Assicurazione della responsabilità civile automobilistica e portabilità dei dati

Assicurazione della responsabilità civile automobilistica e scatole nere: il quadro giuridico

Il dato è notorio: il nostro paese è divenuto negli ultimi dieci anni il leader in Europa nel settore dell'assicurazione civile automobilistica (rc auto) tramite scatole nere: le polizze rc auto che integrano entro i tradizionali modelli assicurativi i dati provenienti da un dispositivo connesso costituiscono circa un quinto dell'intero mercato. Il primato italiano si spiega in ragione dei benefici connessi alle assicurazioni telematiche, che consistono essenzialmente nella promessa di una profilazione più accurata del rischio proprio agli assicurativi e nella conseguente possibilità di riduzione dei premi per i guidatori virtuosi. Ma hanno sicuramente aiutato anche i numerosi interventi normativi adottati nell'ultima decade per incentivare il ricorso a simili strumenti.

Al di là di alcune misure emanate nel 2010 e nel 2012 (rispettivamente con la legge 29 luglio 2010, n. 120 e con il decreto-legge 24 gennaio 2012, n. 1, poi convertito, con modificazioni, nella legge 24 marzo 2012, n. 27), merita in particolare ricordare la riforma realizzata dalla Legge annuale per il mercato e la concorrenza nel 2017 (Legge 4 agosto 2017, n. 124). Quest'ultima ha introdotto entro il Codice delle assicurazioni private (D.lgs. 7 settembre 2005, n. 209) due nuovi articoli: l'articolo 132-ter e l'articolo 145-bis. Il primo obbliga le compagnie assicurative a offrire un significativo sconto agli assicurati ogni qual volta questi ultimi acconsentano all'installazione di una scatola nera sul loro veicolo per registrare l'attività dello stesso e raccogliere dati a fini tariffari e di determinazione della responsabilità in occasione dei sinistri; tale sconto deve poi essere maggiorato quando l'assicurato sia residente in una provincia ad altra sinistrosità e non abbia mai provocato sinistri con responsabilità esclusiva o principale o paritaria negli ultimi quattro anni, in base a quanto riportato sull'attestato di rischio. Dal canto suo, l'articolo 145-bis precisa che le compagnie devono in ogni caso rispettare la normativa in materia di protezione dei dati personali e aggiunge che le risultanze della scatola nera fanno piena prova, nei procedimenti civili, dei fatti ai quali si riferiscono, salva solo la possibilità che la parte contro la quale quelle risultanze sono prodotte riesca a dimostrare il mancato funzionamento o la manomissione del dispositivo (articolo 145-bis, 2° comma, Codice delle assicurazioni private; sul punto, una recente pronuncia della Corte di Cassazione ha chiarito come le registrazioni delle scatole nere non possano ancora essere considerate una prova piena, in assenza dei decreti attuativi dell'art. 145-bis che dovrebbero definire in modo dettagliato le modalità di acquisizione, conservazione e valutazione dei dati raccolti: Cass. civ., sez. III (ordinanza), 16 maggio 2024, n. 13725).

La fidelizzazione forzata dei consumatori e l'attuale riforma

Una volta approvata la riforma del 2017, ci si è però resi conto di alcune controindicazioni legate al nuovo regime. In sostanza, la personalizzazione algoritmica offerta dalla polizza telematica tramite scatola nera creerebbe un effetto di dipendenza dell'assicurato nei confronti della compagnia assicurativa che gestisce il dispositivo, visto che solo quell'impresa conosce nel dettaglio le sue caratteristiche di guidatore. Tale dipendenza – che prende il nome di fidelizzazione forzata e, in inglese, di lock-in – costituirebbe un disincentivo molto potente a cambiare compagnia, specialmente per i guidatori virtuosi che rientrano nelle categorie statisticamente considerate più a rischio (come ad esempio i giovani, i neo-patentati, i residenti in zone ad alta sinistrosità): l'ottima reputazione di questi conducenti in barba ai grandi numeri, infatti, resterebbe nota solo alla loro assicurazione. Di qui l'idea, diffusa in tutte le discussioni riguardo i mercati dell'economia digitale, che sia necessario forzare le imprese allo scambio delle informazioni relative agli utenti, così da favorire direttamente la concorrenzialità del mercato e indirettamente la protezione dei consumatori.

