Polizze Cyber

La copertura assicurativa del Rischio Cyber

Il Cyber Risk è un evento sempre più certo e temuto: nessuna azienda può ritenersi immune dal problema

 

Le violazioni cyber sono tra i rischi più diffusi e costosi per le aziende. Eppure solo poche aziende sono in grado di quantificare realmente la propria esposizione al rischio informatico, compromettendo la capacità di proteggersi in modo efficace. Il mercato delle polizze cyber è oggi in rapida evoluzione, ormai in grado di offrire soluzioni personalizzate, premesso un adeguato processo di analisi e valutazione.

Criticità nella valutazione del rischio

Secondo la Geneva Association, organismo internazionale impegnato in importanti questioni strategiche assicurative e relative al Risk Management, i danni causati dagli attacchi cyber si attestano tra 100 e 1.000 mld di $ e incidono sul PIL dei paesi sviluppati fino all’1,6%.

La consapevolezza del rischio, aumentata nettamente negli ultimi anni, scarseggia però ancora tra le piccole e medie imprese, che risultano essere tra le più colpite.

Le molteplici conseguenze di un attacco ai sistemi informatici aziendali possono avere grosse ricadute sui guadagni e vengono raramente considerate nella loro totalità:

  • furto/corruzione di dati sensibili interni e/o di terzi
  • danni patrimoniali derivanti da interruzione dell’attività
  • danni patrimoniali causati da frodi finanziarie
  • danni materiali agli asset aziendali
  • danni materiali ai clienti
  • danni di immagine

Rimane complesso per le aziende valutare la propria capacità di difesa in ambito di sicurezza informatica, a quali attività dare la priorità o se sia opportuno trasferire una parte del rischio al mercato assicurativo.

I parametri da considerare sono spesso di difficile misurazione: quanti dati sensibili vengono trattati, le policy di protezione dei dati, la geolocalizzazione delle sedi, sistemi firewall e antivirus, monitoraggio delle intrusioni, transazioni con carte di credito, gestione della privacy, utilizzo della crittografia, strategie di backup, accesso fisico ai sistemi, accesso da remoto, outsourcing di servizi informatici, esposizione sui social network, strategie di business continuity.

Polizze Cyber: come proteggersi

La certezza di inviolabilità non esiste e il trasferimento del rischio al mercato assicurativo in questo campo è una necessità.

La stipula di una polizza cyber è più delle altre un processo che parte dall’analisi delle specifiche necessità dell’azienda alla creazione di una cultura aziendale consapevole dei rischi e capace di implementare le misure di sicurezza. La peculiarità del rischio e l’immaturità del settore, ancora sprovvisto di standard assicurativi di riferimento, rendono indispensabile una buona conoscenza del mercato. Interpellare direttamente una compagnia assicurativa potrebbe portare a soluzioni non rispondenti alle esigenze dell’assicurato: molte aziende si rivolgono alla consulenza assicurativa per individuare le strategie da adottare.

Le soluzioni assicurative sono di solito strutturate in macro‐moduli attivabili o meno, generalmente riguardanti:

  • responsabilità Civile verso Terzi, tipicamente per violazione della privacy o utilizzo non autorizzato dell’infrastruttura informatica;
  • costi di reazione indennizzabili a fronte di sinistro;
  • danni indiretti.

Per valutare l’idoneità di una copertura assicurativa occorre individuare i possibili scenari di rischio e includere una stima dei costi legati alla segnalazione alle autorità di vigilanza delle intrusioni subite.

E’ innanzitutto utile analizzare in ottica Cyber le polizze che già coprono asset aziendali e verificare se e in quale misura considerino le problematiche ICT correlate: polizza Incendio, Danni Indiretti o Business Interruption, Elettronica, RC Generale – Responsabilità Civile Generale, RC Professionale – Responsabilità Civile Professionale, RC Prodotti – Responsabilità Civile per prodotto difettoso, D&O – Responsabilità degli Amministratori e dei Dirigenti.

E’ poi da ricordare che la particolarità del rischio cyber lo rende difficile da inserire efficacemente in una copertura assicurativa generale: per questo è consigliabile dotarsi di una polizza specifica.

L’assicurazione deve proteggere non solo i dati immagazzinati all’interno della sede operativa, ma anche quelli presenti all’esterno, per esempio su laptop, cellulari e tablet dei dipendenti di un’azienda: numerosi esperti, infatti, ritengono che la diffusione di malware nei dispositivi mobili avrà una crescita significativa nei prossimi anni.

Molte coperture includono i costi di indagine delle autorità di controllo e vigilanza successive al sinistro, le spese legali, la consulenza di esperti di comunicazione di crisi, esperti informatici e periti.

Vengono invece spesso esclusi i costi legati all’impiego di personale dedicato alle attività di ripristino.

Bisogna prestare particolare attenzione nel caso l’acquisizione e raccolta dei dati sensibili sia nelle mani di un terzo, sincerandosi che abbia adottato adeguate misure di cyber security e sia a sua volta munito di adeguata copertura assicurativa.

Anche in ambito cyber ricorre la bipartizione tra polizze loss occurrence e claim’s made. Le prime restringono la copertura a perdite di dati o attacchi che si verificano dal momento iniziale di copertura; tuttavia, le violazioni del sistema possono essere latenti e venire individuate a distanza di tempo dalla loro realizzazione, per cui una copertura che non preveda almeno una limitata retroattività potrebbe in tali casi rivelarsi inadeguata. Per questo motivo è consigliabile una copertura claim’s made, che assicuri anche eventi dannosi occorsi precedentemente alla decorrenza della polizza e denunciati in seguito, purchè l’assicurato non ne fosse già a conoscenza.

Molte polizze escludono la copertura in relazione al pagamento di riscatti chiesti dal particolare tipo di malware, i ransomware, per liberare il sistema: l’assicurabilità su tali operazioni è del resto dubbia in numerose giurisdizioni.

Le misure di Loss Prevention sono cruciali

La corretta adozione delle misure di prevenzione richieste in polizza quale condizione per la sussistenza delle coperture sarà un tema rilevante in futuro.

