- Normativa
- Assicurazioni e responsabilità civile
- Dott.ssa Daniela Mascaro e Dott. Andrea Guerci
Archivio informatico antifrode
Ministero dello sviluppo economico
Decreto 11 maggio 2015, n. 108
MINISTERO DELLO SVILUPPO ECONOMICO
DECRETO 11 maggio 2015, n. 108
Regolamento recante l'istituzione dell'archivio informatico
integrato, di cui si avvale l'Istituto per la vigilanza sulle
assicurazioni private e di interesse collettivo (IVASS) per
l'individuazione e il contrasto delle frodi assicurative nel settore
dell'assicurazione della responsabilita' civile derivante dalla
circolazione dei veicoli a motore. (15G00118)
(GU n.162 del 15-7-2015)
Vigente al: 30-7-2015
IL MINISTRO
DELLO SVILUPPO ECONOMICO
e
IL MINISTRO DELLE INFRASTRUTTURE
E DEI TRASPORTI
Visto l'articolo 17, comma 3, della legge 23 agosto 1988, n. 400;
Visto il decreto legislativo 30 aprile 1992, n. 285, recante il
Nuovo codice della strada;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il
Codice in materia di dati personali;
Visto il decreto legislativo 7 settembre 2005, n. 209, recante il
Codice delle assicurazioni private;
Visto il decreto-legge 6 luglio 2012, n. 95, convertito con
modificazioni dalla legge 7 agosto 2012, n. 135, che, all'articolo
13, ha istituito l'Istituto per la vigilanza sulle assicurazioni
(IVASS);
Visto l'articolo 21, del decreto-legge 18 ottobre 2012, n. 179,
convertito con modificazioni dalla legge 17 dicembre 2012, n. 221, ed
in particolare, il comma 3, secondo cui l'IVASS, per la cura delle
finalita' antifrode, si avvale di un archivio informatico integrato
connesso con le banche dati ivi elencate e con ulteriori archivi e
banche dati pubbliche e private, individuate e regolate con decreto
del Ministro dello sviluppo economico e del Ministro delle
infrastrutture e dei trasporti, sentiti i Ministeri competenti,
l'IVASS e il Garante per la protezione dei dati, per i profili
connessi alla tutela della privacy, l'accesso e la consultazione dei
dati;
Visti i commi 4 e 5, del citato articolo 21, secondo cui le imprese
di assicurazione garantiscono all'IVASS l'accesso ai dati e alla
documentazione relativi ai contratti assicurativi contenuti nelle
proprie banche dati, secondo le modalita' di cui al decreto del
Ministro dello sviluppo economico, di concerto con il Ministro delle
infrastrutture e dei trasporti 9 agosto 2013, n. 110, con cui e'
stato adottato il regolamento recante norme per la progressiva
dematerializzazione dei contrassegni di assicurazione per la
responsabilita' civile verso i terzi per danni derivanti dalla
circolazione dei veicoli a motore su strada, e, in particolare, il
comma 4 dell'articolo 3 del citato decreto;
Sentito il Ministero dell'economia e delle finanze che ha espresso
il proprio parere con nota n. 3-6251 dell'8 luglio 2014;
Sentito il Ministero della giustizia che ha espresso il proprio
parere con nota n. 3.7.2014 5900 E 3/4 - 156 UL del 10 luglio 2014;
Sentito l'IVASS che ha espresso il proprio parere con nota n.
