Google nel digital health (e nell’insurance) con Fitbit, ma c’è un ma

Google ha acquisito Fitbit (werable Device) per 2,1 miliardi. Un’operazione che secondo i commentatori, è indirizzata a un rilancio di Big G in un settore – l’hardware – dominato da Apple. E’ vero, ma perché le serve l’hardaware: il vero obiettivo dell’acquisizione di Fitbit è un altro, ovvero non rimanere indietro (sempre rispetto a Apple) nel settore dell’assistenza sanitaria, un mercato da 3,5 trilioni di dollari, in cui il competitor per eccellenza si sta ritagliando un posizionamento ben preciso e costruito ad arte partendo dal prodotto hardware.

Google, o meglio Alphabet, si sta impegnando da tempo nell’healthcare: ha dalla sua un dominio incontrastato nell’archiviazione e nell’analisi dei dati, la propria eccellenza nell’intelligenza artificiale e una partecipata, Verily Life Sciences, che ha l’obiettivo di combinare data science ed healthcare per una medicina più evoluta e di precisione.

Tutto ciò le ha permesso di attivarsi nell’insurtech: è infatti uno dei principali investitori dei ormai colossi Oscar, Applied System e Clover. Ma non solo: la sua supremazia tecnologica (e i dati) la rendno il partner tecnologico ideale per le assicurazioni. Un esempio: Verily  (la sussidiaria che si occupa di life science ed healthcare), la Compagnia assicurativa statunitense John Hancock (braccio assicurativo di Manulife Financial Corporation) e la clinica virtuale per il diabete Onduo hanno realizzato insieme una innovativa polizza per i diabetici.

Perché Fitbit è importante per Google

A Google manca quello che può essere considerato il touchpoint con il consumatore finale, rappresentato per Apple da iPhone, iPod e Apple Watch, fondamentale in ambito salute perchè rappresenta sia la fonte di dati che lo strumento per erogare servizi di digital health.

In buona sostanza, senza questo touchpoint, Google potrebbe essere tagliata fuori completamente da un rapporto diretto con il mercato salute consumer. Non che non abbia da fare business nel B2B, per esempio con le assicurazioni, ma è ovvio che anche sotto questo punto di vista un device personale che registri e permetta di accedere a dati dell’utente costantemente aggiornati è insostituibile.

Si capisce dunque perché Fitbit è importante per Google: nonostante il suo wearable device non sia diffuso come l’Apple Watch ha comunque venduto 100 milioni di dispositivi in grado di raccogliere dati di altissima qualità.

Rispetto allo sviluppo di business con le compagnie assicurative avere un dispositivo wearable, già diffuso, offre nuove opportunità.

Ci si può spingere anche più avanti con le ipotesi: e cioè che grazie a Fitbit Google possa decidere di vendere le proprie polizze.

Già anni fa la società aveva tentato di entrare nel retail assicurativo: nel 2015, Google aveva ha acquisito le licenze per vendere assicurazioni in 26 stati US e collaborato con diversi vettori, e acquisito Compare.com (un comparatore) che venne trasformato in Google Compare e che non funzionò, nel 2016 venne chiuso. 

In questi anni di investimenti nell’insurtech, ha affinato la sua conoscenza del mercato assicurativo e ora che ha a disposizione un werable device potrebbe essere tentata di riprovarci. D’altro canto, gli studi confermano che i consumatori sono pronti e anche impazienti di acquistare polizze dai tech giant come Google.

Le criticità dell’operazione Google-Fitbit

“Con l’acquisizione di Fitbit si prospetta una concentrazione pericolosa nel controllo dei dati – ha detto Antonello Soro Garante Privacy a CorCom –. Si va nella direzione di una sempre più spinta concentrazione nell’economia digitale, direzione opposta a quella tra l’altro indicata anche dalla risoluzione del Parlamento europeo del 2017 contraria a questi processi. Il controllo di un così grande patrimonio informativo produce – come nel caso degli altri giganti del web – un potere abnorme nella disponibilità di pochi soggetti privati che incide negativamente sulla tenuta delle democrazie nel pianeta.”

Persino negli Stati Uniti, dove certamente la legislazione in materia di tutela dei dati è molto più blanda rispetto all’Europa in cui vige il GDPR, Google è da tempo nel mirino delle autorità per i medesimi motivi.

