Il presente contributo tratta il tema dell’open insurance, uno dei fenomeni insurtech in maggiore crescita, analizzando le prospettive per l’anno 2023 e le principali strategie legali in materia.
Open insurance: definizione del fenomeno
Open insurance significa accesso e condivisione di dati personali e non personali relativi all’ambito assicurativo (come i dati del KYC – Know Your Customer, dati inerenti i premi pagati, le coperture, la denuncia e il risarcimento dei sinistri, i dati ricavati dai sensori IoT e così via), di solito tramite API (Application Programming Interface) standardizzate e interoperabili[1]. Condivisione che avviene tra compagnie assicurative, intermediari, ma anche imprese e organizzazioni non provenienti dal mondo assicurativo, come quelle del settore tecnologico. Pensiamo ai dati provenienti dai sensori IoT dei veicoli, tra cui quelli raccolti dagli stessi assicuratori attraverso i dispositivi telematici e quelli raccolti da terzi, inclusi i produttori di autoveicoli.
Fig. 1 – Framework di strategia open insurance (adattato e tradotto da Standaert e Muylle, 2022)
Malgrado l’assenza di un quadro normativo specifico per la condivisione sistematica di dati nel settore assicurativo, l’open insurance è uno dei fenomeni insurtech in maggiore crescita grazie alle iniziative di compagnie, intermediari e altri attori dell’ecosistema, che costituisce una leva essenziale per la digitalizzazione e innovazione dell’intero comparto.
Condivisione immediata, tempestiva e sicura di dati in ambito assicurativo tra compagnie, intermediari, banche, imprese tecnologiche e altri operatori per creare nuovi prodotti e servizi e migliorare quelli esistenti. Polizze on-demand, a consumo e parametriche, comparatori più efficaci e modalità innovative di gestione dei prodotti assicurativi sono soltanto alcuni esempi di ciò che un modello strutturato e regolamentato di open insurance promette di poter realizzare, in maniera simile alla Direttiva PSD2 per l’open banking[2].
Ad oggi non vi è, infatti, una normativa specifica volta a stabilire regole e perimetro del fenomeno e gli operatori interessati allo scambio e condivisione dei dati possono farlo soltanto stipulando tra loro accordi bilaterali o plurilaterali. Cresce anche la presenza sul mercato di player non provenienti dal mondo assicurativo, che da settore tradizionale dominato dall’impiego di sistemi di legacy chiusi e stratificati punta a diventare un ecosistema aperto basato su dinamiche collaborative tra incumbent e partner esterni. Secondo una recente analisi del mercato italiano gli attori non assicurativi erano 60 nel 2018 e saranno oltre 350 nel 2025[3]. La buona riuscita di progetti in ambito open insurance dipende anche da un’accurata analisi dei rischi legali e dalla definizione dell’architettura contrattuale, incluse le clausole chiave.
Open insurance: molti vantaggi e alcuni rischi
I vantaggi promessi da una diffusione ad ampio raggio dell’open insurance sono molteplici e interessano tanto gli operatori del settore, quanto i clienti e le Autorità di Vigilanza.
Dal punto di vista degli operatori una condivisione sistematica dei dati potrebbe portare a una generale ondata di innovazione, sia a livello di incumbent che di nuovi attori del mercato. Tra i potenziali benefici figurano una maggiore efficienza nella gestione dei processi e nel contrasto delle frodi, un incremento della concorrenza con la comparsa sul mercato di nuovi business model e un più rapido go-to-market.
Inoltre, l’accesso automatico ai dati degli assicurati e di altre fonti potrebbe facilitare e rendere più efficiente l’analisi e l’assunzione del rischio relativo alle polizze, a maggior ragione se in combinazione con strumenti di intelligenza artificiale e machine learning, tanto che sono state coniate le definizioni di “augmented underwriting” e “augmented automated underwriting”. Vi sono vantaggi anche per i broker, che grazie a una maggiore disponibilità e varietà di dati potrebbero essere messi in condizione di selezionare in modo più preciso e conveniente per i propri clienti i prodotti disponibili sul mercato e negoziarne le condizioni con le compagnie.
Lato clienti, i principali benefici dell’open insurance risiedono nell’offerta di prodotti assicurativi innovativi, in una più agevole comparabilità tra i prodotti delle diverse compagnie, ma anche in una maggiore trasparenza e facilità nel passaggio da un operatore all’altro. Non solo, lo scambio di dati tra operatori potrebbe anche accorciare il processo di KYC (Know Your Customer) e agevolare l’impiego di dashboard e piattaforme avanzate che consentano ai clienti di gestire con un’unica interfaccia i propri prodotti bancari e assicurativi assieme a servizi di terze parti, come quelli di pagamento, mobilità, salute e benessere e intrattenimento.