51.14.001159 del 16 luglio 2014;
Sentito il Garante per la protezione dei dati personali che ha
espresso il proprio parere in data 24 luglio 2014;
Udito il parere del Consiglio di Stato, Sezione consultiva per gli
atti normativi, espresso nell'adunanza del 15 gennaio 2015;
Data comunicazione al Presidente del Consiglio in data 16 febbraio
2015, ai sensi dell'articolo 17, comma 3 della legge 23 agosto 1988,
n. 400;
Adottano
il seguente regolamento:
Art. 1
Definizioni
1. Ai fini del presente decreto si intendono per:
a) «Codice»: il decreto legislativo 7 settembre 2005, n. 209;
b) «CAD»: il Codice dell'amministrazione digitale di cui al decreto
legislativo 7 marzo 2005, n. 82;
c) «Nuovo codice della strada»: il decreto legislativo 30 aprile
1992, n. 285;
d) «Codice della privacy»: il decreto legislativo 30 giugno 2003,
n. 196, recante il codice della protezione dei dati personali;
e) «IVASS»: l'Istituto per la vigilanza sulle assicurazioni;
f) «CONSAP»: la Concessionaria servizi assicurativi pubblici
S.p.a.;
g) «banca dati sinistri e banche dati anagrafe testimoni e anagrafe
danneggiati»: quelle istituite presso l'IVASS dall'articolo 135 del
decreto legislativo 7 settembre 2005, n. 209, per la prevenzione e il
contrasto di comportamenti fraudolenti nel settore delle
assicurazioni obbligatorie per i veicoli a motore;
h) «archivio nazionale dei veicoli» e «anagrafe nazionale degli
abilitati alla guida»: quelli istituiti dall'articolo 226 del decreto
legislativo 30 aprile 1992, n. 285;
i) «banca dati dei contrassegni assicurativi»: quella istituita
presso il Centro elaborazione dati della Direzione generale per la
motorizzazione del Ministero delle infrastrutture e dei trasporti,
con decreto 9 agosto 2013, n. 110, in attuazione dell'articolo 31 del
decreto-legge 24 gennaio 2012, n. 1, convertito con modificazioni
dalla legge 24 marzo 2012, n. 27;
l) «ruolo dei periti assicurativi»: quello istituito dall'articolo
157 del Codice e tenuto da CONSAP, ai sensi del'articolo 13, comma
35, del decreto-legge 6 luglio 2012, n. 95, convertito, con
modificazioni, dalla legge 7 agosto 2012, n. 135;
m) «PRA: il pubblico registro automobilistico»: quello istituito
con regio decreto-legge 15 marzo 1927, n. 436, convertito dalla legge
19 febbraio 1928, n. 510;
n) «archivio informatico integrato»: quello di cui si avvale
l'IVASS, connesso con le banche dati previste all'articolo 21, comma
3, del decreto-legge 18 ottobre 2012, n. 179, convertito con
modificazioni dalla legge 17 dicembre 2012, n. 221;
o) «impresa di assicurazione»: quella con sede legale nel
territorio della Repubblica autorizzata, ai sensi dell'articolo 13
del Codice, all'esercizio dell'attivita' assicurativa nel ramo r.c.
auto; quella con sede legale in un altro Stato dello Spazio economico
europeo abilitata ai sensi degli articoli 23 e 24 del Codice nel
territorio della Repubblica all'esercizio dell'assicurazione nel ramo
r.c. auto, in regime di stabilimento o di liberta' di prestazione di
servizi, nonche' quella con sede legale in uno Stato terzo,
autorizzata ai sensi dell'articolo 28 del Codice nel territorio della
Repubblica all'esercizio dell'attivita' assicurativa nel ramo r.c.
auto in regime di stabilimento;
p) «Stato aderente allo Spazio economico europeo»: lo Stato
aderente all'accordo di estensione della normativa dell'Unione
europea in materia, fra l'altro, di circolazione delle merci, dei
servizi e dei capitali agli Stati appartenenti all'Associazione
europea di libero scambio firmato ad Oporto il 2 maggio 1992 e
ratificato con legge 28 luglio 1993, n. 300;
q) «Stato terzo»: uno Stato che non e' membro dell'Unione europea o
non e' aderente allo Spazio economico europeo;
r) «indicatori di anomalia analitici»: indicatori che, sulla base
di ricorrenze e verifiche di veridicita' e coerenza dei dati relativi
ai sinistri, forniscono elementi per l'analisi antifrode dei
sinistri;
s) «indicatore di anomalia di sintesi»: indicatore che permette la
classificazione sintetica del sinistro sulla base degli indicatori di
anomalia analitici attivati.
