Blockchain nel settore assicurativo: sfide e opportunità

/ Diritto delle assicurazioni, Diritto delle nuove tecnologie / Di
Tempo di lettura stimato:13 Minuti, 7 Secondi

La tecnologia blockchain, con l’ausilio degli smart contracts, sta rivoluzionando l’industria assicurativa, introducendo automazione, trasparenza e sicurezza senza precedenti. Queste innovazioni, nel contesto dell’InsurTech (Insurance Technology), offrono potenzialità immense sia per le operazioni di onboarding dei clienti sia per le procedure di indennizzo, aprendo la strada a nuovi modelli di business e migliorando l’efficienza operativa.

Senza alcuna pretesa di esaustività, prima di entrare nel merito ci sembra opportuno delineare a grandi linee il contesto di riferimento. Ed allora, come abbiamo avuto modo di vedere in un precedente contributo (premere qui per leggere) la blockchain è un registro decentralizzato e condiviso che sfrutta la tecnologia peer-to-peer per registrare e validare in modo sicuro e immutabile gli scambi di dati. Esistono sostanzialmente tre tipologie principali di blockchain:

  • pubblica (permissionless): accessibile a chiunque, caratterizzata da un alto grado di decentralizzazione;
  • privata (permissioned): accessibile solo su invito della società gestente;
  • consortile: riservata ai membri di un consorzio specifico.

Gli smart contracts (premere qui per approfondire) non sono contratti tradizionali, ma protocolli informatici deterministici che automatizzano l’esecuzione degli accordi una volta soddisfatte determinate condizioni (logica “se…allora…”, premere qui per approfondire). Questa automazione riduce il bisogno di intermediari, aumentando efficienza e sicurezza grazie all’immutabilità delle transazioni.

Ora, venendo all’ambito assicurativo, l’impiego della blockchain in tale settore si concentra essenzialmente su due aree principali, l’indennizzo e l’onboarding.

In merito alla prima area vi è da dire che la gestione dei sinistri può essere automatizzata e resa più efficiente grazie agli smart contracts, che eseguono il risarcimento in modo oggettivo e trasparente, con un approccio che riduce le dispute sull’ammontare del risarcimento, velocizzando il processo e migliorando anche la gestione delle frodi. Ma vediamo come.

Gli smart contracts sono protocolli informatici che eseguono automaticamente le clausole di un contratto al verificarsi di condizioni predeterminate. Quindi quando si verifica un sinistro, gli smart contracts raccolgono ed elaborano dati verificabili tramite oracoli (no, non quello di Delfi, ma fonti esterne affidabili come sensori IoT, database pubblici, etc.). Se i dati soddisfano i criteri prestabiliti (ad esempio, un ritardo aereo superiore a 3 ore), l’indennizzo viene automaticamente eseguito senza necessità di ulteriori verifiche o interventi umani.

Uno dei maggiori vantaggi (ma anche dei rischi) degli smart contracts è dunque l’oggettività nella determinazione dell’indennizzo. Poiché le condizioni per l’attivazione del pagamento sono predefinite e trasparenti, si eliminano sia le interpretazioni soggettive da parte degli operatori assicurativi, sia le ambiguità contrattuali che potrebbero generare controversie.

Quello che è importante capire è che i dati utilizzati per la verifica (come ad esempio il tempo di ritardo di un volo, o l’entità dei danni rilevati da sensori) vengono registrati sulla blockchain in modo immutabile e tracciabile, garantendo trasparenza totale nei confronti di tutte le parti coinvolte.

Ad esempio, in caso di sinistro stradale, i dati raccolti dai sensori dell’auto (accelerometri, GPS) potrebbero determinare con precisione non solo la dinamica dell’incidente, ma anche la responsabilità delle parti e soprattutto l’entità del danno.

Queste informazioni, poi, vengono automaticamente confrontate con i criteri contrattuali definiti nello smart contract. Se i parametri corrispondono, l’indennizzo viene liquidato immediatamente senza ulteriori verifiche o contenziosi.