Spesso le clausole di esclusione considerano la mancata implementazione di adeguate misure di loss prevention e vanno valutate attentamente possibili eccezioni legate a misrepresentation, vale a dire alla presenza di lacune/omissioni negli elementi e dati forniti dall’assicurato per la valutazione del rischio.

La diffusione della cyber insurance è stata finora ostacolata, oltre che da una percezione parziale della diffusione del fenomeno e dell’entità del rischio, dagli alti costi di copertura e dalla difficoltà nell’individuazione della copertura e del wording di polizza adeguato. Il problema è stato amplificato dal fatto che, trattandosi di un mercato ancora in fase di sviluppo, le compagnie non dispongono di dati storici su un arco di tempo sufficientemente esteso da consentire una completa valutazione del rischio.

L’ambito assicurativo legato al cyber risk sembra tuttavia destinato ad uno sviluppo rilevante nel prossimo futuro.

Polizze agricoltura

Agricoltura, sempre meno assicurati

Prodotti assicurati in calo dell'8%, burocrazia e ritardi nell'erogazione dei contributi le principali cause

 

Polizza agricola? No, grazie. Anche la campagna assicurativa 2017 si è chiusa in negativo: quest’anno sono stati sottoscritti contratti per polizze multirischio, contro avversità atmosferiche e perdita di reddito per 347 mila tonnellate di prodotti,  in calo dell’8% rispetto al 2016 e del 23,1% rispetto al 2014. Un dato che riflette la fuga degli agricoltori soprattutto da un sistema complesso: la UE ha messo a disposizione 1,6 miliardi di fondi fino al 2020, ma si stanno ancora facendo attendere da Agea (Agenzia per le Erogazioni in Agricoltura) parte dei rimborsi 2015.

Sono stati infatti pagati solo 90 milioni su un totale di 224 ammessi a domanda di contributo, con ripercussioni economiche notevoli per l’esposizione nei confronti degli istituti di credito dei Condifesa, i consorzi territoriali nati per offrire assistenza tecnica e organizzativa ai soci per il miglioramento della difesa delle produzioni e delle attività agricole.

Basti pensare che il più grande Condifesa d’Italia, quello di Bologna-Ferrara che ha circa 500 milioni di valori assicurati, deve restituire alle banche ben 37 milioni entro il 22 dicembre, come dichiarato dal presidente Gianluigi Zucchi.

Secondo i dati forniti dall’Anascodi,  Associazione nazionale Condifesa,  nel 2016 l’importo raggiunto con la stipula delle polizze agricole è stato pari a 6,7 miliardi ed è destinato a calare del 15% nel 2017. Nel 2014 si erano raccolti oltre 8 miliardi.

Le superfici assicurate hanno sì superato i 986 mila ettari, crescendo del 3,5% nell’ultimo anno, soprattutto a seguito di acquisizioni fra aziende agricole, ma sono diminuite del 12,3% rispetto al 2014.

Previsioni assicurative per il 2018

Per il 2018 la situazione potrebbe migliorare: come emerso durante il V Forum Internazionale sulla gestione del rischio in agricoltura, gli agricoltori avranno a disposizione polizze sempre più mirate e con sistemi tecnologici più sofisticati sia per la prevenzione dei rischi, sia per il calcolo dei danni.

Inoltre,  con la riforma del decreto legislativo 102/2004 messa a punto insieme al Ministero delle Politiche Agricole, alimentari e forestali, il prossimo anno si potranno sottoscrivere nuove polizze ricavi e index  per tutelarsi anche dagli eventi catastrofali.

Il Ministro Martina ha inoltre già firmato il piano assicurativo 2018 grazie alle novità introdotte dalla UE che prevedono la diminuzione dal 30 al 20% della soglia del danno per le colture ammissibili ad agevolazioni.  

Un elemento importante che potrebbe far leva sulla necessità e la sensibilità di molti agricoltori ad accedere alle coperture assicurative.

"Il 2017 è stato un anno devastante dal punto di vista dei danni da avversità sulle colture. Gelo, grandine e siccità hanno generato ingenti perdite al mercato assicurativo e soprattutto a quello riassicurativo" ha dichiarato Michele Vimini, a.d. di Assiteca Agricoltura. "Ci si possono quindi aspettare aumenti tariffari e restrizioni alle condizioni assicurative".

"Per la campagna assicurativa del 2018 saranno determinanti la capacità degli operatori specializzati di accedere ai più importanti assicuratori del mercato e la professionalità nel mettere a disposizione consulenza e servizi" prosegue Vimini "In considerazione anche dell'enorme burocratizzazione del sistema delle assicurazioni agevolate, aumentano infatti le difficoltà per gli operatori che svolgono l'attività in maniera occasionale: è bene quindi affidarsi a un broker specializzato e d'esperienza."

 

ASSITECA AGRICOLTURA

Assiteca Agricoltura rappresenta l’impegno del Gruppo Assiteca nella gestione del rischio per l’agricoltura italiana. Offre servizi di alta qualità e professionalità ad aziende agricole, cantine vinicole, consorzi, cooperative, imprese di stoccaggio e trasformazione e associazioni di categoria.

In considerazione della particolarità dei rischi del settore e delle continue evoluzioni normative, i professionisti di Assiteca Agricoltura sono sempre aggiornati, con una profonda conoscenza del mercato e dello specifico ramo assicurativo. In questo modo è possibile garantire soluzioni assicurative innovative e calibrate sulle necessità delle diverse imprese agricole.

 

employee-benefit e welfare-aziendale_valore

Welfare aziendale: quanto vale?

Il welfare aziendale cresce e si conferma un elemento chiave della contrattazione. Previdenza complementare, sanità integrativa e orario flessibile gli employee benefit più apprezzati

 

Il welfare aziendale è sempre più un elemento chiave nei rinnovi contrattuali e all’interno delle PMI. Grazie alle politiche di detassazione e alla Legge di Stabilità 2017 sono sempre più le aziende e le sigle sindacali che adottano misure di welfare a sostegno dei lavoratori e delle loro famiglie.

