Guida pillar · Compliance IVASS intermediari

Gestionale assicurativo IVASS-ready per broker e intermediari

· 13 minuti di lettura · Audience: broker titolari, compliance officer, responsabili operations
Sintesi

Un gestionale assicurativo IVASS-ready integra nativamente i requisiti dei regolamenti IVASS che si applicano a broker e intermediari: Reg. 40/2018 (distribuzione), Reg. 41/2018 (trasparenza), Reg. 44/2019 (antiriciclaggio), Reg. 45/2020 (POG), Reg. 24/2016 (formazione professionale). Questa guida descrive il quadro normativo, le sezioni del RUI, gli obblighi operativi concreti (audit trail, conservazione decennale AgID, IPID generato automaticamente, registro reclami, antiriciclaggio), e i cinque \"evidence pack\" che IVASS controlla in ispezione. Inclusa checklist di compliance e 10 FAQ operative.

1. Il quadro normativo IVASS per gli intermediari

Il quadro normativo italiano per gli intermediari assicurativi si è progressivamente complicato dalla recezione della IDD (Direttiva UE 2016/97, recepita con D.Lgs. 68/2018). I cinque corpi regolamentari principali emessi da IVASS coprono dimensioni complementari della distribuzione.

1.1 IVASS Reg. 40/2018 — distribuzione

Il regolamento "core" sulla distribuzione assicurativa post-IDD. Disciplina: requisiti per l'esercizio dell'attività distributiva, obblighi informativi precontrattuali, gestione dei conflitti di interesse, registrazione dell'attività distributiva, vigilanza prudenziale. Per il gestionale del broker, l'art. 53 (registro dell'attività distributiva) e l'art. 65 (obblighi di conservazione) sono i due punti operativamente più impattanti.

1.2 IVASS Reg. 41/2018 — trasparenza e informativa al cliente

Disciplina la documentazione precontrattuale che il broker deve consegnare al contraente prima della sottoscrizione: IPID (Insurance Product Information Document) per i prodotti non-vita, fascicolo informativo più strutturato per prodotti vita e investimenti, dichiarazioni sull'identità del distributore (sezione RUI, eventuali rapporti partecipativi con compagnie). Tutta la documentazione deve essere consegnata con prova della consegna avvenuta.

1.3 IVASS Reg. 44/2019 — antiriciclaggio

Il regolamento attuativo per il settore assicurativo del D.Lgs. 231/2007 (recezione italiana delle direttive UE AML). Per il broker, gli obblighi sostanziali si concentrano sui rami vita e investimento: adeguata verifica del cliente, profilazione del rischio, screening sanctions/PEP, conservazione documentale decennale, segnalazione UIF per operazioni sospette. Per i rami danni gli obblighi sono ridotti ma non azzerati.

1.4 IVASS Reg. 45/2020 — POG (Product Oversight and Governance)

La governance del prodotto assicurativo dal lato distribuzione. Obbliga il broker che opera come "manufacturer" o "distributor" a: definire e applicare il target market di ogni prodotto distribuito, monitorare la coerenza tra prodotti venduti e profili clienti, segnalare al produttore (compagnia) eventuali anomalie di distribuzione, mantenere documentazione delle revisioni periodiche del prodotto.

1.5 IVASS Reg. 24/2016 e successivi — formazione professionale continua

L'obbligo di formazione professionale continua per gli iscritti al RUI: 60 ore ogni 36 mesi per le sezioni A, B, D; 30 ore per la sezione E. Le ore devono coprire macro-aree definite (normativa, prodotti, IT) ed essere documentate con attestati conseguiti presso enti riconosciuti. Il mancato adempimento porta a sospensione automatica dal RUI.