Anche le Autorità di Vigilanza potrebbero trarre vantaggio da un’ampia disponibilità di dati ed eventualmente da un accesso ad essi in tempo reale. Da un lato, aumenterebbe l’efficacia delle attività di supervisione e controllo, dall’altro diminuirebbe il tempo impiegato nella raccolta e verifica delle informazioni[4].
Accanto ai numerosi vantaggi promessi dall’adozione di un modello strutturato e regolamentato di open insurance, vi sono anche rischi di cui tenere conto. Una prima dimensione di rischio riguarda i clienti e le persone fisiche. Anzitutto, i dati potrebbero essere trattati al di fuori delle finalità e dei limiti consentiti o, ancor peggio, essere oggetto di data breach[5]. Rischio, questo, significativo e con conseguenze potenzialmente molto negative per le persone alle quali i dati si riferiscono se consideriamo il tipo di dati particolarmente sensibile che viene spesso impiegato in ambito assicurativo (stato di salute, sinistri, ecc.)[6]. Altri rischi riguardano, ad esempio, la sicurezza informatica e la possibilità che una maggior apertura delle infrastrutture degli operatori agevoli la circolazione di malware e la proliferazione di attacchi informatici, come pure la discriminazione nel momento in cui nuove modalità di calcolo dei premi rendano inaccessibili le coperture assicurative a determinati soggetti oppure, ancora, una prevalenza di distribuzione digitale escluda dal mercato quella parte di clientela meno avvezza all’utilizzo delle tecnologie digitali.
Vi è poi anche il rischio di effetti anticoncorrenziali, come la concentrazione di dati di qualità in pochi operatori e le barriere all’ingresso, di natura tecnologica, che potrebbero ostacolare gli sbocchi di mercato per i nuovi player.
Assenza di un quadro normativo specifico e differenze con il mondo bancario
Con la Direttiva PSD2 il legislatore europeo ha gettato le basi del modello open banking. Grazie alle normative nazionali di recepimento nei diversi Stati membri, a prestatori terzi di servizi di pagamento e di informazione è oggi consentito l’accesso ai conti di pagamento degli utenti, alle relative procedure di autenticazione e dati personali. L’accesso in questione è consentito a determinate condizioni e con il consenso degli utenti, a prescindere dall’esistenza di rapporti contrattuali tra i prestatori di servizi di pagamento di radicamento del conto e i prestatori terzi, senza che i primi possano imporre l’adozione di specifici modelli commerciali ai secondi.
Nonostante il “modello PSD 2” possa essere sfruttato anche dagli operatori del mondo assicurativo, il suo campo di applicazione è limitato ai conti di pagamento e ai relativi dati. Non vi sono, invece, normative assimilabili alla Direttiva PSD2 specificamente concepite per la condivisione sistematica di dati in ambito assicurativo.
Tra mondo bancario tradizionale e mondo assicurativo vi sono, infatti, differenze significative da considerare. Una delle principali è il tipo di dati trattati. I dati relativi ai prodotti assicurativi sono eterogenei, spesso molto delicati e in grado di rivelare informazioni sensibili sugli individui quali stato di salute, abitudini, mobilità e sinistri. Inoltre, le compagnie e gli altri soggetti che detengono i dati in questione li analizzano e rielaborano per proprie finalità interne e potrebbero essere riluttanti a concedere l’accesso a informazioni che rappresentano un vero e proprio patrimonio intangibile e sono spesso tutelate come segreti commerciali.
Ancora, soggetti non vigilati come le imprese tecnologiche e le big tech potrebbero finire per assumere il ruolo di principali attori dell’ecosistema open insurance, con ricadute operative non indifferenti. Da un lato, gli operatori in questione potrebbero avere accesso ai dati degli assicurati ma non concederlo ai propri database in condizione di reciprocità[7]. Dall’altro lato, potrebbero aumentare i rischi per i consumatori in quanto le entità in questione non sono soggette allo stesso livello di regolamentazione e supervisione e ad adeguati standard di tutela del consumatore e resilienza operativa come quelli previsti per i soggetti vigilati. Rispetto a quest’ultimo punto, il nuovo Regolamento Europeo sulla resilienza operativa e digitale per il settore finanziario (Regolamento “DORA”) si applicherà anche ai fornitori di servizi ICT e dovrebbe quindi contribuire a mitigare i rischi citati[8].