I dati del Ministero del Lavoro confermano questo trend: a metà ottobre 2017, rispetto al mese precedente, le intese aziendali o territoriali che prevedono iniziative di welfare sono cresciute del 7,6%, pari a oltre 4.300. Le dichiarazioni di conformità depositate telematicamente, condizione per beneficiare della detassazione al 10%, sono ben 26.357. Sono 13.687 quelle che fanno riferimento a contratti tuttora attivi, il cui valore medio supera di poco i 2 mila euro, come riportato dal Rapporto che Il Sole 24 Ore ha dedicato al Welfare lo scorso 31 ottobre 2017.

I dati dell’osservatorio sul Welfare di Assolombarda

Vista la crescita esponenziale del fenomeno, Assolombarda ha creato l’Osservatorio sul Welfare insieme ai maggiori player del mercato, fra i quali Assiteca come unico broker e consulente assicurativo, per promuovere la cultura del welfare, monitorare il mercato e i trend di settore e condividere le best practices.

Secondo una recente indagine il 52% delle imprese associate ha già un piano attivo, mentre nel 2010 la percentuale era ferma al 35%. Il 4% delle aziende sta invece pensando di attivare questi servizi. Il welfare è presente nel 57% degli accordi aziendali delle aziende associate distribuite nelle province di Milano, Monza e Brianza e Lodi. Un dato interessante considerando che in Italia la media si assesta al 32%.

I servizi più graditi si confermano la previdenza complementare, la flessibilità dell’orario e dell’organizzazione del lavoro così da conciliare le esigenze della famiglia, l’assistenza sanitaria integrativa, la somministrazione di vitto e l’accesso a mense aziendali fino al sostegno alle spese legate all’istruzione. I fringe benefit (ad esempio l’uso promiscuo dell’auto) si stanno rivelando particolarmente graditi anche per l’ampliamento dell’offerta dei servizi proposti.

Welfare - diffusione servizi

In termini di costi per l’azienda, il welfare aziendale incide in media per l’1,96% sul costo del personale. I costi maggiori riguardano le somministrazioni di vitto e di mense aziendali (1,1%), la previdenza complementare (0,7%), altri fringe benefit (0,5%) e l’assistenza sanitaria integrativa (0.4%).

 

 

Quanto vale il welfare in Italia?

La previdenza integrativa, secondo l’Osservatorio Ecomunicare, vale 151,3 miliardi e conta 7,7 milioni di iscritti. La spesa sanitaria privata, diretta per il 90%, vale invece 37 miliardi.

Per Federico Isenburg, amministratore delegato di Easy Welfare, in Italia vengono transati nel business del welfare aziendale circa 500 milioni di euro su un bacino potenziale che può arrivare tranquillamente fino a 3-4 miliardi.

 

Le aziende e il welfare

Per le aziende, dalle multinazionali fino alle PMI, offrire servizi di welfare significa fidelizzare il dipendente e migliorare l’ambiente lavorativo, ed offrirli facendo ricorso a forme di retribuzione esentasse è certamente uno stimolo per sviluppare programmi completi. Le recenti regolamentazioni oggi incentivano le aziende a fornire servizi di welfare: lo Stato rinuncia a parte degli oneri contributivi e fiscali per agevolare questi servizi, grazie ad esempio alle detrazioni IVA e a tassazioni agevolate.

Va infatti considerato che, secondo i dati elaborati Od&m Consulting, società di Gi Group, un piano di welfare viene finanziato nel  43% dei casi dal premio di risultato e da investimenti dedicato.

L’approccio al welfare aziendale, però, non è più di tipo volontario, ma sta diventando “bilaterale-contrattuale”: lo scopo è quello di sensibilizzare la contrattazione collettiva così che dai trattamenti in denaro si passi all’offerta di servizi di utilità che possano sopperire all’offerta pubblica, oggi sempre più in affanno. Ne sono un esempio i recenti rinnovi dei contratti dei settori metalmeccanico e del comparto orafi e argentieri, che prevedono misure di welfare a favore dei lavoratori sotto forma di beni e servizi per valori fra i 100 e fino ai 200 per anno.

Rischi emergenti

Rischi emergenti: le tecnologie che stanno cambiando il panorama dei rischi

Le scelte per un futuro responsabile

 

Lo sviluppo delle tecnologie digitali sta facendo emergere rischi nuovi, meno prevedibili nelle conseguenze. Il World Economic Forum ha stilato un rapporto con le indicazioni da seguire per garantire la giusta tutela ai singoli, alle imprese e alla società in generale. Tutti gli stakeholder devono essere parte attiva nel necessario processo di rinnovamento della gestione del rischio.

Le vulnerabilità insite nello sviluppo tecnologico

Il rapido aumento della potenza dei computer, la crescente disponibilità di dati, il complicarsi degli algoritmi e la sempre maggiore interconnessione globale stanno guidando una trasformazione radicale, i cui effetti sono già visibili.

Esaminiamo alcuni dei settori dove i cambiamenti sono più marcati.

Droni

Propriamente detti Aeromobili a Pilotaggio Remoto (APR), sono dispositivi di varie dimensioni capaci di volare senza necessità di un pilota a bordo.

Potenzialità

Si presteranno a sempre maggiori usi in futuro. La Goldman Sachs Global Investment Research stima che il mercato potenziale dei droni si attesti attorno ai 20 bilioni di dollari, specialmente nel settore delle costruzioni, ma anche nell’agricoltura e in campo assicurativo.

Si prevede inoltre che le loro batterie continueranno a crescere in densità, permettendo un maggior tempo e una maggior efficienza di volo, contemporaneamente diminuendo nei costi.

Rischi

La sicurezza è uno dei maggiori problemi quando si parla di droni. Non è remoto, infatti, il rischio che un drone si scontri con un aereo, come stava per accadere con un jet carico di passeggeri nel cielo di Londra. Il governo londinese ha commissionato una serie di test per quantificare i danni che potrebbero essere causati da uno scontro e si stanno sviluppando una serie di tecnologie per limitare i rischi. I rischi legati alla privacy sembrano finora limitati, ma potrebbero crescere con la prossima aggiunta di tecnologie di riconoscimento facciale.