Art. 2
Oggetto e finalita'
1. E' istituito presso l'IVASS l'archivio informatico integrato al
fine di favorire la prevenzione e il contrasto delle frodi nel
settore dell'assicurazione della responsabilita' civile derivante
dalla circolazione dei veicoli a motore, nonche' al fine di
migliorare l'efficacia dei sistemi di liquidazione dei sinistri delle
imprese di assicurazione e di individuare i fenomeni fraudolenti.
2. Con successivo regolamento, da adottare ai sensi dell'articolo
21, del decreto-legge n. 179 del 2012, convertito con modificazioni
dalla legge n. 221 del 2012, saranno disciplinate la tempistica e le
modalita' di connessione delle banche dati previste dal comma 3, del
citato articolo 21, non espressamente elencate all'articolo 5 del
presente decreto.
Art. 3
Funzionamento dell'archivio informatico integrato
1. Scopo dell'archivio informatico integrato e' quello di fornire
alle imprese di assicurazione e agli altri soggetti di cui
all'articolo 7, indicazioni sul livello di anomalia di ogni sinistro
comunicato alla banca dati sinistri, utilizzando idonei indicatori,
ottenuti dalle verifiche e dalle integrazioni delle informazioni
contenute negli altri archivi di cui all'articolo 5, in modo da
consentire di porre in essere un'attivita' antifrode piu' mirata ed
efficace.
2. L'archivio informatico integrato attiva la consultazione degli
archivi di cui all'articolo 5, per ogni sinistro acquisito ed
eventualmente aggiornato nella banca dati sinistri, al fine di
verificare le informazioni segnalate dalle imprese di assicurazione,
nonche' per acquisire quelle integrative necessarie per il calcolo
degli indicatori di anomalia analitici.
3. Conclusa la fase di raccolta, verifica e integrazione dei dati
sul sinistro, l'archivio informatico integrato provvede al calcolo
degli indicatori di anomalia analitici. Viene comunicato alle imprese
di assicurazione coinvolte nel sinistro il valore dell'indicatore di
anomalia di sintesi del sinistro stesso e, solo nel caso in cui il
livello di anomalia dell'indicatore ottenuto sia superiore a quello
fissato secondo quanto previsto nel comma 4, vengono comunicati, a
tutte le imprese di assicurazione interessate, gli indicatori
analitici per i quali si riscontrano anomalie.
4. Gli indicatori ed il livello di anomalia oltre il quale si
procede alla comunicazione di cui al comma 3 sono definiti con
provvedimento dell'IVASS. L'IVASS valuta periodicamente la loro
adeguatezza e le eventuali revisioni da apportare agli indicatori ed
al livello che ne definisce il grado di anomalia.
5. Le informazioni utilizzate nella procedura di valutazione del
rischio, nonche' gli indicatori di anomalia analitici e di sintesi,
sono archiviati in una sezione autonoma dell'archivio informatico
integrato, secondo quanto previsto dal presente regolamento.
6. In esito alle procedure previste per la gestione dei dati
contenuti o affluiti nell'archivio informatico integrato, l'IVASS
utilizza gli indicatori di anomalia, nonche' i dati di calcolo,
pertinenti, completi e non eccedenti rispetto alle finalita' di
individuazione e contrasto delle frodi assicurative, come indicate ai
commi 1 e 2 dell'articolo 21 del decreto-legge n. 179 del 2012,
convertito con modificazioni dalla legge n. 221 del 2012.
Art. 4
Disciplina degli indicatori
1. Gli indicatori di anomalia analitici individuano fenomeni di
ricorrenza della sinistralita' sulla base di parametri predefiniti
dall'IVASS ai sensi del comma 5 e verificano la veridicita' e la
coerenza delle informazioni disponibili sul sinistro. Gli indicatori
analitici si attivano in presenza di anomalie concernenti la
ricorrenza degli eventi o la veridicita' dei dati. I dati utilizzati
per il calcolo degli indicatori di anomalia sono quelli dell'archivio
di cui al comma 1 dell'articolo 5 e quelli elencati nell'allegato A,
che costituisce parte integrante del presente regolamento.
2. Gli indicatori di anomalia analitici si riferiscono a quattro
aree di analisi:
a) veicoli direttamente coinvolti nel sinistro;
b) soggetti direttamente coinvolti nel sinistro;
c) altri soggetti interessati nel sinistro;
d) altri aspetti inerenti il sinistro.