Inutile dire che tutto questo permetterebbe di ridurre i tempi di elaborazione delle pratiche, eliminare i passaggi burocratici tradizionali e soprattutto di eseguire i pagamenti in tempo pressoché reale.

Grazie all’interazione diretta tra smart contract e sistemi di pagamento digitale, infatti, l’indennizzo può essere trasferito istantaneamente al beneficiario una volta verificata la sussistenza delle condizioni contrattuali. Questo non solo migliora l’esperienza del cliente, ma riduce i costi operativi per la compagnia assicurativa.

Se consideriamo poi che la blockchain garantisce l’immutabilità e la tracciabilità di tutte le transazioni e i dati associati ai sinistri, possiamo facilmente notare come si ridurrebbe drasticamente le possibilità di frode assicurativa.

In particolare, la registrazione immutabile dei dati renderebbe pressoché impossibile la manipolazione retroattiva delle informazioni relative al sinistro (questo almeno fino a quando non verrà liberata su larga scala la potenza del calcolo quantistico). E’ facile intuire come l’uso di dati verificabili e oggettivi limita le possibilità di falsificazioni (es. sinistri simulati o esagerati).

La trasparenza delle transazioni, poi, consente audit completi e rapidi da parte delle autorità di vigilanza e dei revisori interni.

Un esempio pratico può essere rappresentato dall’uso di oracoli nelle polizze di viaggio: i dati sui ritardi dei voli provengono da fonti certificate (es. compagnie aeree, aeroporti) e vengono automaticamente confrontati con i termini contrattuali dello smart contract, evitando richieste fraudolente.

Con riguardo invece all’altra area di applicazione della blockchain nel settore assicurativo e cioè l’onboarding, vi è da dire che l’adozione di questa tecnologia consentirebbe di semplificare la procedura di Know Your Customer (KYC), migliorando l’affidabilità dei dati e riducendo il rischio di frode. Attraverso infatti una blockchain privata o consortile, le compagnie potrebbero accedere a database crittografati, validati e condivisi, rendendo più efficiente la raccolta di informazioni e garantendo un’esperienza utente più fluida.

Come sappiamo la procedura di Know Your Customer (KYC) è un requisito fondamentale per le compagnie assicurative al fine innanzitutto di verificare l’identità dei client e valutare il rischio associato a ciascun assicurato, ma poi anche di prevenire il riciclaggio di denaro e il finanziamento del terrorismo, in conformità alle normative antiriciclaggio (AML).

Ad oggi è un processo lento e costoso, la verifica dell’identità richiede tempo e risorse per raccogliere, verificare e archiviare i documenti, con seri rischi di frode e furto d’identità. I dati personali archiviati in sistemi centralizzati poco protetti sono più vulnerabili a violazioni di sicurezza e attacchi informatici.

Senza considerare il fatto poi che i clienti devono fornire ripetutamente le stesse informazioni a diverse istituzioni finanziarie, aumentando la frammentazione dei dati e la ridondanza delle verifiche.

Ma l’adozione della blockchain risolverebbe le summenzionate problematiche grazie a un registro decentralizzato, immutabile e condiviso che consentirebbe alle compagnie assicurative innanzitutto di verificare l’identità dei clienti in modo rapido e sicuro, ma poi anche di condividere dati crittografati e validati con altre istituzioni finanziarie in un ambiente protetto e trasparente, e di semplificare la raccolta delle informazioni, riducendo tempi e costi operativi.

In particolare, l’uso di una blockchain privata o consortile offrirebbe alle compagnie assicurative un accesso sicuro a un database condiviso contenente le informazioni KYC già validate da altre istituzioni partecipanti. E questo consentirebbe di riutilizzare i dati già verificati, evitando la ripetizione delle procedure KYC per ogni nuova richiesta assicurativa.

