Il Cyber Risk è un evento sempre più certo e temuto: nessuna azienda può ritenersi immune dal problema
Le violazioni cyber sono tra i rischi più diffusi e costosi per le aziende. Eppure solo poche aziende sono in grado di quantificare realmente la propria esposizione al rischio informatico, compromettendo la capacità di proteggersi in modo efficace. Il mercato delle polizze cyber è oggi in rapida evoluzione, ormai in grado di offrire soluzioni personalizzate, premesso un adeguato processo di analisi e valutazione.
Criticità nella valutazione del rischio
Secondo la Geneva Association, organismo internazionale impegnato in importanti questioni strategiche assicurative e relative al Risk Management, i danni causati dagli attacchi cyber si attestano tra 100 e 1.000 mld di $ e incidono sul PIL dei paesi sviluppati fino all’1,6%.
La consapevolezza del rischio, aumentata nettamente negli ultimi anni, scarseggia però ancora tra le piccole e medie imprese, che risultano essere tra le più colpite.
Le molteplici conseguenze di un attacco ai sistemi informatici aziendali possono avere grosse ricadute sui guadagni e vengono raramente considerate nella loro totalità:
- furto/corruzione di dati sensibili interni e/o di terzi
- danni patrimoniali derivanti da interruzione dell’attività
- danni patrimoniali causati da frodi finanziarie
- danni materiali agli asset aziendali
- danni materiali ai clienti
- danni di immagine
Rimane complesso per le aziende valutare la propria capacità di difesa in ambito di sicurezza informatica, a quali attività dare la priorità o se sia opportuno trasferire una parte del rischio al mercato assicurativo.
I parametri da considerare sono spesso di difficile misurazione: quanti dati sensibili vengono trattati, le policy di protezione dei dati, la geolocalizzazione delle sedi, sistemi firewall e antivirus, monitoraggio delle intrusioni, transazioni con carte di credito, gestione della privacy, utilizzo della crittografia, strategie di backup, accesso fisico ai sistemi, accesso da remoto, outsourcing di servizi informatici, esposizione sui social network, strategie di business continuity.
Come scegliere la polizza
La certezza di inviolabilità non esiste e il trasferimento del rischio al mercato assicurativo in questo campo è una necessità.
La stipula di una polizza cyber è più delle altre un processo che parte dall’analisi delle specifiche necessità dell’azienda alla creazione di una cultura aziendale consapevole dei rischi e capace di implementare le misure di sicurezza. La peculiarità del rischio e l’immaturità del settore, ancora sprovvisto di standard assicurativi di riferimento, rendono indispensabile una buona conoscenza del mercato. Interpellare direttamente una compagnia assicurativa potrebbe portare a soluzioni non rispondenti alle esigenze dell’assicurato: molte aziende si rivolgono alla consulenza assicurativa per individuare le strategie da adottare.
Le soluzioni assicurative sono di solito strutturate in macro‐moduli attivabili o meno, generalmente riguardanti:
- responsabilità Civile verso Terzi, tipicamente per violazione della privacy o utilizzo non autorizzato dell’infrastruttura informatica;
- costi di reazione indennizzabili a fronte di sinistro;
- danni indiretti.
Per valutare l’idoneità di una copertura assicurativa occorre individuare i possibili scenari di rischio e includere una stima dei costi legati alla segnalazione alle autorità di vigilanza delle intrusioni subite.
E’ innanzitutto utile analizzare in ottica Cyber le polizze che già coprono asset aziendali e verificare se e in quale misura considerino le problematiche ICT correlate: polizza Incendio, Danni Indiretti o Business Interruption, Elettronica, RC Generale – Responsabilità Civile Generale, RC Professionale – Responsabilità Civile Professionale, RC Prodotti – Responsabilità Civile per prodotto difettoso, D&O – Responsabilità degli Amministratori e dei Dirigenti.
E’ poi da ricordare che la particolarità del rischio cyber lo rende difficile da inserire efficacemente in una copertura assicurativa generale: per questo è consigliabile dotarsi di una polizza specifica.
L’assicurazione deve proteggere non solo i dati immagazzinati all’interno della sede operativa, ma anche quelli presenti all’esterno, per esempio su laptop, cellulari e tablet dei dipendenti di un’azienda: numerosi esperti, infatti, ritengono che la diffusione di malware nei dispositivi mobili avrà una crescita significativa nei prossimi anni.
Molte coperture includono i costi di indagine delle autorità di controllo e vigilanza successive al sinistro, le spese legali, la consulenza di esperti di comunicazione di crisi, esperti informatici e periti.
Vengono invece spesso esclusi i costi legati all’impiego di personale dedicato alle attività di ripristino.
Bisogna prestare particolare attenzione nel caso l’acquisizione e raccolta dei dati sensibili sia nelle mani di un terzo, sincerandosi che abbia adottato adeguate misure di cyber security e sia a sua volta munito di adeguata copertura assicurativa.
Anche in ambito cyber ricorre la bipartizione tra polizze loss occurrence e claim’s made. Le prime restringono la copertura a perdite di dati o attacchi che si verificano dal momento iniziale di copertura; tuttavia, le violazioni del sistema possono essere latenti e venire individuate a distanza di tempo dalla loro realizzazione, per cui una copertura che non preveda almeno una limitata retroattività potrebbe in tali casi rivelarsi inadeguata. Per questo motivo è consigliabile una copertura claim’s made, che assicuri anche eventi dannosi occorsi precedentemente alla decorrenza della polizza e denunciati in seguito, purchè l’assicurato non ne fosse già a conoscenza.
Molte polizze escludono la copertura in relazione al pagamento di riscatti chiesti dal particolare tipo di malware, i ransomware, per liberare il sistema: l’assicurabilità su tali operazioni è del resto dubbia in numerose giurisdizioni.
Le misure di Loss Prevention sono cruciali
La corretta adozione delle misure di prevenzione richieste in polizza quale condizione per la sussistenza delle coperture sarà un tema rilevante in futuro.
Spesso le clausole di esclusione considerano la mancata implementazione di adeguate misure di loss prevention e vanno valutate attentamente possibili eccezioni legate a misrepresentation, vale a dire alla presenza di lacune/omissioni negli elementi e dati forniti dall’assicurato per la valutazione del rischio.
La diffusione della cyber insurance è stata finora ostacolata, oltre che da una percezione parziale della diffusione del fenomeno e dell’entità del rischio, dagli alti costi di copertura e dalla difficoltà nell’individuazione della copertura e del wording di polizza adeguato. Il problema è stato amplificato dal fatto che, trattandosi di un mercato ancora in fase di sviluppo, le compagnie non dispongono di dati storici su un arco di tempo sufficientemente esteso da consentire una completa valutazione del rischio.
L’ambito assicurativo legato al cyber risk sembra tuttavia destinato ad uno sviluppo rilevante nel prossimo futuro.