Provvedimento IVASS 128 del 20 febbraio 2023

E' stato pubblicato il controverso provvedimento IVASS 128 del 20.2.2023 che obbliga tutti gli intermediari che utilizzano un sito web a comunicare all'IVASS entro il 28.5.2023 il nome a dominio di secondo o terzo livello.

Il provvedimento è controverso perchè confonde i nomi a dominio con gli URL e perchè esiste già un database ufficiale dei nomi a dominio e l'accertamento dell'identità dell'intermediario si ottiene già mediante un certificato digitale ed una connessione criptata. Questo nuovo adempimento, quindi, sembra finalizzato a creare un nuovo balzello in capo agli intermediari e naturalmente creare nuove entrate per IVASS che applicherà sanzioni a chi non rispetta il provvedimento.

L'idea sarebbe quella di prevenire le truffe assicurative con vendita di polizze tramite Internet attraverso intermediari non autorizzati e per fare questo IVASS dovrebbe mettere a disposizione degli utenti nel RUI il nome a dominio (o meglio i nomi a dominio) ufficiali per ogni intermediario autorizzato.

Naturalemente ben pochi utenti di Internet andranno a leggere manualmente questo lungo elenco fidandosi solo delle verifiche automatiche con certificati e connessioni criptate.

Del resto se un utente di internet decide di acquistare una polizza tramite un sito privo di certificato e senza connessione criptata accetta un rischio molto elevato e può subire truffe.

Forse quindi l'idea di IVASS consiste nel mettere a disposizione questo database per poter evitare di ricevere critiche al mancato efficace contrasto alle truffe online ma come è ben noto a tutti Internet è una rete libera che non può essere controllata legalmente e neppure tecnicamente quindi non si comprende per quale ragione un utente maldestro che non utilizando gli strumenti basilari per una corretta protezione nella navigazione nella rete subisse una truffa dovrebbe sollevare problemi allo Stato o all'Istituto di Vigilanza.

Si tratta quindi di un provvedimento che noi contestiamo in quanto totalmente inutile al fine di contrastare le truffe online (semmai si poteva obbligare gli intermediari ad usare solo siti web con connessione criptata) e che fa una grande confusione tecnica fra i nomi a dominio (che vengono chiamati erroneamente domini e sotto-domini definizione che ovvio non esiste ma è stata suggerita da una associazione di intermediari che ovviamente non conosce nulla della rete e quindi si è sentita in dovere di esprimere la propria opinione) ed URL che addirittura nelle istruzioni tecniche vengono equiparati pur essendo due cose ben diverse.

Possiamo solo augurarci che IVASS memore della sentenza del TAR ritorni sui suoi passi, nel frattempo abbiamo formulato un serie di domande ad IVASS per capire come adempiere al provvediemento che in attesa di revoca da parte di IVASS o provvedimento del Tribunale Amministrativo, va completato entro il 28.5.2023 mediante un sistema di raccolta dei dati arcaico e molto tipico: l'invio di una pec. (da notare che IVASS, finora,  non si è neppure degnata di rispondere alla nostra garbata supplica).

Ecco le domande finora ricevute dagli Associati e girate ad IVASS:

  1. per domini e sotto-domini citati nel provvedimento si intendono rispettivamente domini di secondo livello e domini di terzo livello? (la confusione deriva come detto da una cantonata presa di una associazione di intermediari che non conoscendo la definizione tecnica ha scelto di usare il linguaggio comune creando però confusione oltre che un danno all'immagine del provvedimento sul quale verranno comminate sanzioni non a chi non conosce la lingua italiana ma a chi non si adegua al provvedimento);
  2. un sito web che utlizza un nome a dominio di secondo o terzo livello di proprietà di terzi (esempio portale) ma che assegna all'intermediario solo una specifica directory-URL (esempio: www.intermediariitaliani.it/intermediarioalfa/ ) va comunicato ovvero va indicato che l'uso di URL in luogo di nomi a dominio è prassi deprecabile per l'identificazione univoca dell'intermediario ai fini del provvedimento 128? (se chi ha fatto il provvedimento non conosce che il nome a dominio e l'URL sono cose differenti non si ritiene che la colpa di questa mancanza possa ricadere sugl intermediari);
  3. qualora un intermediario disponga di vari nomi a dominio di secondo o terzo livello che vengono permanentemente rediretti su un nome a dominio principale (esempio: intermediario.com che viene rediretto su intermediario.it sito principale con il certificato oppure nome a dominio intermediario.it che viene rediretto sul nome a dominio www.intermediario.it) questi nomi a dominio vanno lo stesso comunicati all'Istituto ovvero possono essere omessi fino a quando esiste un reindirizzamento permanente di detti nomi a dominio?
  4. un intermediario che non disponga di alcun nome a dominio o che comunque pur avendo un nome a dominio assegnato non ha un sito web è esentato dalla comunicazione?
  5. il sistema di invio delle comunicazioni a mezzo pec non risponde degli errori ed al momento (3.5.2023) il RUI non mostra il campo sito web degli intermediari. Come è quindi possibile, dopo l'invio della PEC, controllare che siano stati inviati dati corretti da parte dell'intermediario e provvedere tempestivamete alla correzione in caso di errori?
  6. E' stata prevista una moratoria sulle sanzioni per gli inevitabili involontari errori che gli intermediari commetteranno nell'invio manuale dei dati?
  7. La mancata cancellazione dal RUI di un nome a dominio non più in uso verrà sanzionata dall'Istituto?
  8. La mancata comunicazione di un nome a dominio registrato a nome dell'intermediario ma non utilizzato al momento, sarà sanzionata?
  9. se un intermediario sul proprio sito web o tramite le apposite piattaforme distribuisce a pagamento o gratuitamente una applicazione (app) per per la gestione delle polizze, la promozione della vendita delle stesse o la gestione dei sinistri, deve comunicarlo all'Istituto? In caso affermativo con quale procedura?
  10. se un collaboratore dell'intermediario non possiede un proprio nome a dominio o comunque non possiede un proprio sito web, deve essere comunicato il nome a dominio o i nomi a dominio dell'intermediario da cui dipende tale collaboratore?
  11. se un iscritto al RUI opera solo tramite la partita IVA di società di persone o capitali di cui è dirigente o rappresentante legale e non con propria partita IVA deve lo stesso comunicare il nome a dominio o nomi a dominio della società o società per le quali è responsabile? 

Come detto IVASS finora non si è degnata di rispondere.