Questo è il motivo per cui con Legge per la concorrenza e il mercato del 16 dicembre 2024, n. 193 è stato inserito l'articolo 20 (intitolato ‘Disposizioni per favorire la concorrenza nel settore assicurativo') al fine esplicito di incentivare la mobilità della domanda e ridurre il fenomeno del lock-in nel settore della rc auto. L'articolo 20, 2° comma, l.n. 193/2024 prevede che l'assicurato possa ottenere dall'impresa di assicurazione “i dati relativi alla percorrenza complessiva, alla percorrenza differenziata in funzione delle diverse tipologie di strade percorse e all'orario, diurno o notturno, di percorrenza nonché agli eventi di guida ad alta velocità per tipo di strada negli ultimi dodici mesi”. La disposizione aggiunge che tali dati devono essere resi accessibili all'assicurato a titolo gratuito e in un formato leggibile da un dispositivo automatico.

Per evitare che la mobilità dei consumatori possa essere frustrata da clausole contrattuali volte a limitare il diritto degli assicurati di cambiare compagnia, l'articolo 20, 1 comma, l.n. 193/2024 aggiunge che non si possono inserire nei contratti assicurativi clausole che abbiano per oggetto o effetto di impedire o limitare il diritto dell'assicurato di disinstallare gratuitamente la scatola nera dal proprio veicolo; se clausole del genere sono incluse nel contratto, le stesse sono considerate nulle, mentre il contratto mantiene la propria validità per il resto. La relazione illustrativa del disegno di legge specifica che le clausole in questione sono qualificabili come vessatorie ai sensi dell'articolo 33 del d.lgs. 6 settembre 2005, n. 206 (Codice del consumo) e che perciò sono colpite da una nullità di protezione che opera soltanto a vantaggio del consumatore e può essere rilevata d'ufficio dal giudice.

I problemi interpretativi

Se la ratio della norma è chiara, a una lettura più attenta la disposizione pone più problemi che soluzioni, specie quando letta alla luce dell'attuale quadro europeo riguardo la protezione dei dati personali e la circolazione delle altre tipologie di dati.

Il riferimento va primariamente al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (c.d. Regolamento generale sulla protezione dei dati, RGPD) e al Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio, del 13 dicembre 2023, riguardante norme armonizzate sull'accesso equo ai dati e sul loro utilizzo e che modifica il regolamento (UE) 2017/2394 e la direttiva (UE) 2020/1828 (c.d. Regolamento sui dati), che entrerà in vigore a partire dal 12 settembre 2025.

Cominciamo dal RGDP.

L'articolo 20, 1 comma, RGDP prevede già che il titolare di dati personali abbia il diritto di ottenere dal titolare del trattamento, in un formato strutturato leggibile tramite un dispositivo automatico, tutti i dati personali che lo riguardano, sempre che il trattamento sia stato basato sul consenso o su un contratto e sia stato effettuato mezzi automatizzati. Entrambe queste condizioni sono soddisfatte dal trattamento dei dati tramite scatole nere. Certo, resta da chiedersi se i dati menzionati dall'art. 20, l.n. 193/2024 – ossia “i dati relativi alla percorrenza complessiva, alla percorrenza differenziata in funzione delle diverse tipologie di strade percorse e all'orario, diurno o notturno, di percorrenza nonché agli eventi di guida ad alta velocità per tipo di strada negli ultimi dodici mesi” – possano essere qualificati, almeno in parte, come dati personali. Ma una volta ricordato che, parlando di scatole nere installate per finalità assicurative, l'articolo 145-bis del Codice delle assicurazioni private espressamente richiama la normativa in materia di protezione dei dati personali, e tenuto a mente che la funzione assolta dalle informazioni in questione è proprio quella di consentire una miglior profilazione del cliente, pare non potersi mettere in dubbio che i dati in questione siano effettivamente dati personali ai sensi del RGDP. Se è così, cessa però di essere chiaro il valore aggiunto dell'articolo 20, l.n. 193/2024: o la norma ribadisce per specifiche tipologie di dati quanto già previsto dall'articolo 20, 1° comma, del RGDP, oppure la stessa limita a una serie specifica di dati il più generale diritto alla portabilità conferito agli interessati dall'articolo 20, 1° comma, del RGDP. La prima lettura renderebbe la norma inutile; la seconda la porrebbe in conflitto con una normativa superiore dell'Unione Europea.