Le soluzioni dell’industria assicurativa

I quadri regolativi in materia sono disomogenei e c’è ancora incertezza riguardo all’attribuzione delle responsabilità. Gli Stati Uniti e l’Europa stanno sviluppando regolamenti per gestire i cambiamenti in atto, stimolati dalla forte domanda di droni per attività ricreative e per la fotografia. In Italia, per l’uso anche ricreativo di droni, stipulare una polizza assicurativa è obbligatorio.

Intelligenza artificiale

L’intelligenza artificiale è già onnipresente, dagli assistenti domestici ai software che registrano e predicono le nostre preferenze e i nostri gusti, e continuano ad essere migliorate. Google ha registrato, ad esempio, un aumento di accuratezza della sua tecnologia di riconoscimento visivo del 93,9% nel 2016, dopo un miglioramento dell’89,6% nel 2014.

Potenzialità

Il mercato dell’intelligenza artificiale rivoluzionerà i sistemi produttivi nel prossimo decennio. Secondo Bloomberg, alcune funzionalità di intelligenza artificiale si troveranno presto incorporate in quasi tutti i software: Google Photos e Amazon Alexa sono dei primi esempi.

Rischi

I rischi più discussi legati alle tecnologie di intelligenza artificiale sono di natura socio-economica. C’è timore per il futuro dell’occupazione, per la funzionalità di sistemi di sicurezza sociale e servizi di welfare.

Le aziende che affidano potere decisionale a sistemi automatizzati devono sempre più affrontare anche rischi finanziari e reputazionali, per non dimenticare anche i rischi fisici che possono derivare da difetti nella produzione, utilizzo improprio degli strumenti, carenza di manutenzione o atti dolosi.

Le soluzioni dell’industria assicurativa

Nel caso eventuali danni siano facilmente attribuibili all’errore umano di specifici operatori, i modelli assicurativi esistenti potrebbero ancora essere sufficienti. Tuttavia, con il complicarsi progressivo della tecnologia, l’attribuzione di responsabilità sarà sempre meno facile, specialmente con la diffusione della robotica e dei sistemi automatici. Dovranno presto essere messi a punto programmi assicurativi che includono la protezione da danni fisici e interruzione delle attività operative causati da sistemi anonimi.

Internet of things

Sensori incorporati in ogni tipo di oggetto e connessi in rete o alla rete globale stanno cominciando a invadere la nostra vita quotidiana. L’International Data Corporation, compagnia di analisi di mercato, ha registrato una crescita del mercato legato alle wearable technologies, le tecnologie indossabili, del 3,1% nel terzo quadrimestre del 2016. Il mercato delle smart home ha avuto uno sviluppo più contenuto, contando comunque 16.9 milioni di sistemi intelligenti per la casa nel 2015, solo nel Nord America.

Potenzialità

Molti analisti credono che il mercato dell’internet of thing legato all’industria sconvolgerà in maniera dirompente il mercato ancor più di quello legato al consumo. Sarà infatti sostenuto da asset centrali per la crescita globale: l’energia, la sanità, i trasporti. Il mercato delle soluzioni IIoT (Industrial Internet of Things) in Cina è cresciuto dell’82% tra il 2010 e il 2015, ma lo sviluppo di questo settore è ben visibile ovunque.

Rischi

Tutti i dispositivi connessi possono potenzialmente fungere da punti d’accesso per violazione di dati e attacchi all’intera rete. In questi mesi di preparazione e adattamento al Regolamento Generale sulla Protezione dei Dati (GDPR), è stato sottolineato, almeno a livello europeo, il problema della protezione dei dati e del diritto alla privacy dei cittadini. Lo sviluppo delle tecnologie IoT sta cambiando significativamente il modo in cui i dati personali vengono raccolti, conservati, analizzati e utilizzati.

Le soluzioni dell’industria assicurativa

L’utilizzo di dispositivi connessi in rete potrebbe permettere una maggiore interazione tra assicurato e assicuratore, con un conseguente miglioramento del servizio offerto. Installare sensori di monitoraggio in casa aiuterebbe inoltre l’intervento tempestivo in caso di sinistro, limitandone i danni. Vale lo stesso per le attività produttive, che potrebbero facilmente ottenere soluzioni assicurative personalizzate.

Polizza D&O (Director’s and officers liability)

Polizza D&O, una tutela per i nuovi rischi

Leggi sempre più complesse e rischi emergenti rendono le polizze di Responsabilità Civile uno strumento di tutela sempre più indispensabile

 

Le conseguenze di un’accusa di mala gestio a seguito di una liquidazione o di un fallimento societario, i rischi legati alle perdite dei dati, sempre più frequenti a causa dei cyber attack, o ancora le conseguenze di  un danno ambientale. Ai vertici aziendali, soprattutto con l’entrata in vigore nel 2001 del Decreto legislativo 231 che ha come oggetto la disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni, sono imputabili sempre più reati, provenienti da ambiti diversi, dalla salute all’ambiente, con ripercussioni sia in ambito civile, sia penale.

Le conseguenze dell’applicazione dei principi contenuti nel decreto si sono viste in numerosi processi, anche rilevanti, come quello dell’Eternit, dell’Ilva e della Thyssen-Krups.

Assume per questo sempre più un ruolo importante per dirigenti e amministratori la polizza D&O (Director’s and Officers liability), che tutela il patrimonio personale degli organi di gestione aziendali nei casi in cui vengano chiamati in causa per un risarcimento danni.

Oggetto della copertura è la responsabilità  civile sia verso la Società, sia verso terzi per le richieste di risarcimento ricevute per la prima volta durante il periodo di assicurazione per un reale o presunto atto illecito commesso dagli assicurati.

 

Nuovi rischi e nuove responsabilità

La ricerca di profili di responsabilità, anche penale, da parte delle Procure italiane nei casi di fallimento di rilievo è un’attività che si sta negli ultimi anni sempre più consolidando, così come è stato rilevato un aumento dei contenziosi in ambito bancario a carico di amministratori accusati di operazioni finite in perdita.