In un commento pubblicato da Agenda Digitale, Stefano Quintarelli, presidente Comitato d’Indirizzo Agenzia per l’Italia Digitale, dice: “L’acquisizione dell’azienda di wearable Fitbit da parte di Google apre scenari politici e regolamentari che l’unione europea dovrà decidersi ad affrontare. Intanto c’è un tema di consenso: chi ha acquistato un dispositivo indossabile Fitbit ha dato a questa azienda, e non a Google, il consenso per il trattamento dei dati. Per cui, io utente mi aspetto che Google chieda nuovamente il mio consenso per poterglielo eventualmente rifiutare dato che si tratta di dati sensibili, attinenti alla salute che non voglio vengano uniti al profilo e a tutte le informazioni di varia natura – dagli acquisti agli spostamenti – che Google ha di me. La concentrazione delle informazioni è un rischio. Qual è il livello a cui vogliamo arrivare? Fino a dove deve arrivare Google prima che si ritenga che concentrare troppa informazione è un problema? La concentrazione delle informazioni è un rischio. Qual è il livello a cui vogliamo arrivare? Fino a dove deve arrivare Google prima che si ritenga che concentrare troppa informazione è un problema? Questo regime regolatorio deve cambiare e la Commissione europea dovrebbe aprire una serie riflessione”.

L’articolo Google nel digital health (e nell’insurance) con Fitbit, ma c’è un ma proviene da InsuranceUp.


Machine learning, rischi e vantaggi delle decisioni automatizzate

La banca online concederà il prestito? Il premio assicurativo varierà costantemente in base ai comportamenti di guida? Chi verrà selezionato per la posizione vacante a cui tantissime persone hanno inviato online la propria candidatura?

Queste tre domande hanno un aspetto in comune: l’incertezza della risposta. I meccanismi digitali delle organizzazioni a cui ci rivolgiamo quotidianamente sono oggi governati da “intermediatori intelligenti” utili a potenziare le capacità decisionali dell’uomo in molteplici ambiti della vita del singolo e della collettività, riducendo inefficienze ed errori. Ma qual è il processo che consente di arrivare a queste decisioni in cui l’essere umano interviene sempre meno frequentemente?

Gli scenari

Un primo scenario non implica intelligenza, ma la semplice riproposizione in forma digitale di regole nativamente analogiche. Assumiamo che ad ogni persona più anziana di ottant’anni venga rifiutata automaticamente la richiesta di assicurazione sulla vita. Il processo è elementare: si stabilisce una regola fissa (deterministica) che guiderà la decisione in maniera automatica.

Un secondo scenario, sempre più utilizzato, implica una fase preliminare di analisi dei dati – detta profilazione – che consente successivamente di arrivare alla decisione automatizzata.

Intendiamo per profilazione quell’attività automatica utile alla classificazione dei soggetti in base a determinate caratteristiche personali di comportamento. Questa operazione, di per sé priva di significato, consente di dedurre (anche da dati aggregati) informazioni personali utili alle decisioni che l’organizzazione dovrà prendere in un momento immediatamente successivo.

Un esempio per comprendere cos’è la profilazione

Un esempio ci aiuterà a capirne la portata.

Una compagnia assicurativa decide di analizzare i dati dei pagamenti elettronici di tutti i suoi clienti per identificare comportamenti correlati al tasso di incidentalità stradale. L’analisi rivela che chi consuma alcolici nei bar di notte è maggiormente soggetto a commettere incidenti stradali: il modello ha identificato un pattern rilevante ed è in grado di riconoscerlo anche quando vengono processati dati completamente nuovi. Dunque, applicando il profilo a un singolo nuovo cliente si può supporre che, se quel soggetto acquista drink nei bar in orari notturni, vi sono considerevoli possibilità che sia maggiormente esposto a commettere incidenti stradali.

Così, in virtù delle informazioni estratte, la compagnia assicurativa potrà personalizzare i premi dei singoli clienti oppure proporgli prodotti alternativi. In base al risultato ottenuto dal modello si dà quindi vita a una decisione che nella maggior parte dei casi avviene in forma totalmente automatizzata.

Machine learning, profilazione e rischio discriminazione

Tra le molte soluzioni tecnologiche ad oggi disponibili sul mercato, il Machine Learning (ML) sembra essere lo strumento più efficace per realizzare quanto fin qui descritto. In altre parole, considerando che i profili non sono altro che patterns risultanti da un trattamento probabilistico di dati, utilizzare algoritmi di ML risulta particolarmente idoneo e conveniente per l’attività di profilazione.

