Frodi assicurative, disciplina della banca dati sinistri e profili di protezione dei dati

Allo scopo di rendere più efficace la prevenzione e il contrasto di condotte fraudolente nel settore delle assicurazioni obbligatorie per i veicoli a motore – fenomeno sempre più spesso oggetto di cronaca – sono state da anni istituite presso l’Istituto per la Vigilanza sulle Assicurazioni (IVASS), una banca dati dei sinistri e due banche dati denominate “anagrafe testimoni” e “anagrafe danneggiati”. Attraverso questi strumenti tecnologici, quindi, vengono raccolti e inseriti nella banca tutti i dati utili a prevenire meccanismi fraudolenti in un sistema che consente di tenere traccia di tutti i precedenti a carico di singoli soggetti recidivanti in condotte illecite. I dati raccolti e trasmessi riguardano tutti veicoli a motore immatricolati in Italia, nonché dati personali di assicurati, di testimoni e di danneggiati. Ma in che modo viene regolamentato tutto questo? Come viene garantita la protezione dei dati nei procedimenti per frodi assicurative?

In Italia assicurazioni R.C.A. più care rispetto alla media europea

Come è noto nel nostro Paese la copertura R.C.A. per i veicoli a motore è obbligatoria, anche se troppe volte decisamente costosa: infatti assicurarsi per la R.C.A. in Italia costa mediamente 100 euro in più rispetto agli altri paesi dell’eurozona; questa differenza è dovuta, per buona parte, all’elevato numero di fantasiosi espedienti adoperati per aggirare i controlli degli uffici antifrode delle singole compagnie assicuratrici, facendo così lievitare le tariffe assicurative. All’alimentare il fenomeno contribuiscono anche la crisi economica degli ultimi anni e la recente situazione di incertezza derivante dall’emergenza epidemiologica dovuta al Covid-19, che hanno rappresentato (e rappresentano), momenti storici caratterizzati da opportunità di guadagno derivanti da attività illecite.

Ciononostante il costante progresso tecnologico e la maggiore attività di controllo – effettuati in primis dai singoli uffici antifrode delle compagnie assicurative – consentono di contrastare più efficacemente le condotte fraudolente in ambito assicurativo.

Proprio a tal fine le imprese assicuratrici (anche) nell’interesse della collettività, sono tenute a comunicare all’Istituto di Vigilanza, i dati riguardanti i sinistri che a vario titolo vedano coinvolti i propri assicurati, secondo le modalità stabilite dal Regolamento dell’IVASS n. 23 del 1° giugno 2016.

Detto Regolamento, emanato in forza del novellato art. 135 del D.Lgs. 209/2005 – meglio noto come “Codice delle Assicurazioni private” – cavalca l’onda dell’evoluzione normativa e tecnologica intervenuta in materia di antifrode e prevede, tra l’altro, anche l’attivazione di sistemi di allerta preventiva contro i rischi di frode assicurativa.

L’utilizzo della banca dati sinistri per le frodi assicurative

Analizzando nel dettaglio il disposto del Regolamento IVASS n. 23 del 1° giugno 2016 che, come detto, disciplina il funzionamento, le finalità ed il trattamento dei dati da parte dell’IVASS, si evince che i dati raccolti sono utilizzati per prevenire e contrastare le condotte fraudolente nel settore dell’assicurazione obbligatoria e per consentire che l’Istituto di Vigilanza di effettui elaborazioni statistiche, studi ed analisi dei dati.

Al riguardo, secondo i risultati della più recente pubblicazione riferita all’antifrode – che risale all’esercizio 2017 – è stato evidenziato che i sinistri individuati a rischio di frode sono infatti diminuiti rispetto all’anno 2016 (-4,2%), mentre quelli oggetto di specifica istruttoria per profili di possibile fraudolenza sono invece aumentati (+4,6%) nello stesso periodo di riferimento. Dati che si attestano sui volumi raggiunti nel precedente esercizio, dopo anni di continua crescita.

Ulteriore conferma di tale andamento, precisa l’IVASS, proviene anche dall’ammontare complessivo dei risparmi ottenuti dalle sventate frodi nell’esercizio 2017, per un importo di 246,8 milioni di euro (pari al 1,9% sui premi raccolti), diminuito del -1,2% rispetto al 2016.