Ma vediamo ancora meglio.

Il processo di KYC su blockchain si articola in 4 fasi principali:

  1. Raccolta e verifica dell’Identità:
    • il cliente fornisce i propri dati personali e documenti identificativi (es. passaporto, patente, prova di residenza) a una entità verificatrice (es. banca, ente governativo);
    • l’entità verificatrice convalida l’identità del cliente utilizzando metodi tradizionali (es. confronto facciale, verifica dell’autenticità dei documenti);
    • una volta verificata l’identità, i dati crittografati e la conferma della verifica vengono registrati sulla blockchain.
  2. Tokenizzazione e archiviazione sicura:
    • i dati sensibili del cliente vengono tokenizzati (convertiti in codici alfanumerici) per garantirne l’anonimizzazione e la sicurezza;
    • solo l’hash crittografico dei dati viene memorizzato sulla blockchain, mentre le informazioni originali vengono archiviate off-chain in server sicuri o repository digitali.
  3. Condivisione e riutilizzo dei dati KYC:
    • quando il cliente si rivolge a una nuova compagnia assicurativa, quest’ultima può richiedere l’accesso ai dati KYC già verificati;
    • utilizzando uno smart contract, il cliente autorizza l’accesso ai propri dati. La nuova compagnia accede alle informazioni già validate attraverso la blockchain consortile;
    • l’accesso ai dati è tracciabile e immutabile, garantendo trasparenza e sicurezza.
  4. Aggiornamento dei dati KYC:
    • se il cliente aggiorna i propri dati (es. cambio di indirizzo), le modifiche vengono validate dall’entità verificatrice e aggiornate sulla blockchain;
    • la modifica viene registrata come un nuovo blocco collegato ai precedenti, garantendo la tracciabilità storica delle variazioni.

Da tutto ciò deriverebbero notevoli vantaggi in termini di affidabilità dei dati e riduzione delle frodi. La tokenizzazione e la crittografia dei dati, infatti, garantiscono un elevato livello di anonimato, riducendo sensibilmente i rischi di furto di identità. Una volta registrati, i dati non possono essere modificati retroattivamente, garantendo una integrità e affidabilità delle informazioni ad oggi difficilmente garantibile. Tutti gli accessi e le modifiche ai dati KYC, inoltre, vengono registrati sulla blockchain in modo trasparente e verificabile, rendendo difficile qualsiasi tentativo di manomissione o frode.

Ma non è così semplice.

L’adozione della blockchain per le procedure di Know Your Customer (KYC) pone sfide significative dal punto di vista normativo, soprattutto in materia di protezione dei dati personali e privacy. In particolare, il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea impone, com’è noto, requisiti rigorosi per la protezione dei dati personali.

Il primo ostacolo da superare è la gestione del diritto all’oblio (art. 17 GDPR). Gli interessati, infatti, hanno infatti, in determinati casi, il diritto di richiedere la cancellazione dei propri dati personali, ma questa natura immutabile della blockchain rende difficile modificare o eliminare i dati una volta registrati.

Il secondo ostacolo è rappresentato dal principio della limitazione della conservazione dei dati (art. 5 GDPR). In base a tale principio, infatti, i dati personali dovrebbero essere conservati solo per il tempo necessario al raggiungimento delle finalità per cui sono stati raccolti. Sulla blockchain, invece, i dati vengono archiviati permanentemente.

Il terzo ostacolo, è poi rappresentato dal serio problema del trasferimento dei dati a Paesi terzi (problema sviscerato approfonditamente su questo portale, premere qui per leggere): La blockchain, infatti, opera su una rete globale di nodi, che potrebbero facilmente trovarsi in Paesi extra-UE privi di adeguate tutele per la protezione dei dati personali.