Altri elementi rilevanti che differenziano il settore assicurativo da quello dei servizi bancari e finanziari sono la maggior varietà e minor standardizzazione dei prodotti[9] e la minore presenza di touchpoint e interazione tra gli assicuratori e la loro clientela[10].
Per queste e altre ragioni che sono oggetto di valutazione da parte degli stakeholder interessati e delle istituzioni, un’applicazione “copia-e-incolla” del modello PSD2 in ambito assicurativo potrebbe non essere la strada giusta[11].
I contratti di open insurance
In assenza di un quadro normativo specifico per la condivisione sistematica e tempestiva dei dati in ambito assicurativo i progetti open insurance sono lasciati all’iniziativa privata e possono essere attuati tramite contratti stipulati dai soggetti coinvolti. Sul punto, oltre un terzo degli intervistati nell’ambito della consultazione EIOPA del 2021 ha risposto che open insurance continuerà a svilupparsi a prescindere dall’introduzione di un quadro normativo specifico[12].
I contratti in questione possono assumere diverse forme a seconda del tipo e della portata del progetto, dei soggetti interessati e delle giurisdizioni coinvolte. Alcune fattispecie prevedono la mera fornitura di tecnologia da un soggetto ad un altro, riconducibile ad un appalto/somministrazione di servizi[13] (come la fornitura di servizi basati su cloud alle compagnie assicurative per la digitalizzazione di determinati processi), altre contratti di licenza o cessione di informazioni anonimizzate qualificabili come segreto commerciale o banche dati sui generis[14] o, ancora, accordi sul trattamento di dati personali. Quando i progetti di open insurance prevedono orizzonti temporali di lungo periodo e contributi di una certa entità da parte dei partecipanti, quali dati, tecnologia e know-how (ad es. basi clienti, processi e modelli operativi, ecc.), non è infrequente che assumano anche la forma di partnership, joint venture societarie o contrattuali, oppure consorzi e società consortili[15]. Questo è il caso, ad esempio, dello sviluppo di prodotti o servizi innovativi in ambito assicurativo in tandem tra operatori e imprese tecnologiche (pensiamo alla distribuzione digitale delle polizze, a programmi di ricompensa per comportamenti salutari, o alla digitalizzazione dei processi di denuncia e liquidazione sinistri).
Fig. 2 – Ecosistema open insurance basato sull’assicurazione auto (EIOPA 2021)
I progetti di open insurance richiedono un’accurata analisi preventiva. L’architettura contrattuale disegnata per l’operazione deve poter operare in maniera conforme alla legge, in particolare rispetto alla normativa di settore e a quella sulla privacy e la protezione dei dati personali. Inoltre, deve essere gestito con attenzione e analisi specifiche l’eventuale impiego di tecnologie avanzate, quali i sistemi di intelligenza artificiale o la blockchain e altre tecnologie basate su registri distribuiti (DLT). Laddove il progetto venga lanciato in diversi paesi e giurisdizioni l’analisi dovrà anche tenere conto delle specificità del quadro normativo locale e sarà essenziale un buon project management.
Quanto ai contratti, dovrebbero contenere una serie di elementi imprescindibili: gli impegni assunti dalle parti e le garanzie fornite rispetto agli obiettivi del progetto, al tipo e alla qualità di dati coinvolti, ai relativi flussi e al perimetro di sfruttamento, alla conformità alla normativa applicabile lungo tutta la catena di trattamento a partire dalla raccolta, alla governance dei dati e del progetto stesso, all’interoperabilità dei sistemi informatici e API delle parti, a particolari configurazioni dell’architettura hardware e software e alle misure di sicurezza tecniche e organizzative da adottare.
Altro tema rilevante rispetto al trattamento dei dati personali sono l’offshoring e i trattamenti di dati extra-UE, rispetto ai quali occorre accertarsi che i trasferimenti verso paesi terzi siano effettuati secondo quanto disposto dalla normativa vigente. Qualora oggetto del contratto siano dati anonimizzati, che non ricadono quindi nel campo di applicazione della normativa in materia di protezione dei dati personali, il soggetto che li riceve dovrà assicurarsi che la tecnica di anonimizzazione impiegata sia in linea con i più elevati standard tecnologici e che dai dati in questione non si possa più risalire alle persone fisiche cui fanno riferimento.
Dal punto di vista della proprietà intellettuale, vanno identificati gli istituti giuridici mediante i quali viene realizzata l’eventuale cessione o licenza dei dati e regolata la titolarità (o contitolarità) di qualsiasi elaborazione o opera derivata ricavate dai dati di partenza.
