Cloud computing e settore assicurativo. Profili giuridici dell’esternalizzazione tecnologica tra innovazione digitale e compliance multilivello
1. Introduzione – 2. Il ruolo del cloud computing nel mercato assicurativo – 3. Il quadro normativo applicabile alla sicurezza informatica del cloud computing – 3.1. Il quadro emergente dalla normativa orizzontale – 3.2. DORA – 4. Normativa orizzontale sulla sicurezza dei dati personali – 5. Soft law e standardizzazione – 6. L’applicazione del sistema multilivello ai diversi tipi di cloud computing: discussione – 7. L’insufficienza dell’adozione di standard come criterio esclusivo di conformità giuridica – 8. Riflessioni sistemiche sull’equilibrio tra innovazione digitale e conformità regolatoria nel settore assicurativo.
La diffusa digitalizzazione dell’ecosistema finanziario ha profondamente trasformato le architetture operative delle imprese di assicurazione, sollevando complesse questioni giuridiche in merito alla sostenibilità dei modelli organizzativi emergenti. In tale contesto, il cloud computing si configura non soltanto come un abilitatore tecnologico, ma come un’infrastruttura fondamentale, capace di riconfigurare radicalmente i processi assicurativi centrali, tra cui la governance dei dati, la gestione documentale e la continuità delle funzioni critiche. Questa delega strutturale di risorse ICT ad alta intensità a fornitori di servizi cloud terzi, spesso di natura transnazionale, genera una tensione intrinseca tra la ricerca di efficienza operativa e la necessità di conformità normativa. Se da un lato le architetture cloud offrono scalabilità, convenienza economica e maggiore resilienza, dall’altro impongono una ridefinizione dei confini della responsabilità giuridica e l’adozione di solidi meccanismi di governance, monitoraggio e audit. In risposta, il panorama regolatorio europeo si è evoluto in un quadro multilivello, che comprende strumenti orizzontali come il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva NIS 2, nonché regolamentazioni settoriali quali il Regolamento DORA. Il contributo persegue due obiettivi principali: in primo luogo, chiarire l’ambito degli obblighi cui sono soggette le istituzioni finanziarie che utilizzano servizi cloud; in secondo luogo, indagare se e in quale misura l’adozione di standard tecnici, nazionali, europei o internazionali, possa essere considerata una condizione sufficiente per garantire la conformità al quadro normativo vigente.
The widespread digitalization of the financial ecosystem has profoundly reshaped the operational architectures of insurance undertakings, raising complex legal questions regarding the sustainability of emerging organizational models. In this context, cloud computing emerges not merely as a technological enabler but as a foundational infrastructure with the capacity to radically reconfigure core insurance processes, including data governance, document management, and the continuity of critical functions. This structural delegation of high-intensity ICT resources to third-party, often transnational, cloud providers generates an inherent tension between the pursuit of operational efficiency and the imperative of regulatory compliance. While cloud architectures offer scalability, cost-effectiveness, and enhanced resilience, they simultaneously require a redefinition of legal accountability boundaries and the implementation of robust governance, monitoring, and audit frameworks. In response, the European regulatory landscape has evolved into a multi-layered framework, comprising horizontal instruments such as the GDPR and the NIS 2 Directive, and sector-specific regulations such as DORA. The contribution has two objectives: first, to clarify the scope of the obligations to which financial institutions that use cloud services are subject; second, to investigate whether and to what extent the adoption of technical, national, European or international standards can be considered a sufficient condition to ensure compliance with current regulations.