Anche in Italia è cresciuta negli ultimi anni la sensibilità degli amministratori e di conseguenza la richiesta delle polizze D&O a tutela dei propri beni, probabilmente anche per la congiuntura difficile che ha portato molte aziende al fallimento con pesanti conseguenze anche per i vertici e i membri dei collegi sindacali, spesso chiamati in causa per omesso controllo.

Sono inoltre emersi nuovi rischi dai quali occorre tutelarsi: le conseguenze di  attacchi cyber e la mancata protezione dei dati personali così come l’interruzione della supply chain o il rischio reputazionale potrebbero ripercuotersi anche sugli amministratori, potenzialmente chiamati in causa qualora non abbiano adottato tutte le misure, assicurative e non, a tutela degli asset fondamentali dell’azienda. Ecco perché, prima di stipulare una polizza D&O, è importante identificare tutte le aree di rischio da trasferire all’assicurazione, individuando insieme a un qualificato consulente e broker assicurativo la soluzione che meglio si adatta alle singole esigenze. Attenzione anche alla compliance italiana: può capitare che le polizze adottate dalle multinazionali a favore dei propri organi di gestione abbiano a riferimento la normativa anglosassone o americana e sfuggano dal controllo alcune normative italiane.

Importante anche il fattore tempo: le polizze vengono emesse in modalità claims made, che tutela per un errore commesso anche nel periodo in cui il soggetto non era assicurato purché la richiesta di risarcimento danni avvenga nel momento in cui la copertura è valida. Da parte delle compagnie, per soddisfare sempre più le esigenze dei clienti, sta inoltre crescendo l’offerta della garanzia postuma, attiva in caso di mancato rinnovo della polizza.

Ecco perché è importante, prima di stipulare la polizza, individuare tutte le circostanze passate che potrebbero potenzialmente portare a una richiesta di danni, così da non rischiare che qualcosa resti non coperto. Il testo di polizza dovrebbe quindi prevedere che nella definizione di sinistro siano incluse anche le eventuali circostanze e non solo le richieste risarcitorie.

 

 

Decreti attuativi Legge Gelli

Legge Gelli-Bianco, l’efficacia si gioca sui decreti attuativi ancora in via di definizione

 Il 6 novembre a Roma un confronto fra gli operatori

La Legge Gelli – Bianco (n.24/2017),  considerata all’unanimità epocale per l’insieme degli ambiti che è riuscita a coinvolgere e regolamentare, è entrata in vigore a marzo ma si è in attesa dei decreti attuativi che andranno a definire e completare la norma primaria per garantirle piena efficacia.

Una delle grandi novità introdotte dalla Legge riguarda l’estensione dell’obbligo assicurativo da parte delle aziende sanitarie sia pubbliche sia private per le conseguenze di eventuali errori commessi nell’esercizio dell’attività assistenziale e clinica.

In precedenza, con la legge n. 148 del 2011, era già stato definito per i professionisti sanitari l’obbligo di sottoscrivere coperture assicurative.

Le strutture sanitarie assumono ora nuove e maggiori responsabilità, divenendo il soggetto primario al quale i pazienti devono rivolgersi in caso ritengano di aver subito un danno.

Ogni struttura si farà quindi carico del rischio, tramite autoassicurazione, per quanto riguarda le conseguenze pregiudizievoli denunciate da chi accede al servizio offerto.

Sono però ancora in fase di lavorazione i decreti che dovranno  regolamentare alcuni aspetti chiave, definendo ad esempio i requisiti minimi che le polizze dovranno avere e specificando ad esempio gli oneri di riservazione dei sinistri per i quali la struttura sanitaria si espone e assume il rischio finanziario. Indicazioni che, ovviamente, avranno anche un forte impatto sull’offerta delle soluzioni assicurative da parte delle compagnie assicurative.

C’è attesa anche per le indicazioni che dovranno emergere dai decreti in relazione  alle azioni giudiziali dirette che il paziente ha facoltà di intentare contro l’assicuratore della struttura o del singolo professionista. Una garanzia per i pazienti, che potranno più facilmente far valere i propri diritti.

Da regolamentare è anche il Fondo di Garanzia per i danni derivanti da responsabilità sanitaria (rif. art. 14). Si è in attesa del provvedimento assicurativo che ne determini il finanziamento e le modalità di intervento. Lo scopo del Fondo è quello di garantire i risarcimenti nei casi in cui la copertura assicurativa non sia sufficiente o sia inferiore al risarcimento dovuto.

Forum "Nuova responsabilità sanitaria"

Assiteca organizza il 6 novembre 2017 a Roma un forum dedicato alla "Nuova responsabilità sanitaria. Un confronto fra legislatore, istituzioni, operatori e partecipanti". Non si tratta di un convegno formativo ma di un confronto diretto fra le istituzioni coinvolte e i Direttori e Dirigenti di strutture pubbliche e private sull'operatività, le prime esperienze e criticità.

Sarà anche l'occasione per fare il punto sullo stato dell'arte dei decreti attuativi insieme all'onorevole Federico Gelli.

Una preziosa opportunità per aziende cliniche, pubbliche e private, aperto alle istituzioni, stampa di settore e compagnie assicurative.

 

European Partner Conference - EOS RISQ

La gestione integrata del rischio d’impresa

Il ruolo e la funzione del Risk Manager

 

Il Risk Manager è la figura professionale specificatamente dedicata alla gestione integrata dei rischi aziendali. Dopo essere stato al centro del 18° Convegno Annuale di Anra, svoltosi il 19 e 20 settembre a Milano, è ora il protagonista del Ferma Forum 2017, in corso proprio in questi giorni a Monte Carlo.

