Polizze AI liability: la certificazione dei dati come prerequisito di copertura

Le polizze AI liability sono nate per coprire un rischio che le coperture tradizionali gestiscono male: i danni causati dalle decisioni autonome dei sistemi di intelligenza artificiale. C'è però un ostacolo che ferma molte imprese prima della firma: gli assicuratori non possono valutare un rischio che non riescono a osservare, e i log interni di un sistema AI, modificabili e privi di data certa, non bastano come prova. Cosa deve documentare un'impresa per ottenere la copertura? La certificazione dei dati alla fonte, il processo che trasforma log, decisioni e output degli agenti AI in dati certificati con integrità e data certa, descritto nella guida sulla certificazione dei dati degli agenti AI. È questo il prerequisito documentale che rende un sistema AI assicurabile.

Questo approfondimento fa parte della guida: Certificazione dei dati degli agenti AI: governance e conformità

Perché gli assicuratori chiedono prove verificabili sui sistemi di intelligenza artificiale

Gli underwriter chiedono prove verificabili perché il rischio AI è nuovo e difficile da quantificare: senza registri attendibili delle decisioni del sistema non possono stimare la probabilità di sinistro né ricostruire l'accaduto dopo un danno. Secondo la IAPP, l'associazione internazionale dei professionisti della privacy, gli assicuratori concentrano la valutazione proprio su come l'impresa dichiara, registra e verifica gli output dei propri sistemi di intelligenza artificiale. Le polizze AI liability subordinano quindi la copertura a tre condizioni documentali: log immutabili, versioni tracciate di prompt e output, registri firmati con marca temporale e data certa. La domanda del mercato cresce in fretta: le ricerche per "AI liability insurance" sono aumentate di oltre l'800% su base annua e, secondo le stime di Deloitte, i premi assicurativi dedicati all'AI raggiungeranno circa 4,7 miliardi di dollari entro il 2032.

Il mercato si sta adeguando. Le prime polizze autonome sono nate tra il 2025 e il 2026 con agenzie di sottoscrizione specializzate come Testudo e Armilla, che opera con capacità dei Lloyd's. Le coperture tradizionali si muovono intanto in direzione opposta: le clausole di esclusione più recenti tolgono dalla copertura le richieste di risarcimento legate agli output dell'AI generativa, dalla diffamazione alle violazioni di privacy e diritto d'autore.

Prima di firmare, gli assicuratori valutano in concreto:

  • un audit trail (tracciato di audit) immutabile, con impronte hash dei modelli e dei dataset utilizzati;
  • prompt e output versionati, ricollegabili a ogni decisione del sistema;
  • registri firmati e con marca temporale, opponibili in caso di contestazione;
  • presidi di governance, a partire dall'autonomia limitata degli agenti AI (bounded autonomy), che definisce i confini entro cui il sistema può agire.

Il quadro normativo spinge nella stessa direzione. Negli Stati Uniti la NAIC ha fissato le aspettative di governance sull'uso dell'AI in ambito assicurativo. In Europa l'articolo 12 dell'AI Act impone ai sistemi ad alto rischio la registrazione automatica dei log lungo l'intero ciclo di vita, con regime pienamente applicabile dal 2 agosto 2026; in Italia la legge 132/2025 e i decreti attuativi del 2026 completano il quadro nazionale. La documentazione richiesta dalla legge è la base minima di quella richiesta dalla polizza: chi la produce già in forma verificabile parte avvantaggiato anche sul fronte della responsabilità legale dell'AI agentica.

TrueScreen certifica gli output dei sistemi AI con un tracciato di audit verificabile, il tipo di documentazione che gli underwriter valutano in fase di sottoscrizione.

TrueScreen

TrueScreen

TrueScreen, la piattaforma di acquisizione e certificazione forense

Acquisisci e certifica contenuti digitali con valore legale, dall'origine.

Scopri di più →

Certificazione dei dati alla fonte: come soddisfare i requisiti delle polizze AI liability

Per soddisfare i requisiti delle polizze AI liability non basta conservare i log: bisogna dimostrare che non sono stati alterati e collocarli nel tempo in modo opponibile. La certificazione dei dati alla fonte aggiunge ai log ciò che manca: integrità verificabile tramite hash, data certa tramite marca temporale qualificata e una catena di custodia documentata.

La certificazione dei dati indica il processo che acquisisce un contenuto digitale nel momento in cui viene generato e ne fissa in modo permanente integrità, origine e data certa. La differenza rispetto a un log grezzo è sostanziale. Un log è un file che chi amministra il sistema può modificare o cancellare senza lasciare traccia: in una contestazione ha valore probatorio debole, perché racconta una versione dei fatti senza dimostrarla. Un dato certificato è invece associato a un'impronta hash che ne prova l'integrità, a una marca temporale qualificata erogata da un QTSP che ne fissa la data certa e a una catena di custodia documentata che ne ricostruisce origine e passaggi: diventa una prova opponibile a terzi, assicuratori compresi. Per un underwriter la distinzione è decisiva, perché sposta la valutazione del rischio da dichiarazioni di parte a documentazione verificabile in autonomia.

