Dichiarazioni inesatte e reticenze senza dolo o colpa grave

Capitolo III: Analisi normativa dei comportamenti richiesti all'assicurato

5. Dichiarazioni inesatte e reticenze senza dolo o colpa grave

L'art. 1893 C.C. considera il caso delle dichiarazioni inesatte e reticenze senza dolo o colpa grave, e quindi il caso in cui esse siano state rese con colpa lieve o buona fede. È necessario infatti a questo punto considerare che accanto alla colpa grave c'è la colpa lieve, nella quale non ricorre nemmeno la volontà di porre in essere l'evento che è la dichiarazione inesatta o reticente.

Si tratta della possibilità più prevedibile nel caso delle polizze cyber nelle quali, come affermato in precedenza, la conoscenza dell'esatta dimensione del rischio richiede spesso che l'assicurato si affidi a degli esperti.

Ciò che l'art. 1893 C.C. vuole sanzionare in caso di colpa lieve quindi, non è un atteggiamento malizioso o gravemente negligente del contraente che quindi trae in inganno l'assicuratore, ma lo squilibrio obiettivo tra il rischio che non corrisponde al vero stato delle cose assunto dall'assicuratore e quello reale accertato successivamente.

L'ipotesi disciplinata dall'art. 1893 C.C. quindi si discosta in maniera notevole, sia in merito ai presupposti che agli effetti, da quella descritta dall'articolo precedente. Rimane comunque fermo il denominatore riguardante il processo di formazione della volontà dell'assicuratore determinato dalla descrizione del rischio che viene effettuata dal contraente, e tale che l'assicuratore altrimenti non avrebbe concluso il negozio o lo avrebbe fatto a condizioni diverse179_{. Troverà inoltre anche in questo caso applicazione}

l'obbligo di collaborazione dell'assicuratore nella descrizione del rischio. La mancanza del dolo o della colpa grave però, non è più il presupposto per l'applicazione della disciplina come nel caso dell'art. 1892 C.C., e questo porta a delle conseguenze ben differenti.

5.1 Recesso dell'assicuratore

In questo caso il contratto non si scioglie, a differenza del caso precedente, ma all'assicuratore viene data la possibilità di recedere entro tre mesi dal momento in cui viene a conoscenza del vizio. Si esclude quindi esplicitamente la possibilità dell'annullamento da parte dell'assicuratore mentre si riconosce quella del recesso. Dato che il recesso opera da suo esercizio, bisogna tuttavia considerare che nel caso in cui l'evento si verifichi prima della decorrenza del termine di decadenza di tre mesi, ovvero durante questo periodo ma prima dell'esercizio del recesso, l'assicuratore può ridurre la somma dovuta in proporzione alla differenza tra il premio che è stato convenuto e quello che invece sarebbe stato applicato nel caso della diversa situazione di rischio. Egli quindi godrà di una autotutela affievolita rispetto a quella prevista dalla norma precedente.

Si nota dunque che il comportamento preso in esame è meno grave rispetto al precedente, e per questo lo scopo di tutela dell'assicuratore viene perseguito con una disciplina meno severa.

6. Il questionario

La giurisprudenza italiana è intervenuta a livello interpretativo sul tema dello stato soggettivo del dolo o della colpa in ipotesi di dichiarazioni inesatte o reticenze dell'assicurato in quanto le norme appena esaminate, per la genericità di contenuto e l'obbligo che incombe sull'assicurato potrebbero determinare un eccessivo sbilanciamento dell'equilibrio normativo del contratto a favore dell'assicuratore. La giurisprudenza in questa analisi ha attribuito una particolare rilevanza al questionario che viene sottoposto all'assicurato al fine di determinare quali sono le circostanze rilevanti che devono essere comunicate all'assicuratore.

La giurisprudenza in tal senso individua in base all'art. 1337 C.C. un dovere dell'assicuratore di ridurre congruamente gli spazi di indeterminatezza delle circostanze

alla conoscenza delle quali abbia interesse, considerato che la valutazione di quest'ultimo obbligo involge, di regola, apprezzamenti squisitamente soggettivi180_.

6.1 La redazione del questionario da parte dell'intermediario

Comunque non sembra che questa rilevanza del questionario possa riequilibrare la posizione dell'assicurato rispetto a quella dell'assicuratore in merito agli obblighi di informazione in fase precontrattuale.

Bisogna infatti tenere conto che nella prassi è frequente che il questionario non sia redatto dall'assicurato ma piuttosto dall'agente, e che l'assicurato lo sottoscriva solamente, senza l'esatta cognizione del suo contenuto e delle sue conseguenze civili disciplinate dall'art. 1892 C.C.181_.