Individuare, valutare e definire le strategie di gestione dei rischi

Il Risk Manager agisce nell’ambito di obiettivi strategici prefissati, individuando e analizzando i rischi nei quali l’azienda può incorrere, per limitarne l’esposizione. Valuta i rischi in base alla loro potenziale frequenza e gravità, identifica la politica adatta a ottimizzare la loro gestione, tenendo in considerazione anche le capacità e le disponibilità finanziarie dell’azienda. È suo compito individuare quali rischi possono essere assunti in forma di “autoassicurazione” e quelli per cui è necessaria una copertura assicurativa. Definisce le misure di eliminazione o prevenzione dei rischi stessi, eventualmente in collaborazione con tecnici di settore, e monitora i risultati nel tempo. Include inoltre la valutazione di possibili rischi e responsabilità per l’azienda insiti nei contratti con terzi. Il ruolo del Risk Manager assiste quindi tutte le funzioni aziendali, fornendo le proprie competenze per l’individuazione delle criticità potenzialmente insite in ogni operazione.

La capacità di comunicare come qualità chiave

Per la funzione che ricopre, è importante che il Risk Manager abbia buone capacità di comunicazione e di intermediazione. Dovendosi relazionare con diverse figure professionali interne ed esterne all'azienda, deve essere in grado di mantenere un dialogo attivo e continuo con tutte le aree aziendali, dalle funzioni tecniche a quelle commerciali, amministrative e logistiche.

In primo luogo, il Risk Manager deve lavorare a stretto contatto con la direzione e il consiglio di amministrazione, dal quale deriva le informazioni sulle strategie aziendali utili a identificare i rischi e le politiche di controllo e prevenzione da seguire. Il CdA dev’essere d’altra parte in grado di trarre vantaggio dalle informazioni raccolte dall’attività di Risk Management nell’effettuare scelte strategiche in piena consapevolezza di possibili criticità. Il contatto con tutte le altre funzioni aziendali è ugualmente necessario al fine di individuare debolezze e soluzioni a protezione dei rischi individuati direttamente sul campo delle varie attività aziendali.

Verso l’esterno, il Risk Manager dev’essere in grado di relazionarsi direttamente con le diverse figure professionali collegate all’ambito delle assicurazioni e dei sinistri: consulenti, compagnie assicurative, broker, periti e legali.

Un traduttore capace di destreggiarsi tra diversi linguaggi

Il Risk Manager interagisce con una moltitudine di referenti dal profilo spesso molto vario e dalla diversa sensibilità nei confronti del rischio aziendale. L’ampia componente relazionale della sua funzione richiede di saper padroneggiare i diversi linguaggi degli interlocutori, per essere anche in grado di tradurre le informazioni da un linguaggio ad un altro. In questo senso, si rivelano utili strumenti specifici che equilibrino, attraverso la misurazione, le percezioni soggettive dei rischi, fornendo un quadro complessivo oggettivo. L’efficienza della gestione del rischio aziendale dipende in maniera diretta dall’attività di comunicazione e intermediazione del Risk Manager. L’azienda dev’essere in grado di rappresentare nel modo più accurato possibile il frame dei propri rischi all’assicuratore, per agevolare l’individuazione del supporto assicurativo adeguato.

La cultura del rischio

“L’obiettivo del Risk Manager è quello di promuovere, a tutti i livelli, l’attività di gestione del rischio, facendo crescere la responsabilizzazione di tutto il personale riguardo specifiche politiche di presidio del rischio.”

Position Paper di Anra “Gli standard di Risk management e l’ISO 31000”.

L’importanza delle informazioni a livello globale per la definizione di una strategia aziendale, che tenga conto dei potenziali impatti degli eventi geopolitici e agisca in maniera consapevole e mirata per la mitigazione dei rischi rende primaria la necessità della creazione di una cultura aziendale di gestione integrata del rischio. La formazione interna ha il compito di creare una cultura condivisa. È necessario che tutta l’azienda percepisca i processi arricchiti, come l’Erm, non come un peso ma come uno strumento di maggiore controllo ed efficienza. La possibilità da parte del top management di comprendere i rischi si traduce nella facoltà di decidere con la necessaria consapevolezza sulle strategie di business aziendali.

“Ai risk manager è chiesto di cavalcare una cultura che permetta di integrarsi veramente nei processi aziendali e capirne le logiche, con competenze trasversali in diverse discipline”, ha sottolineato nella sua introduzione al Convegno Anra 2017 il Presidente Alessandro De Felice, secondo cui “il risk manager e il processo di ERM sono fondamentali, perché contribuiscono alla governance dei decision maker, attraverso l’elaborazione di analisi basate su assunzioni valide e misurabili”.

Gestione dei rischi aziendali

Ricavi a +30% per le aziende che gestiscono i rischi

Il 25,3% delle imprese adotta un sistema integrato di gestione dei rischi.
Sicurezza sul lavoro e Cyber Security i rischi più temuti

Buone notizie: è aumentata da parte delle aziende la percezione dell’importanza di una gestione dei rischi integrata e puntuale.

E’ quanto è emerso dal quinto Osservatorio Cineas – MedioBanca dedicato al Risk Management, che ha coinvolto 272 medie imprese con fatturato medio di oltre 60 milioni dei settori metalmeccanico, chimico farmaceutico, alimentare, carta e stampa, metallurgico, beni per la persona e per la casa.

Rispetto al 2016 è in crescita il numero delle imprese che si è dotato di un sistema integrato per la gestione dei rischi (25,3% contro il 17,2% dell’anno precedente). Il 47,2% delle aziende coinvolte nell’indagine dichiara di avere un approccio segmentato, mentre il 27,5% non ne dispone ritenendo presumibilmente il risk management più fonte di costi che di benefici. Un errore di valutazione, perché in realtà i vantaggi derivanti dalla gestione integrata dei rischi aziendali sono molteplici e garantiscono maggiore competitività alle aziende.

I VANTAGGI DELLA GESTIONE INTEGRATA DEI RISCHI

Considerando le performance economiche, emerge che le aziende che gestiscono i rischi hanno ricavi superori del 30% rispetto a quelle meno sensibili al tema. Un risultato che conferma quanto la gestione e la prevenzione dei rischi, non solo la loro protezione, possano incidere sullo sviluppo di ogni realtà. E’ inoltre emerso come si amplii il differenziale in termini di redditività a vantaggio delle imprese più attente migrando verso una gestione dei rischi che esuli semplicemente dagli obblighi di compliance ma che si attenga più all’attivazione di leve di competitività. I maggiori benefici si registrano nell’ambito delle competenze professionali (+80%), degli aspetti reputazionali (+10%), della sicurezza informatica evoluta e protezione dall’hackeraggio (+14%) e della qualità del prodotto e della sua non replicabilità (+21%).