Ma gli innegabili benefici di questo approccio all’analisi dei dati devono essere attentamente contemperati con le esigenze di protezione dei soggetti a cui i dati si riferiscono. Tali pratiche infatti non solo possono dar vita a nuove forme di controllo e monitoraggio pervasivo e costante sugli individui, ma possono addirittura arrivare ad esasperare pregiudizi ed incrementare discriminazioni, determinando nel peggiore dei casi anche emarginazione o esclusione sociale. Tutto ciò pone particolari rischi per i soggetti, soprattutto considerando la complessità e la spesso inevitabile “opacità” in merito al funzionamento di questi strumenti.

Le tutele anti-discriminazione del Gdpr

A fronte dell’aumento considerevole dei rischi poco fa descritti, l’apparato normativo europeo si è dotato di strumenti utili a contenerne gli effetti negativi che queste tecnologie potrebbero generare sulle persone fisiche.

Il nuovo Regolamento Europeo sulla Protezione dei Dati (Reg. UE 2016/679 – GDPR – direttamente applicabile dal 25 maggio 2018) continua a proteggere informazioni sensibili e sistemi informatici da attacchi hacker, ma aggiunge molto altro. Uno dei principali propositi del GDPR consiste nel contrastare la potenziale capacità discriminatoria che algoritmi e decisioni automatizzate possono avere sulle persone fisiche.

In particolare, l’articolo 22, stabilisce che le persone fisiche hanno il diritto di non essere sottoposte a decisioni completamente automatizzate che producano effetti giuridici o incidano in maniera analoga nei loro confronti.

Le eccezioni

Questa regola generale – derivata con notevoli miglioramenti dalla precedente Direttiva 95/46/CE – è poi mitigata da tre eccezioni (basi giuridiche che legittimano il trattamento) in cui le decisioni automatizzate sono invece consentite.

– La prima eccezione riguarda i casi in cui “la decisione è necessaria per l’esecuzione di un contratto”. L’esempio tipico riguarda il caso in cui un’azienda riceva un elevato numero di candidature per una posizione vacante e decida pertanto di servirsi di processi decisionali automatizzati per fare una short list di possibili candidati, con l’intenzione di concludere un contratto con uno (o alcuni) di loro. Per rispondere al più generale requisito di necessità, il processo decisionale dovrebbe essere il metodo meno invasivo della sfera della privacy del soggetto per poter concludere quel contratto. Nella maggior parte dei casi però la decisione agevola o semplicemente permette la conclusione del contratto, pur non essendo strettamente necessaria. E così, considerando che il margine tra necessità e facilitazione è molto sottile, un’interpretazione restrittiva della norma lascerebbe poco spazio alle organizzazioni per potersi avvalere di questa eccezione e dunque servirsi di processi decisionali totalmente automatizzati. Può addirittura capitare che questo approccio all’analisi dei dati permetta di ridurre l’invasività del processo sotteso sotto il profilo privacy. Infatti, grazie alle feature selection -fase in cui si seleziona un subset di variabili rilevanti e significative per la costruzione del modello – la macchina è in grado di prendere una decisione basandosi su un numero limitato di dati rispetto a quelli che un essere umano dovrebbe invece processare per prendere la stessa decisione. Proprio per questo in alcuni casi le decisioni automatizzate possono essere meno invasive rispetto a quelle prese dagli esseri umani.
– Il secondo caso in cui è possibile avvalersi di processi decisionali automatizzati riguarda  le situazioni in cui queste tecniche sono “autorizzate dal diritto UE o nazionale”. Il Federal Data Protection Act – che adegua la normativa nazionale tedesca al GDPR – ha stabilito che il diritto di non esser sottoposto a decisioni totalmente automatizzate non si applica nell’ambito dei rapporti assicurativi. Senza entrare nel merito di questa disposizione ancora poco utilizzata dai legislatori europei, è importante notare come una misura legislativa che disponga l’implementazione di processi decisionali automatizzati potrebbe favorire incredibili innovazioni tecnolgiche nel settore interessato.
La terza ed ultima eccezione riguarda i casi in cui “la decisione si basa sul consenso esplicito dell’interessato”. Affinchè il consenso possa considerarsi valido ai sensi del GDPR, questo deve essere “libero, specifico, informato e inequivocabile”. Nel contesto della presente analisi, particolare complessità è rivestita dal requisito informativo, in virtù del quale il soggetto (l’interessato) deve poter comprendere genuinamente l’attività di trattamento che verrà svolta in maniera automatica. Ciò significa che chi sta trattando i dati (il titolare) deve mettere a disposizione dell’interessato una quantità sufficiente di informazioni rilevanti riguardo la logica utilizzata per prendere la decisione nonché gli effetti conseguenti al trattamento. Questo requisito non sarà difficile da implementare qualora gli algoritmi di ML utilizzati siano “white-box”. In tal caso infatti il trattamento dati può essere spiegato e compreso dall’interessato e il processo decisionale può esser tracciabile ancor più chiaramente rispetto a quanto operato da un essere umano. Invece, le tecniche “black-box” presentano particolari criticità. Questi strumenti altamente performanti tipicamente trasformano le variabili in maniera né comprensibile né spiegabile nemmeno dal miglior analista o dallo stesso programmatore.