Non va meglio quando si prende in considerazione il Regolamento sui dati, che, come già ricordato, entrerà pienamente in vigore nel settembre 2025. L'articolo 6, 1° comma, lettera (a), del Regolamento in questione prevede che, a richiesta degli utenti, le imprese che detengono i dati generati dall'utente attraverso un prodotto connesso, debbano mettere gratuitamente a disposizione dell'utente stesso, o del terzo da costui designato, tutti i dati i dati generati dall'utilizzo del prodotto connesso, compresi i dati registrati dallo strumento in modo automatico (cioè le informazioni catturate indipendentemente dall'interazione con l'utente, come ad esempio le informazioni sulla temperatura); sono esclusi dal raggio di applicazione della norma solo i cc.dd. dati ‘derivati', ossia quelli frutto della rilavorazione da parte dell'impresa dei dati osservati attraverso algoritmi ulteriori. Ora, secondo il Regolamento sui dati, l'utente ha quindi diritto di ottenere e condividere gratuitamente con una qualsiasi parte terza tutti i dati, anche quelli non personali, registrati da un suo prodotto connesso. La funzione della norma è proprio quella di limitare l'effetto di lock-in: se il mio frigorifero intelligente conosce le mie abitudini e preferenze alimentari, quando dovrò cambiarlo tendenzialmente acquisterò un frigorifero della stessa marca, a meno che io non abbia la certezza di poter agilmente trasferire il serbatoio di informazioni note al mio dispositivo attuale a quello di un altro produttore. L'applicazione del medesimo principio alle imprese di assicurazione implica che le stesse non solo sono già obbligate, in base al RGPD, a fornire agli assicurati i dati personali da loro richiesti, ma saranno prestissimo tenute pure, ai sensi del Regolamento sui dati, a dare accesso agli assicurati a tutti i dati (personali e non) registrati dalla scatola nera. Insomma, non si comprende perché il legislatore italiano abbia sentito l'urgenza di adottare l'articolo 20, 2° comma, della legge n. 193/2024, il cui unico significato operativo pare essere quello di obbligare le compagnie assicurative alla condivisione di taluni dati non personali registrati dal dispositivo anche prima del settembre 2025 (momento nel quale quell'obbligo scatterà, in forma assai più generale, in virtù del Regolamento sui dati).

A tutto ciò deve aggiungersi una considerazione ulteriore.

L'articolo 20, 2° comma, della legge n. 193/2024 consente agli assicurati virtuosi di trasferire la propria reputazione dalla compagnia assicurativa attuale a una diversa: si intende cioè garantire agli assicurati il diritto di condividere alcuni dati che li riguardano. Il punto è però che le imprese assicurative hanno tutto l'interesse a ottenere quelle informazioni. È quindi facile immaginare che queste ultime individueranno degli incentivi economici o contrattuali volti a spingere i consumatori a esercitare il loro diritto alla portabilità. In pratica, questo potrebbe trasformare tale diritto in un dovere de facto di trasmissione delle informazioni, al quale potrebbe sottrarsi solo chi si può permettere di pagare un premio più alto, pur di avere la propria privacy rispettata. In altri termini, c'è il rischio che il meccanismo normativo della portabilità limiti ulteriormente i margini di autonomia degli assicurati rispetto ai dati da loro generati, nonché il loro diritto (garantito dall'articolo 17, 1° comma, lettera (a), RGDP) di ottenere la cancellazione degli stessi.

Le ragioni di politica del diritto

La valutazione della riforma resta di segno ambiguo anche quando si considerino più in generale i possibili rischi e benefici della portabilità dei dati nel mercato della rc.

Ci si attende che una più ampia circolazione dei dati relativi agli assicurati consenta alle compagnie assicurative di utilizzare le informazioni raccolte per definire polizze ritagliate su misura, così permettendo la maggiore personalizzazione dei servizi offerti e riducendo l’asimmetria informativa che tipicamente connota i contratti assicurativi.

È innegabile che un maggior numero di dati consente una più ampia personalizzazione. È però anche vero che, permettendo il trasferimento dei dati a più destinazioni, la portabilità dei dati aumenta i rischi relativi alla cyber-sicurezza, perché più diviene alto il numero di titolari di dati, più elevata è la possibilità di attacchi informatici.

