Il Consiglio di Stato “congela” l’archivio antifrode

Schema di decreto interministeriale recante il regolamento per l’istituzione dell’archivio informatico integrato rimandato, anziché promosso.

Il CdS restituisce all’Ufficio Legislativo del Ministero dello Sviluppo Economico lo schema di decreto previsto dall’art. 21 del decreto legge 18 ottobre 2012, n. 179, convertito in legge, con modificazioni, dalla legge 17 dicembre 2012, n. 221.

Con la previsione di cui sopra, il legislatore dispone che con decreto del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti, sentiti i Ministeri competenti, il Garante per la protezione dei dati e l’IVASS, sono determinate le modalità di connessione delle banche dati all’archivio, le condizioni per la gestione la conservazione e l’accesso al medesimo da parte di soggetti pubblici e privati, nonché gli obblighi di consultazione da parte delle imprese di assicurazione. Con lo stesso decreto sono individuati ulteriori archivi e banche dati, pubbliche e private, in aggiunta a quelle previste dal legislatore, da connettere all’archivio informatico integrato presso l’IVASS.

Il parere richiesto viene reso in forma interlocutoria, con invito all’Amministrazione a fare chiarezza sui punti controversi e ad apportare al testo le modifiche di seguito suggerite.

Una prima osservazione concerne il sistema degli indicatori di anomalia, con i quali è possibile misurare il rischio di fenomeni fraudolenti.

Supponendo che detti indicatori costituiscano degli strumenti di analisi già in uso nella pratica assicurativa, si rileva che, nell’art. 1, è presente una definizione generica degli stessi senza ulteriori specificazioni, mentre nell’art. 3 si distingue tra gli “indicatori di sintesi” di anomalia e gli “indicatori analitici” di anomalia, ma non si specificano i contenuti che li differenziano.

Poiché ai sensi del comma 3 dell’art. 3 l’indicatore analitico, che risulti superiore al livello di guardia fissato dall’IVASS, è comunicato a tutte le imprese di assicurazione interessate, le quali a loro volta possono attivare autonome indagini, occorre che nell’articolato si chiarisca quali sono gli elementi informativi contenuti nell’indicatore analitico, anche al fine di evitare la circolazione di dati sensibili eccedenti rispetto alle finalità di contrasto alle frodi.

Pertanto, la disciplina dell’indicatore di anomalia, in quanto effetto della consultazione e dell’elaborazione di dati acquisiti attraverso l’archivio informatico integrato, non può essere del tutto rinviata ad un successivo regolamento IVASS, come indicato all’art. 3, comma 4, ma deve essere delineata già nel regolamento in esame.

A fronte, poi, della scelta, conforme alle osservazioni del Garante dei dati personali, di epurare dei riferimenti personali i dati riguardanti i sinistri dopo un decennio dall’iscrizione nell’archivio, non si riscontra analoga cautela per i dati diffusi alle imprese di assicurazione, quantomeno sotto il profilo della loro utilizzabilità nei rapporti con la clientela.

A parte il suggerimento di alcune ulteriori modifiche formali, il parere del CdS consiglia una revisione del testo che contenga un elenco sequenziale delle banche dati e degli archivi ai quali l’archivio informatico integrato è inizialmente connesso.

Per ciò che concerne gli allegati, occorre aggiungere nella disposizione di rinvio la precisazione “che costituiscono parte integrante del regolamento”.

Al riguardo osserva il CdS che l’allegato B contiene in massima parte indicazioni tecniche, che troverebbero più appropriata collocazione in apposite istruzioni, le quali costituiscono uno strumento più agevolmente aggiornabile rispetto alle disposizioni regolamentari.

È opportuno, pertanto, che l’Amministrazione proponente limiti il contenuto dell’allegato alla descrizione dei lineamenti essenziali delle connessioni informatiche, riservandosi di emanare d’intesa con l’IVASS le istruzioni tecniche necessarie.

Infine, stante l’esigenza di attivare al più presto possibile il sistema di contrasto antifrode, il CdS ritiene conveniente una riduzione del termine di complessivi centoottanta giorni dall’entrata in vigore del regolamento accordato all’IVASS per definire e rendere operativa la struttura del database dell’archivio informatico integrato e per procedere alla connessione con le banche dati, trattandosi di predisposizioni tecniche che possono comunque essere avviate da subito.