo l'EU AI Act?
L'Allegato III del Reg. UE 2024/1689 classifica come ad alto rischio i sistemi AI usati per:
- Valutazione del rischio e pricing in polizze vita, salute e RCA
- Scoring creditizio e valutazione solvibilità (rilevante per bancassicurazione)
- Decisioni automatizzate su liquidazione sinistri
- Profilazione comportamentale per prevenzione frodi
Per questi sistemi, dal 2 agosto 2026 sono obbligatori: documentazione tecnica ex Allegato IV, registro degli incidenti, supervisione umana attiva e valutazione della conformità prima del deployment.
Gli obblighi EIOPA sulle linee guida AI: cosa chiedono concretamente
Le Guidelines on AI Governance di EIOPA (settembre 2023) traducono i principi generali in requisiti operativi per assicuratori e riassicuratori. I punti chiave sono:
Ogni modello AI deve avere un ciclo di vita documentato: sviluppo, validazione, deployment, monitoraggio e dismissione. La funzione attuariale deve essere coinvolta nella validazione dei modelli usati nel calcolo delle riserve tecniche.
I modelli di pricing non possono usare proxy discriminatori (es. codici postali come proxy di etnia). EIOPA richiede che le decisioni sui contratti siano spiegabili al contraente su richiesta — allineato all'art. 86 GDPR sul diritto alla spiegazione.
Tutte le decisioni rilevanti prese o supportate da AI devono essere tracciabili. IVASS in Italia ha recepito queste indicazioni nelle proprie Disposizioni sul governo societario, richiedendo che l'organo amministrativo approvi la strategia AI.
Intersezione Solvency II Pillar 2 e EU AI Act: il rischio operativo AI
Il Pillar 2 di Solvency II richiede che le compagnie identifichino e gestiscano tutti i rischi materiali, inclusi quelli operativi. L'adozione di sistemi AI introduce rischi operativi specifici che devono essere inclusi nell'ORSA (Own Risk and Solvency Assessment):
- Model risk: rischio che il modello produca output errati o distorti
- Data risk: qualità e rappresentatività dei dati di training
- Operational dependency: concentrazione su fornitori AI cloud
- Regulatory risk: non conformità con EU AI Act e future linee EIOPA
Le compagnie che non documentano questi rischi nell'ORSA 2026 rischiano rilievi da parte di IVASS nelle ispezioni in loco.
Come VeritasOS supporta la conformità Solvency II + EU AI Act
VeritasOS automatizza la parte documentale e di audit trail richiesta da entrambi i framework:
- Ogni output AI (pricing, liquidazione sinistri, prevenzione frodi) viene validato e certificato con timestamp RFC 3161 immutabile
- Il certificato
vrt:costituisce prova documentale per l'audit trail EIOPA - Il report mensile EU AI Act include le metriche di risk score aggregate per tipo di documento
- Le anomalie rilevate generano alert automatici per la funzione di compliance
Certifica la conformità dei tuoi documenti AI
Validazione automatica, certificato RFC 3161 immutabile e report EU AI Act pronti per audit e ispezioni.
Inizia il Trial Gratuito →