Ma quali sono i costi? Partendo dal dato relativo al giro d’affari delle medie imprese italiane che è pari a 154 miliardi di euro, si stima che la gestione del rischio valga 1,4 miliardi di cui 700 milioni di euro rappresentati da costi assicurativi, 500 milioni da costo del personale specializzato in questo ambito (meno di tre risorse in media) e 200 milioni di euro vengono corrisposti ai consulenti.

 

I RISCHI PIU’ TEMUTI DALLE AZIENDE

La sicurezza sul lavoro e la cyber security sono i rischi maggiormente sentiti dalle aziende. L’attenzione nei confronti della sicurezza informatica, in particolare, è cresciuta a ritmo elevato nell’ultimo periodo, complici i sempre più numerosi attacchi da parte di hacker e i conseguenti problemi di business continuity che ne possono derivare. Sul podio dei rischi maggiormente percepiti anche la difettosità del prodotto, seguito dal rischio reputazionale, che in epoca di social network vede amplificarsi le conseguenze, e il rischio ambientale. Seguono le interruzioni della supply chain, le imitazioni del prodotto e solo in fondo alla classifica il rischio legato alle catastrofi naturali.

 

COME SI TUTELANO LE AZIENDE DAI RISCHI

Un partner esterno, spesso un consulente, è la soluzione più adottata dalle aziende per poter meglio gestire i rischi aziendali. Il 28,8% del campione si affida invece alle compagnie assicurative, il 16,7% si organizza con risorse interne alla struttura mentre solo il 5,2% delle aziende intervistate ha un vero e proprio risk manager in organico. Fra le risorse che si occupano di gestione del rischio ben il 32,4% non ha una qualifica accademica. Le imprese però si stanno sensibilizzando anche sul tema della formazione: il 66% degli intervistati ha dichiarato di voler avviare un programma di iniziative formative sulla gestione dei rischi. Obiettivo i concetti base della gestione, per poi approfondire gli strumenti disponibili per affrontare una situazione di crisi e comprendere come garantire la continuità operativa.

Data Protection Officer (DPO)

Una nuova figura in azienda: il Data Protection Officer (DPO)

Il Regolamento Generale sulla Protezione dei Dati (GDPR) istituisce una figura preposta al controllo della compliance aziendale in riferimento al trattamento dei dati personali.

 

L'introduzione da parte del nuovo regolamento del Data Protection Officer (DPO) assicura la presenza costante in azienda di un professionista con conoscenze specialistiche della normativa e delle prassi riguardanti la protezione dei dati personali. L'osservanza delle nuove norme risulta indispensabile anche alla luce della recente sentenza della Corte Europea dei Diritti dell'Uomo, che il 5 settembre ha condannato la Romania per violazione dell’articolo 8 della Convenzione europea dei diritti dell'uomo. 

Il Data Protection Officer (DPO): quando è obbligatorio?

Per essere reso effettivo, il Regolamento Generale sulla Protezione dei Dati (GDPR) istituisce la figura del Data Protection Officer (DPO), il responsabile della sicurezza dei dati. In Italia, il Codice della Privacy (d.lgs. n. 196/2003) non lo prevedeva, motivo per cui è ora necessario introdurre una nuova figura professionale in molti enti e aziende. Il DPO è un professionista con conoscenze specifiche in ambito di trattamento dati, sul piano teorico e su quello pratico. Sebbene possa anche essere selezionato tra i dipendenti del titolare del trattamento, è consigliabile individuare un soggetto esterno: la legge garantisce l’autonomia del soggetto, ma occorre domandarsi se davvero un dipendente denuncerebbe comportamenti o valutazioni errate del titolare o del responsabile del trattamento ai vertici aziendali, a cui il DPO direttamente risponde.

Il titolare del trattamento ha il compito di designarlo in tre occasioni:

  • quando il trattamento è attuato da un'autorità pubblica o da un organismo pubblico (ad eccezione delle autorità giurisdizionali nell'esercizio delle loro funzioni);
  • nel caso i trattamenti consistano e richiedano il monitoraggio regolare e sistematico degli interessati su larga scala;
  • se il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.

Negli altri casi i titolari e i responsabili del trattamento, nonché loro associazioni o altri organismi che li rappresentano, devono designare il responsabile della protezione dati che può agire per le stesse associazioni e organismi.

I dati di contatto del DPO devono comunque essere resi noti agli interessati e comunicati all'autorità di controllo competente.

I compiti del Data Protection Officer

L’articolo 39 del Regolamento specifica nel dettaglio i compiti minimi del DPO:

  • fornire consulenza e informare il titolare e il responsabile del trattamento in merito agli obblighi derivanti dal Regolamento o dalle altre disposizioni legislative nazionali o europee che disciplinano la protezione dati;
  • vigilare sull’osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, inclusi l’attribuzione delle responsabilità, la formazione e la sensibilizzazione del personale addetto al trattamento;
  • condividere su richiesta pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;
  • cooperare con l’autorità di controllo in qualità di punto di contatto con l’ente per questioni legate al trattamento di dati, con particolare riguardo a un’attività di consultazione preventiva.

È infine un diritto degli interessati potersi rivolgere al responsabile della protezione dei dati in merito al trattamento che li riguarda.

L’introduzione di questa nuova figura permette di avere un soggetto specializzato, che si occupi esclusivamente della protezione dei dati personali, restando aggiornato sui rischi, i problemi e le misure di sicurezza capaci di garantire un livello di tutela adeguato.