2. Registro RUI: sezioni A/B/D/E e implicazioni operative

Il Registro Unico degli Intermediari (RUI), tenuto da IVASS, è la fonte autoritativa per stabilire chi può legittimamente distribuire assicurazioni in Italia. La struttura in sezioni riflette le diverse tipologie di intermediario:

2.1 Verifica iscrizione via API IVASS

IVASS espone un servizio di consultazione del RUI per la verifica programmatica dell'iscrizione. Un gestionale IVASS-ready integra questa verifica nei punti chiave: onboarding di un nuovo collaboratore sezione E, abilitazione di un nuovo broker su una compagnia mandante, verifica periodica delle iscrizioni attive nel proprio team. Il controllo intercetta sospensioni temporanee, cancellazioni disciplinari, scadenze non rinnovate.

2.2 Onboarding nuovo collaboratore RUI sez. E

Il workflow tipico di onboarding di un collaboratore sezione E include: verifica RUI via API IVASS (deve risultare iscritto e attivo), acquisizione del consenso al trattamento dati con FEA (firma elettronica avanzata), assegnazione del profilo operativo (cosa può fare nel gestionale: quotare, emettere, sinistri, ecc.), tracciamento delle ore formative iniziali, attivazione dell'audit trail personale. Tutta la documentazione viene conservata 10 anni a norma AgID.

3. Compliance operativa: cosa serve nel software

Tradurre il quadro normativo in funzionalità software è il passaggio decisivo. Un gestionale "compliance-by-design" copre quattro aree.

3.1 Tracciabilità dei dati e audit trail immutabile

Ogni operazione rilevante (creazione polizza, modifica anagrafica, emissione documento, accesso al fascicolo cliente) viene loggata in modo immutabile: chi ha fatto, cosa ha fatto, quando, da quale IP, con quale motivazione (se richiesta). I log non sono cancellabili né modificabili a posteriori; sono esportabili in formato standard per audit IVASS e conservati 10 anni. Il pattern tecnico è write-once read-many con firma del log per garantirne l'integrità.

3.2 Conservazione decennale (CAD art. 43-44)

Il Codice dell'Amministrazione Digitale (D.Lgs. 82/2005), articoli 43-44, e le Linee Guida AgID 2020 disciplinano la conservazione decennale dei documenti elettronici. La conservazione avviene presso un Conservatore accreditato AgID (Aruba, InfoCert, Postel, Namirial) integrato nativamente nel gestionale. Vengono inviati in conservazione: polizze emesse e appendici firmate, IPID e fascicoli informativi consegnati ai clienti, comunicazioni PEC, documentazione AML, sinistri pendenti, prove di formazione professionale.

3.3 Gestione conflitti di interesse

Il Reg. 40/2018 obbliga il broker a identificare, gestire e divulgare eventuali conflitti di interesse. Tipici scenari: il broker percepisce provvigioni differenziate tra compagnie mandanti che lo orientano verso una rispetto all'altra; il broker ha rapporti partecipativi con una compagnia. Il gestionale traccia automaticamente i fattori che possono configurare conflitto (commissioni, partecipazioni) e produce il prospetto di trasparenza da consegnare al cliente prima della quotazione.

3.4 IPID e fascicolo informativo generati automaticamente

L'IPID (per non-vita) e il fascicolo informativo (per vita) devono essere generati al momento della quotazione e consegnati al cliente prima della sottoscrizione. Un gestionale verticale parte da template IVASS-approvati della compagnia mandante e li personalizza con i dati della quotazione (massimali, garanzie, esclusioni, premio). La consegna avviene digitalmente (portale cliente o PEC) con prova di consegna marcata temporalmente. Conservazione decennale automatica.

4. Audit IVASS: cosa controllano e cosa avere pronto

Le ispezioni IVASS si stanno standardizzando su cinque "evidence pack" ricorrenti, richiesti tipicamente in apertura ispezione e da fornire entro 24-48 ore.