In questi casi, affidarsi al consenso per prendere decisioni automatizzate richiederà al titolare del trattamento di compiere uno sforzo ulteriore – anche in linea con il principio di accountability – per rendere al soggetto interessato tutte le informazioni che ha a disposizione. Ciò servirà a dimostrazione del fatto che nonostante la complessità tecnologica l’interessato ha compiuto una scelta informata in merito al consenso prestato.L’importanza di questo requisito è collegata agli esiti delle ricerche Eurobarometro che rappresentano un aumento generale della consapevolezza degli utenti e un’attenzione crescente alla comprensibilità delle modalità con cui i dati vengono trattati in maniera automatizzata al fine di prendere decisioni realmente informate. La portata dirompente delle tecniche di machine learning è innegabile. Riducendo drasticamente costi e inefficienze, si possono raggiungere risultati migliori e ideare prodotti e servizi innovativi. Certamente, l’utilizzo di queste tecnologie è altrettanto complesso dal punto di vista della “GDPR compliance”, ma non è per ciò impossibile.

I tre presupposti di legittimità sopra trattati dovranno essere valutati attentamente da ogni organizzazione che decida di avviare processi decisionali automatizzati. I titolari del trattamento dovranno comunque preoccuparsi delle scelte tecnologiche e della corretta implementazione dei principi di liceità, correttezza e trasparenza, della qualità dei dati descritti all’art. 5 del Regolamento, nonché di svolgere attente analisi in merito ai rischi che potrebbero derivarne. Non esistono impedimenti, ma solo regole a presidio e governo dei rischi che potrebbero derivare dall’utilizzo indiscriminato di queste tecnologie.

Impedire lo sviluppo di queste tecniche sarebbe semplicemente controproducente nel contesto più ampio del Digital Single Market europeo, le cui sfide principali si giocheranno proprio sull’automazione.

In conclusione, le organizzazioni che sapranno governare queste regole e reagire in maniera “agile” a questi rischi otterranno considerevoli vantaggi competitivi in un terreno di gioco sempre più digitale, interconnesso, autonomo e robotizzato. L’obiettivo ultimo non dev’essere semplicemente la compliance in senso stretto, ma il miglioramento del design del prodotto, della user experience e – in ultimo – l’aumento della fiducia dei clienti quale driver fondamentale dei mercati digitali.

(Giulia Del Gamba – Stefano Leucci, originariamente pubblicato su Agenda Digitale)

L’articolo Machine learning, rischi e vantaggi delle decisioni automatizzate proviene da InsuranceUp.


Information security: aumentano i rischi, ma gli investimenti non tengono il passo

1,19 miliardi di euro: è il valore assoluto degli investimenti realizzati dalle imprese italiane in ambito cyber security e privacy secondo l’ultima ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano.

Un +9% rispetto all’anno precedente, probabilmente sulla scia dell’introduzione del GDPR a maggio 2018. Il trend è determinato soprattutto dagli investimenti delle grandi imprese, che da sole raccolgono il 75% della spesa totale, concentrandosi essenzialmente sull’adeguamento al Gdpr e sulle componenti di sicurezza più tradizionali, dalla Network Security alla Business Continuity & Disaster Recovery, fino alla Endpoint Security.