Attenzione alla compliance aziendale

Una sentenza della Grande Camera della Corte europea dei diritti dell’uomo del 5 settembre ha mostrato che un’azienda che non rispetta le norme sulla tutela della privacy dei dipendenti non riuscirà a far valere in giudizio le proprie ragioni nei confronti di un dipendente inadempiente. Occorre quindi che tutte le aziende predispongano un documento di valutazione dei rischi privacy e un regolamento interno sull'uso della posta e degli altri strumenti elettronici in dotazione ai lavoratori, che ne diano comunicazione ai dipendenti e che lo rispettino.

GDPR Regolamento Europeo sulla Protezione dei Dati

Regolamento Generale sulla Protezione dei Dati (GDPR): la gestione del rischio nell’era digitale

Obbligo d’informativa, diritto all’oblio e la possibilità di distinguersi dai competitor con una certificazione di rispetto della nuova normativa.

 

Il Regolamento europeo in materia di protezione dei dati personali (Gdpr), il regolamento Ue 2016/679 per la protezione delle persone fisiche in merito al trattamento dei dati personali, entrato in vigore il 4 maggio 2016, sarà direttamente applicabile in tutti gli Stati membri a partire dal maggio 2018. Dovrà essere rispettato da tutti gli enti e le imprese operanti nell'Unione Europea, compresi quelli con sede extracomunitaria che gestiscono dati di cittadini europei.

Il Regolamento

Lo sviluppo della tecnologia e di quello che viene chiamato internet of things ha reso necessaria una particolare attenzione sul trattamento dei dati e una sensibilizzazione da parte degli acquirenti. Per avere accesso a qualunque servizio siamo continuamente costretti a cedere informazioni. Le fonti di raccolta dei dati personali andranno moltiplicandosi, come la difficoltà degli utenti nel tenere sotto controllo le informazioni cedute, la correttezza delle profilazioni e dell’archiviazione in caso di contestazioni. Si pone il problema del rispetto del diritto alla privacy degli utenti, ma non solo. Il rischio di violazione dei dati personali tramite attacchi di hacker è stato recentemente messo in evidenza, tra gli altri, dal caso Unicredit. Stando ai dati raccolti dalla Commissione Europea, dal 2016 vengono sferrati 4000 attacchi al giorno, con un aumento del 300% rispetto al 2015. L’80% delle aziende europee dichiarano di essere state colpite da incidenti informatici nel 2016 e l’87% degli europei ritengono che la criminalità cyber sia un rischio considerevole per la sicurezza interna dell’UE. Per questo, l’Unione Europea ha deciso di fare della cyber security e della protezione dei dati una necessità prioritaria. Se n'è discusso al G7 Industria, tenutosi a Venaria nei giorni 25 e 26 settembre. La Dichiarazione dei Ministri del G7 ICT e Industria che punta a Rendere la prossima rivoluzione della produzione inclusiva, aperta e sicura, coniuga innovazione tecnologica, lavoro e diritti in un'ottica di collaborazione internazionale, per portare innovazione tra le imprese della old economy. Sono consultabili anche i tre allegati, riguardanti rispettivamente intelligenza artificiale, cybersecurity e PMI.

Il General Data Protection Regulation (Gdpr) armonizza le normative degli stati membri, allineandole allo sviluppo delle tecnologie digitali e della loro sempre maggiore diffusione. Enti e aziende dovranno adeguarsi alle nuove disposizioni nei prossimi mesi, evitando di incorrere in pesanti sanzioni: si arriva a multe pari al 4% del volume di affari di un'azienda, fino a 20 milioni di euro. Un modo efficace per implementare il regolamento, su cui gli esperti si esprimono positivamente. Sembra, infatti, razionalizzare la questione e spingere verso un approccio sistematico, focalizzato sulla valutazione del rischio e delle conseguenze del trattamento, a partire dalla fase di progettazione degli strumenti informatici.

Area di applicazione

Con il termine dati personali si intende qualunque informazione relativa a un individuo, collegata alla sua vita privata, professionale o pubblica. La materia può riguardare quindi nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi Ip di computer, con un forte orientamento alle nuove tecnologie e ai nuovi sistemi di comunicazione. Il regolamento non disciplina la gestione di dati per attività di sicurezza nazionale o di ordine pubblico.

Obbligo d’informativa

I diritti concessi al titolare dei dati sono molto ampi. L’azienda o la pubblica amministrazione devono informare l’interessato in merito al trattamento, alle finalità, ai destinatari e alle categorie di dati in questione.

L’interessato deve conoscere il periodo di conservazione dei dati o almeno i criteri utilizzati per determinare tale periodo. L’ente è tenuto a informare in merito all'esistenza del diritto di opporsi al trattamento o di chiedere al titolare la rettifica, la cancellazione o la limitazione dello stesso. Si ha infine diritto di reclamo all'Autorità di controllo e, quando i dati personali non sono raccolti presso l'interessato, di ottenere qualsiasi informazione disponibile sull'origine dei dati, oltre all'esistenza di un processo decisionale automatizzato, compresa la profilazione dell'utente a fini commerciali.

Diritto all’oblio

L'interessato ha diritto di ottenere senza «indebito ritardo» la cancellazione dei dati personali che lo riguardano, qualora si presentino le seguenti condizioni:

  • i dati non sono più necessari in rapporto agli scopi per i quali sono stati ceduti o trattati;
  • l'interessato ritira il consenso su cui si fonda il trattamento e non sussiste altro motivo legittimo per trattarei dati;
  • l'interessato si oppone al trattamento dei dati personali;
  • i dati sono stati trattati in maniera illegittima o devono essere cancellati in conformità a una legge dell'UE o di uno Stato membro, alla quale è soggetto il titolare del trattamento.

La certificazione Gdpr

Si stima che entro il 2020 esisteranno 30 miliardi di oggetti connessi, molti dei quali, attraverso la domotica, entreranno nelle nostre case. Il Regolamento prevede la possibilità di ottenere una certificazione di rispetto della nuova normativa e ulteriori possibilità per terzi di verificarne l’adeguamento. Sembra essere questa la strada da seguire oggi, con un mercato in crescita e la necessità di soddisfare utenti sempre più consapevoli dei rischi legati alla cessione di informazioni.