Il quarto ostacolo è invece costituito dal fatto che il GDPR impone l’obbligo di identificare il titolare del trattamento (colui che determina le finalità e i mezzi del trattamento dei dati) e il responsabile del trattamento (colui che elabora i dati per conto del titolare). Ma nelle blockchain pubbliche e decentralizzate, non esiste un titolare del trattamento identificabile, poiché ogni nodo della rete partecipa alla verifica e alla registrazione delle transazioni, e questo crea incertezza giuridica su responsabilità e obblighi di conformità.

La questione potrebbe essere diversa per le blockchain consortili, ma in questo caso i partecipanti al consorzio potrebbero essere co-responsabili del trattamento, rendendo complessa l’attribuzione delle responsabilità in caso di violazione dei dati o mancata conformità al GDPR.

Il quinto ostacolo è rappresentato dalla standardizzazione dei dati e dal doverli rendere interoperabili. Per garantire un riutilizzo efficiente dei dati KYC su diverse piattaforme blockchain, sarebbe infatti necessario innanzitutto collaborare con enti normativi e standardizzazione (es. ISO, IEEE) per sviluppare linee guida unificate sull’uso della blockchain per il KYC, e quindi procedere a standardizzare i formati dei dati KYC per garantire interoperabilità tra diverse blockchain. E poi bisognerebbe uniformare i protocolli di consenso e gli algoritmi di hashing, in modo che i dati registrati siano compatibili e leggibili su più reti.

Il sesto è ultimo ostacolo è costituito dal fatto che l’uso della blockchain per richiede un livello elevato di sicurezza informatica. Sebbene infatti sia un sistema senz’altro più sicuro di quelli adottati adesso, non è certamente esente da potenziali data breach da parte di malintenzionati o comunque da attacchi informatici volti alla compromissione degli smart contracts utilizzati per gestire le autorizzazioni dei dati KYC, ad esempio, che potrebbero contenere vulnerabilità nel codice. C’è da aspettarsi in chiave futura rischi di attacchi collaterali come il 51% attack, in cui un singolo attore acquisisce il controllo della maggioranza dei nodi della rete, modificando o falsificando i dati.

Ecco, non ci sembra questa la sede più opportuna per proporre soluzioni concrete ai problemi sopra accennati, ma, sempre senza alcuna pretesa di esaustività, ci piacerebbe per lo meno indicare delle strade percorribili.

Una di esse potrebbe sicuramente essere quella della tokenizzazione e off-chain storage: i dati personali potrebbero essere tokenizzati (cioè trasformati in identificatori crittografici anonimi) o archiviati off-chain su server sicuri, mentre ad essere registrato sulla blockchain sarebbe solo un hash crittografico. In questo modo, si garantirebbe la conformità al GDPR, mantenendo l’immutabilità della blockchain.

Altra strada potrebbe essere quella di utilizzare blockchain private o consortili, con un accesso controllato e limitato ai nodi: questo permetterebbe di mantenere un maggiore controllo sui dati e di rispettare le normative sulla protezione dei dati personali.

Si potrebbero poi sviluppare accordi di co-titolarità per i consorzi blockchain, definendo chiaramente ruoli, responsabilità e obblighi di ciascun partecipante in conformità al GDPR (Art. 26), designando un gestore della Blockchain (ad esempio un fornitore di servizi) come responsabile del trattamento, che assuma quindi la responsabilità della sicurezza dei dati e della conformità normativa.

Ancora, ci sembra opportuno l’utilizzo di standard aperti come il decentralized identifier (DID) e il verifiable credential (VC) del World Wide Web Consortium (W3C) per garantire interoperabilità e portabilità dei dati.

Una ulteriore strada che ci permettiamo suggerire è quella della collaborazione intersettoriale. La creazione, cioè, di consorzi intersettoriali per sviluppare best practices e linee guida comuni sull’implementazione della blockchain per il KYC.