Secondo i risultati della ricerca il 63% delle grandi imprese ha aumentato il budget per la cyber sicurezza, mentre per il 52% questo capitolo è presente un piano di investimenti pluriennale: Rimane in ogni caso ancora un’azienda su 5 che non prevede investimenti dedicati, o stanzia risorse solo in caso di necessità.

Per adattarsi al GDPR  l’88% delle imprese ha dedicato un budget specifico: grazie a questo una su quattro ha già completato il processo di adeguamento, mentre il 59% ha progetti in corso. Ricordiamo che il GDPR prevede anche l’introduzione di nuove figure professionali come il Data Protection Officer che oggi è nel 71% delle imprese, con un +46% rispetto al 2017, e il Chief Information Security Officer che è in quasi due imprese su tre. Nell’ultimo anno si è inoltre assistito all’emergere di professioni finora poco considerate, come il Cyber Risk Manager, l’Ethical Hacker e il Machine Learning Specialist.

“Il mercato delle soluzioni per la sicurezza informatica e la privacy è dinamico, con consapevolezza e budget in crescita, anche se non con lo stesso ritmo del 2017 – afferma Gabriele Faggioli, responsabile scientifico dell’Osservatorio Information Security & Privacy – Ma allo stesso tempo si registra un’accelerazione senza precedenti del numero e della varietà degli attacchi e le imprese non sembrano adeguatamente preparate. Gli investimenti effettuati negli ultimi anni sono una buona base di partenza, che ha permesso di mettere in campo strutture organizzative, procedure e competenze, ma è necessaria una maggiore pervasività delle iniziative di sicurezza a tutti i livelli manageriali e organizzativi delle imprese e un maggiore coinvolgimento dei profili dedicati alla security nelle strategie di business”.

Cresce l’utilizzo delle tecnologie emergenti per la sicurezza informatica: è il caso dell’intelligenza artificiale, utilizzata dal 40% delle imprese per prevenire gli attacchi, minacce o frodi.

Fino a oggi, le imprese  vedono l’intelligenza artificiale più come un’opportunità che come una sfida. Soltanto il 14% del campione ritiene possa costituire una minaccia, soprattutto a causa dell’inaffidabilità delle macchine nel lungo periodo e della possibilità di utilizzarla per condurre attacchi mirati, mentre il 64% crede che sia utile per automatizzare il processo di raccolta e analisi dei dati per identificare in ottica preventiva eventuali minacce e vulnerabilità e il 17% per prendere decisioni in supporto o al posto dell’uomo. Un interesse che si traduce in progetti concreti, con il 40% delle imprese che già oggi sta utilizzando tecniche di AI o Machine Learning per prevenire potenziali minacce e identificare gli attacchi ancora prima che si verifichino (17%), per ottimizzare la gestione di eventuali incidenti di sicurezza automatizzando il processo decisionale e il tempo di risposta (15%) e per intercettare possibili frodi (8%). Il 36% del campione sta pianificando di adottare soluzioni di intelligenza artificiale nel prossimo futuro.

Ma quali sono i principali obiettivi dei cyber criminali? La maggior parte degli attacchi lanciati nel 2018 possono essere raggruppati sotto l’ombrello delle truffe, a partire dal phishing e dal business email compromise (83%) per arrivare fino alle estorsioni (78%). Ma non mancano le intrusioni a scopo di spionaggio (46%) e le interruzioni di servizio (36%). Analizzando però quali sono gli attacchi che nel futuro saranno destinati a crescere in modo più impetuoso, nei timori delle aziende ci sono soprattutto spionaggio (55%), truffe (51%), influenza e manipolazione dell’opinione pubblica (49%), acquisizione del controllo di sistemi come impianti di produzione (40%).

“Oggi per le organizzazioni è necessario adattarsi al cambiamento per evitare di venirne travolte – aggiunge Alessandro Piva, direttore dell’Osservatorio Information Security & Privacy – Siamo di fronte a un processo dirompente per quanto riguarda la gestione della sicurezza, che porrà nei prossimi mesi e anni sfide rilevanti. Le organizzazioni sono chiamate a internalizzare meccanismi di adattamento e a sviluppare regole istintive, da affiancare a strumenti, processi e competenze, per affrontare questa sfida e reagire in modo proattivo alle minacce che si troveranno ad affrontare”.

(fonte: Risk Management 360)

L’articolo Information security: aumentano i rischi, ma gli investimenti non tengono il passo proviene da InsuranceUp.