In concreto, ogni volta che perviene all’impresa di assicurazione una richiesta di risarcimento e/o di denuncia di sinistro (sia essa presentata in regime di indennizzo diretto ex art. 149 C.d.A., o attivando la procedura c.d. “ordinaria” prevista all’art. 148 C.d.A), i dati relativi al sinistro, secondo i rigorosi criteri di esattezza e completezza, vengono trasmessi entro sette giorni in via telematica all’IVASS.

Il processo di gestione dei dati così acquisiti dalle banche citate si articola poi in tre fasi: una iniziale fase di ricevimento delle comunicazioni (sulla base di una norma di legge); una seconda fase definita “di convalida” ed una terza ed ultima “di registrazione dei dati”.

Questo procedimento offre quindi la possibilità alle imprese di assicurazione che ricevono richiesta di apertura di sinistro, di poter consultare le banche dati in fase di gestione di ciascun sinistro per le finalità di cui all’art. 4 del Regolamento in commento, con la precipua finalità di verificare la non sussistenza della presenza di almeno due parametri di significatività. Tale verifica avviene anche quando le imprese di assicurazione agiscono in veste di imprese designate per la liquidazione dei danni a carico del “Fondo di garanzia per le vittime della strada”.

Quali sono i parametri di significatività

Ebbene, quando dalla consultazione effettuata dalla singola compagnia assicurativa che prende in carico la gestione del sinistro, emerge la sussistenza di almeno due parametri di significatività, le imprese di assicurazione acquisiscono le informazioni ed eseguono specifici approfondimenti, dandone evidenza nel fascicolo del sinistro.

I parametri di significatività, come precisato dal Provvedimento dell’Istituto del 2010 (n. 2827), sono così individuati:

1. quando, a seguito di una ricerca su persona fisica (o giuridica):
2. la stessa compare anche con ruolo diverso tra quelli di proprietario, contraente o conducente di un veicolo coinvolto, danneggiato o testimone, in almeno tre sinistri accaduti negli ultimi 18 mesi;
3. con diverso ruolo tra quelli di proprietario, contraente o conducente di un veicolo coinvolto, danneggiato o testimone o medico incaricato, in almeno un sinistro accaduto negli ultimi 5 anni, nel quale una persona ha riportato, a titolo di danno biologico permanente, postumi da lesioni superiori al 9% di invalidità e per il quale non ci sia stato intervento di autorità;
4. in almeno due sinistri, accaduti negli ultimi 18 mesi, in ognuno dei quali la persona abbia riportato lesioni fisiche ovvero rivesta il ruolo di medico incaricato in almeno due sinistri, accaduti negli ultimi 18 mesi, nei quali la medesima persona fisica abbia riportato lesioni;
5. con un diverso ruolo tra quelli di proprietario, contraente o conducente di un veicolo coinvolto, danneggiato, testimone, perito, studio di infortunistica, carrozzeria o officina di riparazione, in almeno un sinistro, accaduto negli ultimi 5 anni, per il quale la denuncia o la richiesta di risarcimento è stata formulata con un ritardo di almeno 6 mesi rispetto alla data di accadimento;
6. con diverso ruolo tra quelli di proprietario, contraente o conducente di un veicolo coinvolto, danneggiato, testimone o medico incaricato, in almeno un sinistro, accaduto negli ultimi 5 anni, nel quale risultano coinvolti almeno tre trasportati che hanno riportato lesioni;
7. con diverso ruolo tra quelli di proprietario, contrente o conducente di un veicolo coinvolto, danneggiato o testimone, in almeno un sinistro, accaduto negli ultimi 5 anni, occorso nei 15 giorni successivi alla data di decorrenza della polizza o negli ultimi 15 giorni di operatività della garanzia.
8. quando, a seguito di una ricerca, risulta che la targa risulti coinvolta:
9. in almeno tre sinistri accaduti negli ultimi 18 mesi;
10. in almeno un sinistro, accaduto negli ultimi 5 anni, per il quale la denuncia o la richiesta di risarcimento è stata formulata con un ritardo di almeno 6 mesi rispetto alla data di accadimento;
11. in almeno un sinistro con indicazione che il relativo veicolo è stato distrutto;
12. in almeno un sinistro, accaduto negli ultimi 5 anni, nel quale risultano coinvolti almeno tre trasportati che hanno riportato lesioni;
13. in almeno un sinistro, accaduto negli ultimi 5 anni, per il quale i danni al veicolo non siano coerenti con la dinamica dello stesso;
14. in almeno un sinistro, accaduto negli ultimi 5 anni, occorso nei 15 giorni successivi alla data di decorrenza della polizza o negli ultimi 15 giorni di operatività della garanzia.

