La comunicazione al mercato dell’Istituto avverte che i modelli di IA di frontiera comprimono i tempi tra la scoperta di una falla e il suo sfruttamento, spostando il vantaggio dalla parte di chi attacca. Consiglio di amministrazione e Collegio sindacale dovranno esaminarla e trasmettere una relazione con piano di lavoro entro il 31 dicembre 2026.
L’IVASS interviene sulla cybersicurezza con una comunicazione al mercato dedicata alla resilienza operativa digitale e ai modelli avanzati di intelligenza artificiale. Il messaggio alle imprese assicurative è diretto: le tecnologie emergenti stanno cambiando il quadro delle minacce e i presidi di sicurezza vanno adeguati con tempestività. Non un adempimento formale, ma una condizione per la continuità aziendale e per l’affidabilità dei servizi assicurativi e finanziari.
Perché l’IA sposta l’equilibrio tra attaccanti e difensori
Il punto di partenza dell’Istituto è tecnico. I modelli di ultima generazione sanno individuare le vulnerabilità dei sistemi software e generare al tempo stesso le modalità per sfruttarle, in tempi ridottissimi e senza bisogno di competenze specialistiche. Ne consegue una compressione dell’intervallo tra la scoperta di una falla e il suo utilizzo, e quindi una maggiore probabilità di attacchi efficaci.
Da qui la preoccupazione centrale: l’IA rischia di allargare l’asimmetria tra chi attacca e chi difende, a svantaggio di questi ultimi, al punto da richiedere un adattamento rapido delle imprese. Il riferimento normativo resta il Digital Operational Resilience Act, il regolamento DORA, i cui requisiti mantengono piena valenza anche in questo contesto: la comunicazione non lo sostituisce, vi si innesta. I destinatari sono le imprese di assicurazione e riassicurazione con sede legale in Italia e le rappresentanze generali per l’Italia delle imprese con sede in uno Stato terzo rispetto allo Spazio economico europeo.
La sicurezza informatica sale in consiglio
Il capitolo con più ricadute per il mercato riguarda il governo dell’impresa più che la tecnologia. Gli organi di amministrazione e gestione sono chiamati a rivedere il quadro di riferimento per la propensione al rischio, il RAF, così da incorporare i rischi delle tecnologie di frontiera in coerenza con le scelte strategiche, inclusi gli investimenti ICT e l’allocazione delle risorse. A loro spetta rafforzare i sistemi di governo e controllo, attribuire responsabilità chiare anche sulla gestione e la sicurezza dei dati e presidiare i fornitori esterni di servizi informatici con requisiti contrattuali adeguati su monitoraggio della sicurezza, gestione degli aggiornamenti e selezione ex ante.
C’è un passaggio che tocca la composizione stessa dei vertici: l’IVASS chiede che l’organo amministrativo annoveri componenti con competenze tecnologiche adeguate, anche in materia di intelligenza artificiale, e che disponga di un budget per la formazione continua. La sicurezza cessa così di essere una delega alla funzione informatica e diventa una responsabilità dichiarata del consiglio.
Igiene informatica, vulnerabilità e test: le aree da mettere in sicurezza
Accanto alla governance, l’Istituto elenca gli ambiti operativi su cui intervenire. L’igiene informatica passa da autenticazione e autorizzazione rigorose, gestione granulare degli accessi e monitoraggio costante, secondo il principio della difesa in profondità, con segmentazione delle reti per limitare la propagazione di eventuali compromissioni. La gestione delle risorse informatiche richiede inventari completi e aggiornati e una classificazione per criticità che tenga conto dell’esposizione diretta su internet e del ricorso al cloud, oltre alla modernizzazione delle infrastrutture legacy non più supportate.
Sul versante delle vulnerabilità servono scansioni più evolute, anche con l’ausilio dell’IA, e rimedi più tempestivi, con precedenza alle falle critiche, ai software open source e ai sistemi accessibili dall’esterno, dove pesano soprattutto le vulnerabilità zero-day per le quali non esiste ancora una correzione. Il monitoraggio e le misure di difesa vanno rafforzati su applicazioni, accessi e traffico di rete, compreso quello da e verso i fornitori terzi, integrando strumenti in grado di analizzare grandi volumi di dati e individuare anomalie in tempo reale, sincronizzati con l’inventario delle risorse. Chiudono il quadro i test di resilienza e i processi di risposta e recupero, con simulazioni di scenari realistici e via via più complessi, coerenti con DORA. La loro rilevanza cresce mano a mano che aumenta la probabilità di un incidente ICT.
Il nodo dei fornitori esterni
Un capitolo a parte riguarda la catena di fornitura. Il ricorso crescente a fornitori esterni amplia le vulnerabilità legate alla leva tecnologica: filiere articolate su più livelli e concentrate in pochi operatori possono trasformare una criticità circoscritta in un problema di ampia portata. Per l’Istituto le iniziative delle imprese devono essere sostenute anche dai fornitori, sui quali ricadono le medesime responsabilità di salvaguardia e continuità dei sistemi. È il fronte che collega più direttamente la disciplina all’ecosistema tecnologico su cui poggiano compagnie e distribuzione, dai gestori cloud alle piattaforme di servizio.
Consiglio e Collegio sindacale al lavoro, relazione entro il 31 dicembre
La parte finale fissa un percorso e una scadenza. Il Consiglio di amministrazione, in seduta congiunta con il Collegio sindacale, dovrà esaminare la comunicazione e avviare la stesura di una relazione che, distintamente per ciascuna delle aree indicate, rappresenti il livello di esposizione al rischio e l’adeguatezza dei presidi esistenti, individui le principali carenze e le relative priorità e definisca un piano di lavoro con azioni, tempi e investimenti proporzionati al profilo di rischio e alla complessità dell’impresa. Lo stesso piano dovrà indicare come il Consiglio verificherà l’avanzamento dei lavori.
Ogni impresa dovrà inoltre individuare e comunicare all’organo di vigilanza uno specifico punto di responsabilità aziendale, per esempio la funzione di controllo dei rischi ICT di secondo livello. La relazione, con allegato il piano di lavoro, andrà trasmessa all’IVASS entro il 31 dicembre 2026.
Per il mercato assicurativo la comunicazione segna un cambio di registro: la responsabilità della sicurezza informatica passa in modo esplicito ai vertici, con obiettivi da mettere a piano e una scadenza ravvicinata. Un tema che, lungo la filiera che lega compagnie, intermediari e fornitori tecnologici, difficilmente resterà confinato alle sole imprese destinatarie dell’atto.