Oltre alle disposizioni contrattuali inerenti la nascita e la “vita” del rapporto contrattuale, è necessario considerare anche le circostanze che potrebbero giustificarne la cessazione e le conseguenze in termini di operatività che essa potrebbe comportare.
Verso una normativa specifica?
Gli operatori del settore si aspettano che già nel corso del 2023 possano essere presentate proposte a livello europeo per una regolamentazione specifica dell’open insurance. Esse dovrebbero avere ad oggetto sia un sostrato di norme giuridiche volte a disciplinare accesso e condivisione sistematica dei dati, che gli standard tecnici (ad esempio, in termini di API) richiesti per consentire una piena operatività dell’ecosistema, anche eventualmente in forma di delega alle Autorità competenti. Nel frattempo molti operatori hanno aderito a iniziative di open insurance di natura associativa, con l’obiettivo di stabilire standard comuni per le API e di portabilità dei dati. Una di queste è Open Insurance Initiative Network (OPIN), a cui hanno aderito 61 imprese di tutto il mondo[16]. Altre iniziative sono la Free Insurance Data Initiative (FRIDA)[17] e l’Osservatorio Open and Embedded Insurance in collaborazione tra Italian Insurtech Association e Accenture[18].
Lato EIOPA, nel giugno 2022 l’Autorità ha presentato i risultati della consultazione pubblica svolta nel 2021 assieme a un nuovo discussion paper[19].
Fig. 3 – Categorie di intervistati nella consultazione pubblica EIOPA in materia di open insurance (EIOPA 2022)
Di particolare interesse sono le risposte fornite dai partecipanti alla consultazione rispetto all’adeguatezza del quadro normativo attuale in materia di open insurance. Mentre più della metà (52%) degli intervistati non lo ritiene adeguato per la gestione dei rischi, il 18% ritiene che lo sia. La maggior parte degli stakeholder ha inoltre evidenziato l’importanza del principio del level playing field, ossia “stessa attività, stessi rischi, stesse regole”, della convergenza delle attività di vigilanza e la necessità che le Autorità dispongano di risorse adeguate (personale, bilancio, competenze tecniche).
In sintesi, dalla consultazione EIOPA emerge che gran parte degli operatori del settore vedono con favore l’adozione di un quadro normativo simile a PSD2 per la condivisione sistematica e obbligatoria dei dati in ambito assicurativo. Tuttavia, per una parte degli intervistati l’approccio migliore consisterebbe nell’autoregolamentazione. Un gruppo minoritario ritiene, infine, che la condivisione di legge dovrebbe limitarsi soltanto a determinati tipi di dati (dati raccolti dai sensori IoT o soltanto in relazione ad alcune linee di business e/o rispetto a determinati specifici prodotti)[20].
Un tratto comune alle risposte di molti dei partecipanti alla consultazione è l’esigenza di garantire che la regolamentazione, in generale, non ostacoli le iniziative volontarie di open insurance basate sui contratti tra le parti. In attesa, dunque, di possibili sviluppi del quadro normativo, l’open insurance continua a correre e crescere tramite le iniziative volontarie degli operatori, costituendo uno dei filoni di sviluppo più promettenti dell’insurtech dei prossimi anni in termini di investimenti e innovazione.
[1] EIOPA, Open Insurance: accessing and sharing insurance related data discussion paper, 2021, disponibile all’indirizzo. Un’API, per esteso Application Programming Interface, è un insieme di funzioni e procedure che consentono la creazione di applicazioni che accedono alle funzionalità o ai dati di un sistema operativo o di un altro servizio. A livello di definizioni di “open insurance”, Standaert e Muylle si spingono più in là, contemplando anche le finalità del fenomeno: “Open insurance is insurance in which proprietary, risk-related, and other data is exchanged with third parties to (1) enhance the efficiency of internal insurance processes, and (2) expand the markets for insurance beyond current products and ecosystems” (Standaert e Muylle, Framework for open insurance strategy: insights from a European study, in The Geneva Papers on Risk and Insurance – Issues and Practice (2022) 47:643–66). Accenture, invece, pone l’accento sui vantaggi di open insurance: “Open insurance is a new way of doing business that enables insurers to boost revenues, increase efficiencies, gain business partners and reach many more consumers. It requires carriers to open their data resources to other organizations and to share and consume data and services from many sources and across lots of industries. This allows insurers to create new value propositions, generate fresh revenue streams and deepen their relationships with customers” (Jean-François Gasc, The Ultimate Guide to Open Insurance, Accenture, 2020, al link).