Il problema comunque potrebbe trovare la sua soluzione nelle regole di condotta che sono state introdotte a carico degli intermediari assicurativi del regolamento ISVAP n. 5/2006 che, in particolare all'art. 53, prevede che gli intermediari siano tenuti a consegnare al contraente anche una copia del contratto e di ogni altro atto o documento da esso sottoscritto182_{, e quindi anche del questionario. Con questa}

soluzione si da all'assicurato la possibilità di rivedere con calma il questionario ed effettuare quindi le rettifiche eventuali183_.

Con riguardo poi agli obblighi delle imprese di assicurazione nella redazione della documentazione precontrattuale, nel regolamento ISVAP n. 35/2010 si prevede sia per il ramo vita che per il ramo danni che le imprese assicurano la coerenza delle informazioni contenute all'interno dei documenti precontrattuali e contrattuali184_,

quindi non dovrebbero esserci delle dissonanze tra il contenuto del questionario e quello della polizza nella individuazione del rischio assicurato.

180_{Cass. Civ., 20 novembre 1990, n. 11206, in Giur. it., 1991, I, p. 1029; Trib. Torino, 16 luglio 1997, in}

Resp. civ. e prev., 1998, p. 1533, con nota di Dies, "Ancora in tema di annullamento o recesso dal

contratto di assicurazione per dichiarazioni inesatte o reticenti del contraente"; Cass. Civ., Sez. III, 12 maggio 1999, n. 4682, in Assicurazioni. 1999, II, p. 280, e in Foro It., 1999, I, p. 2898.

181_V

ALENTINO D., op. cit., p. 102.

182_{Art. 53 Regolamento ISVAP n. 5/2006.} 183_V_ALENTINO_{D., op. cit., p. 103.}

Sempre quest'ultimo regolamento poi, all'art. 32, prevede che le imprese richiamano nella polizza, con caratteri grafici di particolare evidenza, l'avvertenza che le dichiarazioni non veritiere, inesatte o reticenti rese dal soggetto legittimato a fornire le informazioni richieste per la conclusione del contratto possono compromettere il diritto alla prestazione185_.

6.2 Il valore del questionario

I questionari sul rischio evidenziano l'intenzione dell'impresa di assicurazione di attribuire una particolare importanza a determinati requisiti, richiamando l'attenzione del contraente all'esigenza di fornire delle risposte complete e veritiere alle domande che in essi sono contenute186_.

Il questionario comunque ha solamente un valore indicativo e non costituisce di per sé la prova né della rilevanza delle circostanze che contiene né dell'irrilevanza di quelle che non vengono menzionate187_.

Alle volte inoltre l'assicuratore dichiara espressamente che una specifica circostanza del questionario è considerata essenziale ai fini dell'applicabilità della disciplina degli artt. 1892 - 1893 C.C., ma in questi casi l'inserimento di una clausola che affermi la sostanziale importanza di una risposta precisa da parte del contraente non è comunque sufficiente a rendere di per sé rilevante una eventuale reticenza o inesattezza, in quanto è necessario che la circostanza oggetto della domanda incida sul rischio in modo effettivo188_.

Oltre a questa effettiva incidenza sul rischio comunque sarà necessario valutare anche come il questionario è stato redatto: una formulazione dei quesiti che sia estremamente ampia e generica potrebbe infatti indurre il contraente a fornire delle

185_{Art. 32 Regolamento ISVAP n. 35/2010.}

186_{Cass. Civ., 20 novembre 1990, n. 11206, in Giur. it., 1991, I, p. 1029; Cass. Civ., Sez. I, 4 aprile 1991, n.}

3501. Mass. Foro it., 1991; Cass. Civ., Sez. III, 12 ottobre 1998, n. 10086, in Foro it., 1999, I, p. 125; Cass. Civ., Sez. III, 12 maggio 1999, n. 4682, in Assicurazioni. 1999, II, p. 280, e in Foro It., 1999, I, p. 2898; Cass. Civ., Sez. III, 24 novembre 2003, n. 17840, in Nuova giur. comm., 2004, I, p. 401.

187_D_ONATI_A.,_V_OLPE_P_UTZOLU_{G., Manuale di diritto delle assicurazioni, Milano, 2009, p. 127.}

188_{Cass. Civ., Sez. III, 25 marzo 1999, n. 2815, in Assicurazioni, 1999, II, p. 146, con nota di R}_OSSETTI_M.,

risposte poco dettagliate o anche a non comunicare informazioni su alcuni fatti e situazioni rilevanti.