La tabella riassume cosa coprono, cosa escludono e cosa richiedono le polizze AI liability:

Cosa copronoCosa escludonoCosa richiedono
Danni a terzi da errori, allucinazioni o decisioni scorrette del sistema AIRichieste di risarcimento legate a output di AI generativa (diffamazione, privacy, diritto d'autore) escluse dalle polizze tradizionaliAudit trail immutabile con impronte hash di modelli e dataset
Sottoperformance rispetto a soglie di prestazione dichiarateUso doloso del sistema o violazioni consapevoli di leggePrompt e output versionati per ogni decisione
Spese legali e di difesa nelle contestazioni sugli outputSistemi documentati solo con log modificabiliRegistri firmati, con marca temporale e data certa

La stessa logica vale per i flussi tra sistemi: l'audit delle comunicazioni tra agenti AI documenta chi ha trasmesso cosa e quando nelle architetture multi-agente, un requisito di underwriting sempre più frequente. La documentazione certificata non serve del resto solo alla polizza: come illustrato nella guida su governance e conformità dei sistemi AI, gli stessi dati alimentano controlli interni, audit di conformità e risposte alle autorità di vigilanza.

Come TrueScreen supporta la documentazione assicurativa dei sistemi AI

La certificazione dei dati alla fonte, come quella fornita da TrueScreen, trasforma i log grezzi degli agenti AI in prove opponibili con integrità e data certa. La piattaforma si integra nei sistemi aziendali tramite API: ogni input, decisione e output dell'agente viene acquisito con metodologia forense nel momento in cui viene generato, associato a un'impronta hash che ne garantisce l'integrità e certificato con marca temporale qualificata e sigillo elettronico qualificato erogati da QTSP terzi integrati nella piattaforma. Il risultato è un dato con valore legale, verificabile da chiunque e in qualsiasi momento, che risponde punto per punto ai requisiti degli underwriter delle polizze AI liability: immutabilità, data certa, catena di custodia. La certificazione avviene in tempo reale e si applica a output testuali, documenti e file, senza modificare l'architettura del sistema né rallentarne le operazioni.

Un esempio concreto. Un agente AI esegue in autonomia una valutazione di sottoscrizione (underwriting) su una pratica assicurativa; mesi dopo un cliente contesta l'esito e presenta una richiesta di risarcimento. Con la certificazione alla fonte, l'impresa consegna all'assicuratore la sequenza certificata di input, regole applicate e output, con data certa e integrità dimostrabile: l'assicuratore verifica la condotta del sistema invece di presumerla, e la pratica si chiude su basi documentali. È lo stesso principio per cui le prove digitali nei sinistri assicurativi accelerano liquidazioni e contestazioni: meno incertezza per chi valuta il rischio, condizioni migliori per chi chiede la copertura.

FAQ: polizze AI liability e certificazione dei dati

Cosa valutano gli assicuratori prima di coprire un sistema AI?
Valutano governance e qualità della documentazione: log immutabili con impronte hash di modelli e dataset, prompt e output versionati, registri firmati con marca temporale e presidi di autonomia limitata. L'obiettivo è ricostruire ogni decisione in caso di sinistro, senza dipendere dalle dichiarazioni dell'assicurato.
La certificazione dei dati è obbligatoria per una polizza AI liability?
Non è un obbligo di legge, ma è la via più diretta per soddisfare i requisiti documentali degli underwriter: log alterabili e privi di data certa non dimostrano nulla, un dato certificato con integrità e marca temporale qualificata sì. Più la documentazione è opponibile, più il rischio è assicurabile.
Che differenza c'è tra un log e un dato certificato?
Un log è un file che l'amministratore del sistema può modificare o cancellare senza lasciare traccia. Un dato certificato è un contenuto acquisito alla fonte e associato a impronta hash, marca temporale qualificata e catena di custodia: la sua integrità e la sua data sono verificabili da terzi, anche in giudizio.
Le polizze cyber o RC tradizionali coprono già i danni causati dall'AI?
Solo in parte, e sempre meno. Le clausole più recenti escludono espressamente le richieste di risarcimento legate agli output dell'AI generativa, come diffamazione, violazioni di privacy e diritto d'autore. Per questo nascono polizze AI liability dedicate, che però richiedono documentazione verificabile sul funzionamento del sistema.
Cos'è il tracciato di audit di un agente AI?
È il registro cronologico di ciò che l'agente fa: input ricevuti, decisioni, azioni, output prodotti. Per avere valore verso assicuratori e autorità deve essere immutabile, con data certa e integrità dimostrabile: requisiti che un semplice file di log non garantisce.
L'AI Act impone di conservare i log dei sistemi AI?
Sì, per i sistemi classificati ad alto rischio: l'articolo 12 del regolamento richiede la registrazione automatica degli eventi lungo il ciclo di vita del sistema. Il regime diventa pienamente applicabile dal 2 agosto 2026; gli obblighi per l'alto rischio arrivano nel 2027.

Certifica i dati dei tuoi sistemi AI

Trasforma log e output dei tuoi agenti AI in prove certificate con integrità e data certa, pronte per assicuratori e autorità di vigilanza.

applicazione mockup