I profili rilevanti per le frodi assicurative in ambito protezione dei dati 

Il Regolamento IVASS n. 23 del 1° giugno 2016, è stato pubblicato nel periodo intercorrente tra l’entrata in vigore del GDPR (24 maggio 2018) e l’entrata in vigore del D.Lgs. 101/2018 (che adegua il codice in materia di protezione dei dati personali alle disposizioni del Regolamento UE 2016/679), ma richiama esplicitamente il D.Lgs. 30 giugno 2003, n. 196 per quanto riguarda il regime di utilizzo dei dati personali trattati dall’IVASS, ovvero dalle assicurazioni.

I dati rilevanti utilizzati nell’argomento in commento sono esclusivamente quelli riconducibili a persone fisiche. Il concetto di persona fisica coincide con quello di “interessato” (art. 4 GDPR), tra l’altro già presente nel Codice Privacy D.Lgs. 196/2003, il che garantisce le necessarie tutele a tutti i soggetti i cui dati vengono trasmessi e trattati (per le ripetute finalità) all’Istituto per la Vigilanza sulle Assicurazioni. Nessun trattamento relativo a persone giuridiche viene regolamentato dall’IVASS – coerentemente con quanto previsto anche dal GDPR – con qualche nota e rara eccezione (vedasi disciplina e-privacy).

L’art. 5 del Regolamento IVASS per le assicurazioni precisa che lo stesso Istituto è “titolare del trattamento dei dati” e che lo fa adottando “le misure tecniche, logiche, informatiche, procedurali, fisiche ed organizzative idonee a garantire il corretto e regolare funzionamento delle banche dati, nonché la riservatezza, la sicurezza e l’integrità dei dati in conformità al decreto legislativo 30 giugno 2003, n. 196”.

I dati personali che vengono trattati dall’IVASS riguardano diversi soggetti e sono così classificabili:

• dati identificativi dei testimoni del sinistro;
• dati identificativi dei danneggiati dal sinistro;
• dati identificativi dei contraenti, dei proprietari e dei conducenti dei veicoli coinvolti nel sinistro;
• dati identificativi dei professionisti incaricati in relazione al sinistro.

I dati raccolti possono essere utilizzati per le finalità di descritte, secondo l’art. 8, comma 5 del Regolamento IVASS n. 23/2016, per cinque anni dalla data di definizione di ciascun sinistro. Decorso tale termine, sono comunicati all’IVASS esclusivamente per esigenze di giustizia penale o a seguito di esercizio dei diritti da parte degli interessati.

In ogni caso, decorsi dieci anni dalla definizione del sinistro, i dati che permettono di identificare le persone fisiche (e giuridiche) a vario titolo coinvolte nei sinistri, vengono cancellati.

Circa i diritti degli interessati è opportuno rilevare che agli stessi viene data la possibilità di esercitare i diritti sulla scorta di quando previsto dal modificato art. 7 del D.Lgs. n. 196/2003.

Ovviamente, per contrastare efficacemente il fenomeno relativo alle frodi assicurative, è necessario, come si è già posto in rilievo, che i dati trattati dall’IVASS siano caratterizzati da esattezza e completezza.

Viene comunque chiarito dal Regolamento che la consultazione dei dati e il connesso trattamento è limitato soltanto ai dati pertinenti e non eccedenti.

Conclusioni

A parere di chi scrive, interpretando estensivamente il richiamo ai principi di esattezza e completezza richiamati dal Regolamento IVASS, non vi è dubbio che il trattamento dei dati personali effettuato per il contrasto di comportamenti fraudolenti sia da ritenersi assolutamente lecito, purché avvenga nel rispetto del criterio di minimizzazione nell’uso che ne viene fatto, dovendo e potendo utilizzare solo dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati, in aderenza ai principi richiamati in materia dal GDPR.

A tal proposito è opportuno infine evidenziare che l’IVASS, in qualità di titolare del trattamento, dovrà effettuare – al fine di garantire sicurezza – una approfondita attività di controllo circa le registrazioni e memorizzazioni relative ad ogni consultazione dei dati personali (delle quali tiene traccia). Cosicché, in caso di irregolare consultazione, l’Istituto di Vigilanza può anche procedere alla sospensione o alla revoca dell’abilitazione del soggetto cui è riconducibile l’illegittima consultazione.