A questo proposito si è recentemente ritenuto che, con l'entrata in vigore del Codice delle Assicurazioni Private, anche il questionario, al pari del contratto e di ogni altro documento che viene consegnato al contraente dall'impresa di assicurazioni, debba essere redatto in modo chiaro ed esauriente, come definito dall'articolo 166 al primo comma del codice appena richiamato189_.

I questionari in ogni caso sono particolarmente importanti per le situazioni che si stanno analizzando, in quanto porre delle domande può confermare che esse sono importanti in merito al consenso dell'assicuratore. Infatti, se le risposte dovessero poi risultare non veritiere o reticenti si potrebbe certamente affermare che l'assicuratore, se avesse conosciuto il vero stato delle cose, non avrebbe stipulato il contratto o lo avrebbe stipulato ad altre condizioni.

Se l'assicuratore non rivolgesse invece tutte le domande necessarie per una completa rappresentazione del rischio, non si potrebbe considerare l'assicurato reticente a priori, perché l'omissione di un quesito potrebbe presupporre che quel quesito è irrilevante per l'assicuratore. Se però si trattasse di un aspetto particolare del rischio che di norma non viene garantito dall'assicuratore allora non sarebbe coerente la considerazione di quella omissione o lacuna del questionario come dimostrazione dell'assicuratore di garantire quel particolare aspetto del rischio senza nemmeno considerarlo condizione di stipula.

Per il rischio cyber questa circostanza è da tenere certamente in considerazione in quanto l'informatica e tutto ciò che ad essa è collegato è un universo in continua e rapida evoluzione, per cui l'assicuratore ha certamente il dovere di predisporre un questionario che metta il più possibile l'assicurato nelle condizioni di fornire una corretta e completa descrizione del rischio.

6.3 L'importanza del questionario per il rischio cyber

Nel caso di contratti di assicurazione aventi come causa l'assunzione del rischio cyber da parte dell'impresa di assicurazione, come specificato più volte, sarebbe fondamentale delimitare l'area di rischio che si vuole includere nella copertura assicurativa.

Proprio per questa ragione le compagnie assicurative chiedono al cliente che intende stipulare una polizza assicurativa per la copertura del rischio cyber innanzitutto di compilare un questionario valutativo che ha lo scopo di evidenziare le informazioni necessarie per una prima valutazione del rischio. Gli argomenti che vengono trattati dal questionario valutativo sono molti e cambiano per ogni compagnia, ed essi stessi sono un indicatore di complessità del tema, che necessita infatti di una normalizzazione e di una standardizzazione. Con il nuovo framework normativo europeo di cui si è accennato in precedenza ci si sta avviando verso una normalizzazione in quanto vengono date delle linee guida: il che sicuramente aiuta il mercato stesso a capire quali sono le necessità, orienta i clienti e allinea gli assicuratori in modo tale che si possano fare paragoni tra le coperture, permettendo al cliente di decidere più agevolmente a chi affidarsi190_.

All'impresa viene richiesto un attento esame della propria struttura a livello informatico e questo percorso tocca sempre almeno una quindicina di punti: la quantità di dati sensibili trattati, le policy di protezione dei dati, la geolocalizzazione delle sue sedi, i sistemi di firewall e gli antivirus, il monitoraggio delle intrusioni, le transazioni con carta di credito, la gestione della privacy, l'utilizzo della crittografia, le strategie di backup, l'accesso fisico ai sistemi, l'accesso da remoto, l'outsourcing di servizi informatici, l'esposizione sui social network e social media, le strategie di business continuity. Si tratta di temi che devono entrare nel linguaggio aziendale in modo che, passo dopo passo, la sicurezza informatica esca dai confini dei dipartimenti IT ed entri nel DNA di tutta l'impresa.

190_{Concetto espresso da Vincenzi, M. di Allianz GCS in D}_E_P_OLIS_{F., "Come funziona la cyber security".}

Formiche. 20/02/2016. http://formiche.net/wp-

L'impresa quindi in questa fase deve già avere conoscenza dei propri punti di forza e di debolezza nei termini che si sono poc'anzi menzionati.

Dopo aver raccolto un primo insieme di informazioni, la compagnia assicurativa cercherà di ottenere un intervallo di premio che potrà poi essere affinato con il proseguio della trattativa.

6.4 Oggettività delle domande del questionario

Bisogna tenere in considerazione anche che le domande che vengono poste nel questionario oltre che essere esaustive, devono anche soddisfare il requisito dell'oggettività: molti sondaggi e ricerche che analizzano l'impatto e la percezione del rischio cyber da parte delle imprese nel mondo infatti, mettono in luce come la maggior parte di esse non sia in grado di definire oggettivamente la portata e l'importanza che questo rischio riveste oggigiorno.