  1. Registro polizze e sinistri: lista completa delle polizze gestite con dettaglio anagrafica contraente, compagnia mandante, ramo, premio, stato; lista completa dei sinistri aperti, riservati, chiusi negli ultimi 36 mesi.
  2. Prove di consegna IPID e fascicoli informativi: campione casuale di 50-100 contratti con verifica della prova di consegna marcata temporalmente del documento precontrattuale al cliente.
  3. Registro reclami: lista dei reclami ricevuti negli ultimi 24 mesi con stato, tempi di risposta, esito. Verifica del rispetto del termine di 45 giorni per la risposta.
  4. Registro formazione professionale: per ogni iscritto al RUI nel proprio organico, ore di formazione svolte negli ultimi 36 mesi con attestati. Verifica del raggiungimento delle 60 ore (sez. A/B/D) o 30 ore (sez. E).
  5. Framework antiriciclaggio: policy AML scritta, evidenze di KYC sui clienti vita/investimento, registro delle eventuali segnalazioni UIF, prove di formazione AML del personale.

Un gestionale IVASS-ready genera i cinque pack su richiesta in pochi click, formato Excel/PDF standardizzato. Senza il software, ricostruire questi pack a mano in 48 ore è impossibile per un broker di taglia media.

5. Antiriciclaggio per intermediari: workflow completo

Gli obblighi AML del broker assicurativo si concentrano sui rami vita e investimento (vita ramo I, III, V, capitalizzazione, fondi pensione) dove il valore monetario in gioco e la flessibilità degli strumenti rendono il settore vulnerabile a operazioni di riciclaggio. Per i rami danni gli obblighi sono attenuati ma non azzerati.

5.1 KYC iniziale + screening sanctions/PEP

Al primo contatto con un nuovo cliente, il broker raccoglie i dati identificativi (anagrafica, documento d'identità, codice fiscale, eventuale ragione sociale se persona giuridica) e li sottopone a screening contro liste sanzioni internazionali (UE, ONU, OFAC) e liste PEP (Politically Exposed Persons). Il gestionale automatizza lo screening via API verso provider specializzati (es. World-Check, Dow Jones Risk & Compliance, Refinitiv).

5.2 Adeguata verifica rafforzata per categorie a rischio

Per categorie ad alto rischio AML (PEP, residenti in paesi a regime AML carente, operazioni atipiche per dimensione o struttura) si applica l'adeguata verifica rafforzata: identificazione del titolare effettivo della persona giuridica, verifica indipendente dei dati forniti, autorizzazione del responsabile AML interno, monitoraggio più stretto delle operazioni successive.

5.3 Segnalazioni UIF (quando e come)

Quando emergono operazioni sospette (es. premio versato in contanti per importi anomali, riscatto immediato di una polizza vita appena sottoscritta, beneficiari modificati ripetutamente), il broker è obbligato a segnalare all'Unità di Informazione Finanziaria (UIF) della Banca d'Italia. La segnalazione avviene via portale web UIF in formato strutturato. Il gestionale supporta la pre-compilazione del modulo a partire dai dati della pratica e mantiene il registro delle segnalazioni effettuate (per tracciabilità in caso di follow-up).

6. Controlli operativi interni e formazione professionale

Oltre alle evidenze esterne richieste in ispezione, IVASS si aspetta un sistema di controlli operativi interni proporzionato alla dimensione del broker. Per un broker di taglia media (10-30 collaboratori) i controlli tipici includono: revisione periodica delle pratiche da parte di un compliance officer interno, verifica trimestrale del rispetto delle autonomie di sottoscrizione, audit del registro reclami per identificare pattern problematici, sample-check delle prove di consegna IPID.

Il registro della formazione professionale traccia per ciascun iscritto al RUI: ore svolte per macro-area (normativa, prodotti, IT), attestati conseguiti, ente di formazione, alert prima della scadenza del triennio. NewPicass 14.Net espone il registro come dashboard e lo esporta in formato IVASS-compatibile.

7. Sicurezza informatica: DORA per intermediari

DORA (Reg. UE 2022/2554, applicabile dal 17 gennaio 2025) si applica formalmente alle imprese di assicurazione e riassicurazione UE, non agli intermediari sotto certe soglie. Ma l'effetto pratico per i broker italiani è significativo: le compagnie mandanti, soggette a DORA, devono includere il broker nel proprio registro third-party e svolgere due diligence sui suoi sistemi IT.