3. A ciascun indicatore di anomalia analitico e' associato un peso
predeterminato dall'IVASS in funzione della rilevanza dell'anomalia
che l'indicatore rappresenta.
4. L'indicatore di anomalia di sintesi sul sinistro e' costituito
dalla somma dei pesi di ciascuno degli indicatori di anomalia
analitici attivati. Il valore dell'indicatore di sintesi cosi'
determinato e' classificato, in ottica antifrode, nullo, basso, medio
e alto.
5. Gli indicatori analitici e i relativi parametri, nonche' le
soglie dell'indicatore di anomalia di sintesi per la classificazione
del sinistro sono determinati con provvedimento dell'IVASS.
Art. 5
Banche dati connesse all'archivio informatico integrato
1. L'archivio informatico integrato, attraverso la connessione agli
archivi di seguito indicati, tra quelli previsti dal comma 3,
dell'articolo 21, del decreto-legge n. 179 del 2012, convertito con
modificazioni dalla legge n. 221 del 2012, verifica ed integra le
informazioni contenute nella banca dati sinistri e nelle banche dati
anagrafe testimoni e anagrafe danneggiati, gia' costituite presso
l'IVASS.
2. In particolare, l'archivio di cui al comma 1 e' altresi'
connesso alle seguenti banche dati:
a) banca dati dei contrassegni assicurativi;
b) archivio nazionale dei veicoli;
c) anagrafe nazionale degli abilitati alla guida;
d) PRA: il pubblico registro automobilistico;
e) ruolo dei periti assicurativi.
3. L'IVASS acquisisce le informazioni relative all'installazione e
attivazione dei meccanismi per la rilevazione delle attivita' dei
veicoli di cui all'articolo 32 del decreto-legge n. 1 del 2012,
convertito con modificazioni dalla legge n. 27 del 2012, necessarie a
fini antifrode e non presenti negli archivi elencati ai commi
precedenti. A tale adempimento provvedono, nel rispetto delle
disposizioni in materia di protezione dei dati personali di cui al
Codice della privacy, le imprese di assicurazione, direttamente o,
ferma restando la loro responsabilita', per il tramite degli
intermediari di assicurazione che ne hanno rappresentanza, ovvero
avvalendosi, in alternativa, di sistemi informativi centralizzati
istituiti presso le associazioni di categoria delle imprese di
assicurazione.
4. Anche al fine di garantire la progressiva implementazione delle
relative connessioni, l'utilizzo delle banche dati e' subordinato
alla definizione di successive convenzioni stipulate tra l'IVASS e le
Amministrazioni o gli enti titolari degli archivi e delle banche dati
interessate, redatte nel rispetto delle Linee guida per la stesura di
convenzioni per la fruibilita' di dati delle pubbliche
amministrazioni, definite secondo quanto previsto dall'articolo 58,
comma 2, del CAD.
5. L'insieme delle informazioni e dei dati oggetto di
consultazione, verifica ed integrazione da parte dell'IVASS, con
separata indicazione dei dati gia' presenti nella banca dati sinistri
e banche dati testimoni e danneggiati, nonche' di quelle da acquisire
tramite connessione con altre banche dati, sono elencati
nell'allegato A che costituisce parte integrante del presente
regolamento.
Art. 6
Tempi e modalita' di connessione
delle banche dati all'archivio informatico integrato
1. Al fine di garantire la necessaria connessione dell'archivio
informatico integrato con le banche dati previste dal presente
regolamento, secondo criteri di gradualita' e sostenibilita'
tecnologica, il processo di implementazione informatica si articola
nelle seguenti fasi, ciascuna delle quali seguita da un congruo
periodo di sperimentazione.
2. Nel termine di sessanta giorni dall'entrata in vigore del
presente regolamento, l'IVASS definisce e rende operativa la
struttura del database costituente l'archivio informatico integrato
connesso con le banche dati di cui al comma 1, dell'articolo 5 e
procede, nei successivi trenta giorni, alla connessione delle banche
dati e degli archivi di cui ai commi 2 e 3 del medesimo articolo 5.