La portabilità dei dati aumenta anche la capacità delle compagnie assicurative di sviluppare tecniche di hypernudging, ossia sistemi di incentivi digitali che spingono gentilmente le persone verso direzioni che qualcun altro ha predeterminato essere ottimali per loro. Persino nelle migliori ipotesi, come ad esempio allorché un’assicurazione cerchi di incentivare gli assicurati ad adottare cautele per la loro sicurezza, il risultato resta comunque un’intrusione paternalistica e potente nell’autonomia decisionale delle persone.

Altrettanto certo è che, riducendo l’asimmetria informativa, la portabilità dei dati contribuisce a migliorare la conoscenza che le imprese assicurative hanno dei propri clienti. A lungo andare, la portabilità favorisce cioè la costruzione di un mondo di assicurazioni onniscienti. Più elevata e precisa è la conoscenza che le imprese assicurative hanno dei consumatori, maggiore sarà la loro capacità di individuare le persone con alti profili di rischio e di offrire loro copertura a fronte del pagamento di premi astronomici.

Il fatto che una migliore conoscenza porti a un’aumentata capacità di selezionare le proprie controparti, moltiplica pure la probabilità che le tecniche di selezione della clientela conducano a replicare in modo automatico, se non ad aggravare, le pratiche discriminatorie già esistenti a sfavore delle classi più deboli della società. È noto come la lavorazione algoritmica di grandi quantitativi di informazioni porti pressoché ineludibilmente a individuare fattori (il genere, l’etnia, la nazionalità, la disabilità, il censo, e così via) legati a tassi di esposizione al rischio superiori rispetto alla media, quasi sempre per effetto di prassi discriminatorie e vulnerabilità ereditate dal passato, riproponendone l’operare pro futuro. Ciò è reso ancora più pericoloso dalla capacità dei trattamenti automatizzati di effettuare simili discriminazioni indirettamente – in inglese si dice: ‘by proxy’ –, ovvero ritrovando combinazioni di elementi apparentemente neutri (per esempio, il luogo di residenza, il lavoro svolto, il colore e la marca dell’automobile) che sono però correlati a fattori discriminanti: la diversificazione pare lecita, ma in effetti si tratta solo di una copertura algoritmica di una discriminazione vietata. Anche qui, nel lungo periodo, il potenziale problema è che le assicurazioni telematiche offriranno sì ad alcuni clienti una maggiore personalizzazione, ma al prezzo di un notevole aumento dei premi per altre categorie di persone.

In conclusione

La disposizione qui commentata si basa su un’idea piuttosto intuitiva: permettere una più ampia circolazione dei dati generati dai clienti delle assicurazioni aiuterà la concorrenza del mercato assicurativo e favorirà quindi i consumatori. Quando però si legge la norma nel contesto delle attuali norme europee in materia di protezione dei dati personali e circolazione dei dati generati da strumenti connessi, la funzione della stessa finisce col diventare oscura. Del resto, anche a guardare la disposizione in una prospettiva di politica del diritto, sorge più di un dubbio circa la capacità della portabilità dei dati nel settore assicurativo di promuovere nel lungo termine il benessere degli assicurati.

Riferimenti 

A. CEVOLINI ed E. ESPOSITO, From Actuarial to Behavioural Valuation. The impact of telematics on motor insurance, in Valuation Studies, 2022, 109

EUROPEAN INSURANCE AND OCCUPATIONAL PENSIONS AUTHORITY [EIOPA], Big Data Analytics in Motor and Health Insurance (2019), a https://www.eiopa.europa.eu/document-library/fact-sheet/big-data-analytics-motor-and-health-insurance_en 

M. HAZAN, Assicurazione RC auto e scatola nera: impatti sul contratto e sulla liquidazione dei danni, in Danno e responsabilità, 2018, 230

M. INFANTINO, A Comparative Study of Automated Quantification in Digital Insurance, in International Journal of Digital Law and Governance, 2024, 1

M. INFANTINO e D. PORRINI, Portabilità dei dati e scatole nere: un commento a margine di una recente riforma, in Responsabilità civile e previdenza, 2025, in corso di pubblicazione

T. PERTOT, L’assicurazione auto con scatola nera. Sconti tariffari vs dati personali, in Osservatorio del diritto civile e commerciale, 2018, 529