Per il broker, questo significa esporre alla compagnia mandante: certificazione ISO/IEC 27001:2023 del fornitore software, attestazione di backup giornaliero e disaster recovery testato, evidenze di penetration test recenti, esposizione di log di sicurezza tracciabili, conformità GDPR completa con data residency UE. NewPicass 14.Net copre questi requisiti come standard tramite il Trust Center documentato.

8. Conservazione documentale a norma AgID

La conservazione decennale a norma AgID è uno dei pilastri tecnici di un gestionale IVASS-ready. I documenti conservati sono numerosi:

La conservazione avviene presso un Conservatore accreditato AgID (Aruba, InfoCert, Postel, Namirial) integrato via API nel gestionale. Il flusso: il documento viene generato dal sistema, firmato, marcato temporalmente, inviato al Conservatore con metadati strutturati, ricevuto in conservazione con ricevuta marcata. Tutto questo avviene senza intervento manuale dell'utente.

9. Checklist di compliance per audit

Una checklist pratica per il broker che vuole verificare la propria readiness in vista di un'ispezione IVASS:

10. Verifica gratuita con un esperto IVASS

Una sessione di 45 minuti con un nostro esperto compliance IVASS, senza script commerciali, per fare un assessment franco della tua attuale readiness: gap funzionali del gestionale, copertura dei cinque evidence pack, rischio di non-conformità in ispezione, priorità d'intervento. Output: un documento sintetico di 3 pagine con la mappatura tra requisiti IVASS e copertura del tuo attuale sistema, con le priorità ordinate per impatto. Richiedi la valutazione gratuita.

11. Domande frequenti

Quali regolamenti IVASS si applicano direttamente ai broker e agli intermediari?

Cinque corpi normativi principali: Reg. 40/2018 sulla distribuzione assicurativa (recepimento IDD); Reg. 41/2018 sulla trasparenza informativa al cliente (IPID, fascicolo informativo, identificazione del distributore); Reg. 44/2019 sull'antiriciclaggio per il settore assicurativo; Reg. 45/2020 sul governo del prodotto (POG) lato distribuzione; Reg. 24/2016 e successivi sulla formazione professionale continua. A questi si aggiungono i provvedimenti su segnalazioni periodiche (registro polizze, sinistri, reclami) e gli orientamenti EIOPA via IVASS.

Cos'è il RUI e perché conta nella scelta del gestionale?

Il Registro Unico degli Intermediari (RUI), tenuto da IVASS, è la fonte autoritativa sull'iscrizione dei soggetti abilitati alla distribuzione assicurativa in Italia. Conta sapere le sezioni: A (agenti), B (broker), D (banche, SIM, Poste e altri intermediari finanziari), E (collaboratori dei soggetti A/B/D). Un gestionale IVASS-ready verifica via API IVASS l'iscrizione di sé stesso e dei collaboratori sez. E al momento dell'onboarding, blocca operazioni di chi non risulta iscritto, traccia eventuali sospensioni/cancellazioni.

Cosa controllano in pratica gli ispettori IVASS quando vengono in azienda?

Le ispezioni si concentrano su cinque "evidence pack" ricorrenti: (1) registro polizze e sinistri completo, ordinato, ricercabile; (2) prove di consegna dell'IPID e del fascicolo informativo a ogni contraente, con marcatura temporale; (3) registro reclami digitale conforme Reg. 41 con stato e tempi di risposta; (4) registro delle formazioni professionali per ciascun iscritto al RUI; (5) framework antiriciclaggio applicato (KYC, screening, profilo cliente, segnalazioni UIF se rami vita/investimento). Un gestionale che genera questi cinque pack su richiesta in pochi click riduce drasticamente il tempo di esposizione a un'ispezione.

Come si gestisce concretamente l'antiriciclaggio per un broker assicurativo?

Il broker assicurativo è soggetto agli obblighi AML del D.Lgs. 231/2007 (testo italiano della direttiva UE 2015/849 e successive) per i rami vita e investimento, con misure ridotte per i rami danni. Il workflow tipico include: identificazione del cliente al primo contatto, screening contro liste sanzioni e PEP (Politically Exposed Persons), profilazione del rischio (basso/medio/alto), adeguata verifica rafforzata per categorie ad alto rischio, conservazione decennale della documentazione AML, segnalazione UIF per operazioni sospette. NewPicass 14.Net integra questi step nel processo di onboarding e nella gestione delle polizze.