Molto importante in tal senso è la ricerca condotta nel 2016 dai Lloyd's191_{, chiamata}

Facing The Cyber Risk Challenge192_{, commissionata per scoprire cosa stanno facendo le}

imprese europee per affrontare il problema della sicurezza informatica. La ricerca, incentrata su un solo tipo di incidente cyber, la violazione dei dati, ha coinvolto 346 vertici aziendali presso società importanti in tutta Europa. Dai risultati emerge che la maggior parte delle grandi imprese europee, precisamente il 92%, ha subito una violazione dei dati negli ultimi cinque anni, ma nonostante ciò la gran parte di queste vittime, cioè il 42%, non teme che questo evento possa ripetersi. Da questo dato si può dedurre che le imprese o hanno fiducia nelle loro misure di sicurezza informatica oppure sono noncuranti della loro resilienza agli attacchi hacker: qualunque sia la risposta corretta tra le due alternative, è importante considerare il fatto che le tecnologie adottate dagli hacker sono in continua evoluzione, rendendo quindi quasi

191_{Lloyd's Assicurazioni è una corporazione inglese di assicurazioni che è nata verso la fine del XVII}

secolo. Essi non sottoscrivono assicurazioni in proprio, che sono invece lasciate ai membri. La

corporazione opera come un regolatore di mercato stabilendo delle regole in base alle quali i membri possono operare e offrire servizi centralizzati agli altri operatori iscritti.

192_L_LOYD_'_S_{. "Facing the cyber risk challenge: a report by Lloyd's".}

https://www.lloyds.com/media/files/lloyds/about-

impossibile organizzare una protezione valida al 100% per le imprese. Il cyber crime infatti cresce a livello esponenziale e le modalità di attacco sono in continua evoluzione, infatti la stima dei costi annuali per fronteggiare queste difficoltà, sempre secondo la ricerca condotta dai Lloyd's, si aggira attorno ai 400 miliardi di dollari. Sempre nel sondaggio condotto dai Lloyd's, si è analizzata la preoccupazione delle imprese per le minacce interne piuttosto che per quelle esterne. Le prime tipicamente sono quelle che hanno origine nell'impresa stessa e possono avvenire in seguito all'errore umano o per l'azione di un dipendente disonesto che provoca intenzionalmente il danno. Le minacce esterne invece tendono ad essere più sofisticate e comprendono varie tecniche implementate da soggetti esterni, come quelli che in precedenza sono stati definiti hacker. Dai risultati del sondaggio si è scoperto che la maggior parte delle imprese è più preoccupata per le minacce esterne che per quelle interne. Inoltre, si evidenzia che tra le minacce interne che preoccupano maggiormente sono quelle meno sofisticate, come lo smarrimento fisico di documenti cartacei o la deliberata violazione delle informazioni da parte di un dipendente. La minaccia esterna che desta maggior preoccupazione invece è l'attacco da parte di soggetti esterni, sia esso a scopo di lucro o per motivi politici, o ancora da parte di un concorrente, per motivi economici.

È stata poi elaborata da Marsh la seconda edizione del sondaggio sul cyber risk, il Continental European Risk Survey: 2016 Report193_{, che approfondisce le modalità con}

cui le organizzazioni si rapportano al rischio informatico, i processi che vengono implementati per gestire la minaccia in questione, il livello di comprensione del problema da parte delle imprese e l'uso delle coperture assicurative per il trasferimento del rischio. Il report registra una moderata crescita della consapevolezza del rischio e della proattività nell'affrontarlo da parte delle imprese, ma c'è ancora molto da fare. La preoccupazione riguardo agli attacchi informatici cresce, ma nonostante il 31% delle imprese sostenga di avere una completa comprensione del rischio, solamente il 14% di queste colloca il presidio del rischio cyber tra le

193_M_ARSH_{, "Continental European Cyber Risk Survey: 2016 Report".}

https://www.marsh.com/content/dam/marsh/Documents/PDF/eu/en/Continental%20European%20Cyb er%20Risk%20Survey%202016%20Report.pdf. Ottobre 2016.

responsabilità dirette del Consiglio di Amministrazione ed infatti il 68% delle imprese riconduce il rischio informatico alla responsabilità unicamente della funzione IT.

Date queste premesse, è impensabile dare per scontato che le imprese siano oggettive per quanto riguarda la valutazione della loro esposizione al rischio cyber: bisogna quindi ribadire che è responsabilità dell'assicuratore rivolgere loro delle domande cui seguano risposte oggettive, che non siano cioè influenzate dalla percezione che l'impresa ha della realtà stessa.

Nel documento Le coperture assicurative contro il cyber risk: analisi normativa e prospettive future (pagine 92-100)