Sul fronte della sicurezza, invece, andrebbero utilizzati algoritmi crittografici avanzati e autenticazione multi-fattore per garantire sicurezza e integrità dei dati. Si dovrebbero poi eseguire audit periodici di sicurezza e test di penetrazione sugli smart contracts per identificare e correggere eventuali vulnerabilità, e in generale implementare un elevato grado di decentralizzazione e ridondanza dei nodi per garantire resilienza e sicurezza contro attacchi informatici.

In definitiva, la blockchain, in sinergia con gli smart contracts, può rappresentare un serio cambiamento di paradigma per l’industria assicurativa. I benefici in termini di efficienza, sicurezza e personalizzazione sono evidenti, ma l’adozione su larga scala richiederà un’evoluzione normativa per garantire conformità legale e protezione dei consumatori, richiederà educazione e formazione per migliorare la comprensione tecnologica degli utenti, e soprattutto richiederà collaborazione tra stakeholder (compagnie assicurative, autorità di vigilanza, sviluppatori di blockchain) per un’implementazione responsabile e sicura.

La tecnologia blockchain ha certamente il potenziale di trasformare radicalmente il settore assicurativo, rendendolo più trasparente, efficiente e orientato al cliente, ma per realizzare appieno queste potenzialità, a nostro sommesso avviso, sarà necessario un approccio olistico, che contempli innovazione tecnologica, adeguamento normativo e protezione dei diritti degli utenti.

Per approfondire:

- D. TAPSCOTT & A. TAPSCOTT, Blockchain Revolution: How the Technology Behind Bitcoin Is Changing Money, Business, and the World, 2016, Penguin;

- W. MOUGAYAR, The Business Blockchain: Promise, Practice, and Application of the Next Internet Technology, 2016, Wiley.;

- M. J. CASEY & P. VIGNA, The Truth Machine: The Blockchain and the Future of Everything, 2018 St. Martin's Press;

- A. NARAYANAN, J. BONNEAU, E. FELTEN, A. MILLER, & S. GOLDFEDER, Bitcoin and Cryptocurrency Technologies: A Comprehensive Introduction, 2016, Princeton University Press; 

- A. ZOHAR, Bitcoin: under the hood., 2018, Communications of the ACM, 58(9), 104-113;

- K. WERBACH, Blockchain and the New Architecture of Trust, 2018, MIT Press;

- European Data Protection Board (EDPB), Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, 2018, Retrieved from https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22018-derogations-article-49-under-regulation-2016679_en;

- Financial Action Task Force (FATF), Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers, 2019 Retrieved from https://www.fatf-gafi.org/publications/fatfrecommendations/documents/guidance-rba-virtual-assets.html;

- World Intellectual Property Organization (WIPO), WIPO Technology Trends 2019: Artificial Intelligence, Retrieved from https://www.wipo.int/tech_trends/en/artificialintelligence/

- World Economic Forum (WEF), Central Bank Digital Currency Policy-Maker Toolkit, 2020, Retrieved from https://www.weforum.org/whitepapers/central-bank-digital-currency-policy-maker-toolkit;

- N. SZABO, Smart Contracts,1994; 

- M. ATZORI, Blockchain Technology and Decentralized Governance: is the State still necessary?, SSRN, 2015; 

- M. FINK, Blockchain Regulation and Governance in Europe, 2018; 

- M. MAUGERI, Smart contracts e disciplina dei contratti, Bologna, 2021; 

- F. DI CIOMMO, Smart contract e (non-) diritto. Il caso dei mercati finanziari, in Nuovo diritto civile, 2019; 

- A.M. BENEDETTI, Contratto, algoritmi e diritto civile transnazionale: cinque questioni e due scenari, in Riv. dir. civ., 2021.
The following two tabs change content below.
Il mio profilo FacebookIl mio profilo LinkedIn

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi
*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.
error: Misure tecnologiche di protezione attive ex art. 11 WIPO Copyright Treaty, §1201 del DMCA, art. 6, dir. 29/2001/CE, art. 102-quater, l. 22 aprile 1941, n. 633, art. 171-ter, l. 22 aprile 1941, n. 633.