3. Fatta salva la progressiva e successiva implementazione della
cooperazione applicativa garantita dal sistema pubblico di
connettivita', il collegamento informatico dell'archivio con le
banche dati indicate dal presente regolamento avviene mediante
connessione telematica, secondo le specifiche tecniche definite
d'intesa dall'IVASS con le Amministrazioni o gli enti interessati,
nel rispetto delle linee essenziali descritte nell'allegato B, che
costituisce parte integrante del presente regolamento, nonche' delle
ulteriori istruzioni tecniche necessarie, emanate dal Ministero dello
sviluppo economico, d'intesa con l'IVASS.
4. La consultazione e l'utilizzo, da parte dell'IVASS, delle
informazioni residenti presso gli archivi e banche dati interessate
avviene nel rispetto del comma 7 dell'articolo 21 del decreto-legge
n. 179 del 2012, convertito con modificazioni dalla legge n. 221 del
2012, con le risorse umane, strumentali e finanziarie disponibili a
legislazione vigente e senza oneri per l'Istituto di vigilanza che
gestisce l'archivio informatico integrato.
Art. 7
Accesso e obblighi di consultazione
dell'archivio informatico integrato
1. L'autorita' giudiziaria e le Forze di polizia, nonche' le
pubbliche amministrazioni ed i soggetti terzi legittimati indicati
dalla legge possono accedere alle informazioni contenute
nell'archivio informatico integrato, limitatamente a quelle
necessarie per le finalita' indicate all'articolo 21 del
decreto-legge n. 179 del 2012, convertito con modificazioni dalla
legge n. 221 del 2012, e cioe' ai soli indicatori di anomalia ed ai
relativi dati di calcolo, previa stipulazione di apposita
convenzione.
2. Ai fini della liquidazione dei sinistri, le imprese di
assicurazione ricevono le informazioni relative agli indicatori di
anomalia ed ai connessi dati di calcolo, secondo le indicazioni
tecniche fornite dall'IVASS e pubblicate sul proprio sito web, nel
termine di novanta giorni dall'entrata in vigore del presente
regolamento. Qualora le informazioni rilevate dall'archivio risultino
rilevanti per piu' imprese, e' data loro facolta' di svolgere, anche
in comune e previa informativa all'IVASS, approfondimenti finalizzati
ad acquisire maggiori elementi probatori necessari ai fini
dell'eventuale azione giudiziaria. L'acquisizione dei dati relativi
agli indicatori di anomalia avviene senza oneri economici per le
imprese di assicurazione.
3. L'IVASS vigila sulla corretta applicazione del comma 2 e adotta
le necessarie disposizioni tecnico-attuative.
Art. 8
Conservazione delle informazioni,
trattamento e archiviazione dei dati
1. Le informazioni di cui all'articolo 3 del presente regolamento
restano iscritte nell'archivio per cinque anni dalla data di
definizione di ciascun sinistro.
2. Decorso il termine di cui al comma 1, i dati relativi a ciascun
sinistro definito sono riversati su altro supporto informatico
gestito dall'IVASS. L'IVASS comunica i dati esclusivamente per
esigenze di giustizia penale o a seguito di esercizio dei diritti
degli interessati ai sensi dell'articolo 7 del decreto legislativo 30
giugno 2003, n. 196.
3. Trascorsi cinque anni dal riversamento dei dati di cui al comma
2, i dati che permettono di identificare le persone fisiche e
giuridiche coinvolte a vario titolo nei sinistri vengono cancellati;
i restanti dati vengono conservati su altro supporto informatico in
forma anonima e non possono essere utilizzati al fine di identificare
nuovamente gli interessati.
4. L'IVASS e' il titolare del trattamento dei dati di cui
all'articolo 3 del presente regolamento, nonche' delle informazioni
corrispondenti agli esiti delle valutazioni ai fini antifrode
archiviati in una sezione autonoma dell'archivio informatico
integrato. In tale qualita' sovrintende al corretto funzionamento
dell'archivio informatico integrato e all'osservanza delle
disposizioni che regolano le modalita' e i termini di comunicazione
dei dati. I dati contenuti nell'archivio informatico integrato sono
trattati nel rispetto delle disposizioni di cui al decreto
legislativo 30 giugno 2003, n. 196.