La conservazione decennale è obbligatoria su tutti i documenti?

Non su tutti, ma su un perimetro ampio: polizze emesse e relative appendici, IPID e fascicoli informativi con prova di consegna, registro reclami e tracce delle risposte, documentazione AML (identificazione, screening, adeguata verifica), comunicazioni rilevanti via PEC con compagnie e clienti, registro formazione professionale. Il riferimento normativo è il Codice dell'Amministrazione Digitale (D.Lgs. 82/2005, artt. 43-44) e le Linee Guida AgID 2020. La conservazione decennale avviene presso un Conservatore accreditato AgID (Aruba, InfoCert, Postel, Namirial) integrato nativamente nel gestionale.

Come si dimostra IVASS-readiness del software al momento di un'ispezione?

Tre evidenze concrete: (1) il vendor del gestionale fornisce un documento di compliance mapping (matrice tra ogni articolo IVASS Reg. 40/41/44 e la funzionalità che lo copre); (2) si producono al volo i pack richiesti dall'ispettore in formato standard (registro polizze, registro reclami, ecc.) direttamente dall'interfaccia; (3) si dimostra l'audit trail immutabile su un campione di pratiche, evidenziando chi ha fatto cosa quando. NewPicass 14.Net fornisce il compliance mapping pre-confezionato in Trust Center sotto NDA.

DORA si applica anche ai broker e intermediari assicurativi?

Non direttamente: DORA (Reg. UE 2022/2554, applicabile dal 17 gennaio 2025) si applica formalmente alle imprese di assicurazione e riassicurazione, non agli intermediari sotto certe soglie. Ma indirettamente sì: le compagnie mandanti, soggette a DORA, devono includere il broker nel proprio registro third-party e svolgere due diligence sui suoi sistemi IT. Per il broker questo si traduce in obblighi di sicurezza informatica derivati: certificazione ISO 27001 del fornitore software, evidenze di backup e DR, audit log accessibili. NewPicass 14.Net copre questi requisiti come standard.

Come si gestisce il registro reclami in modo conforme?

Il Reg. 41/2018 obbliga ogni intermediario a tenere un registro reclami digitale che documenti: data ricezione, dati del contraente, oggetto del reclamo, attività svolte, esito, data di chiusura. Il tempo massimo di risposta è 45 giorni. Il registro deve essere conservato decennale e prodotto in ispezione. NewPicass 14.Net include nativamente il registro reclami con classificazione automatica, workflow di gestione con SLA, conservazione AgID, esportazione standard per IVASS.

La formazione professionale obbligatoria può essere tracciata nel gestionale?

Sì. Il Reg. 24/2016 (e successivi) richiede 60 ore di formazione professionale ogni 36 mesi per gli iscritti al RUI sezione A, B, D, e 30 ore per la sezione E. NewPicass 14.Net include un modulo formazione che traccia ore svolte per soggetto, certificati conseguiti, scadenze, alert prima della scadenza del triennio. Il registro è esportabile per audit IVASS.

Quanto costa adeguare un broker esistente a un gestionale IVASS-ready?

Per un broker di taglia media (3.000-10.000 polizze, 5-20 utenti, 5-15 compagnie mandanti) il costo tipico di un PAS SaaS IVASS-ready è 12.000-25.000 EUR/anno in licenze, più 8.000-20.000 EUR di onboarding una tantum. Il ROI compliance è difficile da quantificare in modo lineare ma misurabile sui due lati: riduzione del tempo per produrre evidenze in ispezione (da settimane a ore), riduzione del rischio di sanzioni IVASS (multe da 5.000 a 1.000.000 EUR per violazioni gravi del Reg. 40). Una sessione gratuita di assessment quantifica entrambi i lati per il tuo perimetro specifico.