[2] Direttiva (UE) 2015/2366 del Parlamento Europeo e del Consiglio del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE, recepita in Italia con D. lgs. n. 218 del 15 dicembre 2017, disponibile qui: EUR-Lex – 02015L2366-20151223 – EN – EUR-Lex (europa.eu).
[3] Ricerca Italian Insurtech Association, in collaborazione con YOLO, 2022. Secondo la ricerca l’incremento maggiore di soggetti non assicurativi nell’ecosistema open insurance e, più in generale, nel settore assicurativo, riguarderà in special modo il distribution & retail (circa il doppio dei player attuali), le utilities (circa tre volte), il mondo bancario tradizionale (circa sei volte), la mobilità (circa il doppio) e l’ambito software (circa dieci volte).
[4] In materia di Supervisory Technology (SupTech), EIOPA ha pubblicato una strategia nel 2020, disponibile all’indirizzo https://www.eiopa.europa.eu/document-library/strategy/supervisory-technology-strategy_en.
[5] In base all’art. 4, n. 12, Reg. UE 2016/679 (GDPR), per “violazione dei dati personali” o “data breach” si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
[6] Dati che nella maggior parte dei casi, in ambito GDPR, rientrano nelle “categorie particolari di dati” ex art. 9, definiti nell’ambito del precedente impianto della normativa in materia di protezione dei dati personali come “dati sensibili”.
[7] Il tema è stato sollevato, tra gli altri, nell’ambito del Convegno Open Banking e Open Insurance del 19 maggio 2022 organizzato dalla Fondazione CESIFIN e da AIDA Sezione Toscana, in particolare nella relazione del Segretario Generale di IVASS, dott. Stefano De Polis, il cui intervento è disponibile qui: IVASS – Open Insurance: il punto di vista del regolatore. Il punto è emerso anche nelle risposte fornite dagli intervistati nell’ambito della consultazione EIOPA del 2021 (v. nota 10 sotto).
[8] Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/101, disponibile qui: EUR-Lex – 32022R2554 – EN – EUR-Lex (europa.eu).
[9] Gollier, About the insurability of catastrophic risks, in The Geneva Papers on Risk and Insurance—Issues and Practice, 22 (2), 1997, 177–186. https://doi.org/10.1057/gpp.1997.13. Il punto è stato evidenziato anche da alcuni intervistati nell’ambito della consultazione pubblica di EIOPA del 2021 (v. nota 3 sopra), come descritto nel Feedback Statement del 15 giugno 2022 che illustra l’esito della consultazione (v. nota 12 sotto).
[10] Järvinen, Lehtinen, e Vuorinen, Options of strategic decision making in services, in European Journal of Marketing, 37 (5/6), 2003, 774–795, disponibile qui: https://doi.org/10.1108/03090560310465143. Il punto è stato evidenziato anche da alcuni intervistati nell’ambito della consultazione pubblica di EIOPA del 2021 (v. nota 3), come descritto nel Feedback Statement del 15 giugno 2022 che illustra l’esito della consultazione (v. nota 11).
[11] Questa, tra le altre, è la posizione di Insurance Europe, espressa nel position paper “Insurance Europe views on a possible open finance framework” del 4 maggio 2022, disponibile qui: Insurance Europe views on a possible open finance framework.indd. Inoltre, la posizione è condivisa dalla maggior parte degli intervistati nell’ambito della consultazione pubblica di EIOPA del 2021 (v. nota 3 sopra), come descritto nel Feedback Statement del 15 giugno 2022 che illustra l’esito della consultazione. Il documento è disponibile qui: Feedback Statement on Open Insurance : accessing and sharing insurance-related data | Eiopa (europa.eu)
[12] EIOPA Feedback Statement 2022, cit., p. 11.
[13] Artt. 1655 e ss. e 1559 e ss. Codice Civile.
[14] Artt. 98 e ss. Codice della Proprietà Industriale e 64-quinquies e ss. e 102-bis e ss., Legge Autore.
[15] Artt. 2602 e ss. e 2615-ter Codice Civile.
[16] Dati del 2022. Per maggiori informazioni, si veda https://openinsurance.io/.
[17] Per maggiori informazioni, si veda: FRIDA – Die Open Insurance Initiative in Deutschland (freeinsurancedata.de).
[18] Per maggiori informazioni, si veda: Osservatorio Open and Embedded Insurance | IIA – Italian Insurtech Association (insurtechitaly.com).
[19] V. nota 11.
[20] EIOPA Feedback Statement 2022, cit., p. 13.