5. L'IVASS adotta ogni misura idonea a garantire il corretto e
regolare funzionamento dell'archivio informatico integrato, nonche'
la riservatezza, la sicurezza, l'integrita' dei dati in conformita'
al decreto legislativo 30 giugno 2003, n. 196.
6. Decorsi cinque anni dalla ricezione dei dati di cui all'articolo
3, le imprese di assicurazione provvedono alla conservazione degli
stessi in forma anonima.
7. L'osservanza dell'adempimento di cui al comma 6, e' verificata
dall'IVASS nell'esercizio dell'attivita' di vigilanza di cui
all'articolo 4 della legge 12 agosto 1982, n. 576, e all'articolo 5
del decreto legislativo 7 settembre 2005, n. 209.
Il presente regolamento, munito del sigillo dello Stato, sara'
inserito nella Raccolta ufficiale degli atti normativi della
Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo
e di farlo osservare.
Roma, 11 maggio 2015
Il Ministro
dello sviluppo economico
Guidi
Il Ministro delle infrastrutture
e dei trasporti
Delrio
Visto, il Guardasigilli: Orlando
Registrato alla Corte dei conti il 3 luglio 2015
Ufficio controllo atti MISE e MIPAAF, reg.ne prev. n. 2507
Allegato A
(Articolo 4, comma 1 e articolo 5, comma 5)
I dati e le informazioni oggetto di consultazione, verifica,
integrazione ed eventuale riscontro da parte dell'IVASS, distinti per
archivi di riferimento non residenti presso l'Istituto sono i
seguenti:
Parte di provvedimento in formato grafico
Allegato B
(Articolo 6, comma 3)
ALLEGATO TECNICO - LINEE ESSENZIALI
Connessioni informatiche.
L'archivio informatico integrato si avvale dell'infrastruttura
tecnologica dell'IVASS, altamente scalabile e pienamente ridondata,
che si interfaccia con una molteplicita' di banche dati istituzionali
e private.
Il colloquio con i diversi interlocutori e sistemi cooperanti
avverra' mediante meccanismi atti ad assicurare la riservatezza,
l'integrita' e l'autenticita' delle comunicazioni.
In particolare, per gli scambi dati con le imprese di
assicurazione e con alcuni enti privati vengono utilizzate delle
infrastrutture di approvvigionamento su «canali di scambio archivi».
Queste infrastrutture si basano su canali cifrati di scambio dati che
permettono il trasferimento controllato e sicuro di archivi con
grosse quantita' di dati. Lo scambio avviene su internet con
protocollo prestabilito che usa certificati conformi allo standard
X.509 per l'autenticazione ed il riconoscimento dell'utenza
applicativa e per l'attivazione dei meccanismi di cifratura del
canale di comunicazione.
Per l'accesso ai servizi delle banche dati esterne presso altri
enti, sono implementate le modalita' di accesso previste da tali
enti, con il conseguente adeguamento delle infrastrutture
dell'archivio informatico integrato per una interrogazione ottimale e
nel rispetto delle norme di sicurezza gia' in atto per il servizio in
questione.
Tenuto conto delle specificita' e delle infrastrutture degli enti
coinvolti, le modalita' di connessione sono:
per le banche dati gestite dalla Motorizzazione civile (archivio
nazionale degli abilitati alla guida e dei veicoli, banca dati dei
contrassegni assicurativi), mediante connessione VPN su internet e
accesso con modalita' Web Services. Successivamente i servizi di
interscambio verranno migrati sul Sistema pubblico di connettivita'
ed integrati attraverso la porta di dominio;
per il Pubblico registro automobilistico, mediante connessione
VPN su internet e accesso con modalita' Web Services. In caso di
successivo passaggio di comunicazione su infrastruttura SPC sara'
adottato il solo meccanismo di gestione della sicurezza dei WS;
per la banca dati del Ruolo periti gestito dalla CONSAP, mediante
canale SFTP su internet.
Documenti allegati
- archivio_informatico_integrato.pdf 56 KB
- document.pdf 223 KB