IL QUADRO

Cyber insurance e Gdpr: a che servono (davvero) le assicurazioni sui data breach

Può essere molto utile una buona cyber assicurazione sul rischio informatico. Ecco perché se ne parla tanto in questi giorni. Vediamo la sua vera utilità (e i limiti) per minimizzare non solo i danni economici ma anche i rischi di un data breach. Attenzione: la polizza non può coprire le sanzioni di legge

16 Lug 2018
C
Cristiano Campion

Cyber Insurance Specialist Allianz-Moscova & Partners

Cosa può fare un’assicurazione contro la perdita di dati per il GDPR e per la cyber security? Una buona cyber assicurazione sul rischio informatico può fare molto. Ecco perché se ne parla tanto in questi giorni, in cui il GDPR muove i primi passi attivi (dopo l’entrata in vigore il 26 maggio). Può fare molto, la cyber insurance, ma non tutto: per esempio non può coprire le sanzioni. E’ importante chiarire bene quindi vantaggi e limiti di questa possibilità.

Teniamo conto che l’assicurazione nel mondo informatico e anche in ambito industriale, medico, ambientale così come nelle telecomunicazioni, nel settore aeronautico e nella logistica l’analisi del rischio e dei processi, insieme ad un adeguato monitoraggio con interventi in emergenza, è prassi consolidata da molti anni.

L’approccio di tale copertura assicurativa è complementare all’assistenza di consulenti GDPR o degli esperti di cyber security. Assessment, remediation, monitor, protection sembrano vocaboli astrusi ma, in realtà, rappresentano un piano strutturato di valutazione e protezione finalizzata alla sicurezza, nello specifico, di ogni azienda.

Il GDPR trasferisce questo processo ai dati di tutte le aziende. GDPR, cyber security e polizza cyber risk declinano in modo diverso l’approccio, gli interventi, la profondità di analisi ma condividono il processo: osserva, analizza, migliora, controlla, proteggi.

 

Perché è importante proteggere i dati

Per sottolineare che non è più possibile, in questa era digitale, trattare i dati con leggerezza, si è agito su tre fronti.

  • Il primo, che il legislatore europeo ha lanciato, è stato quello di sottolineare la gravità nel non adempiere al regolamento. La misura è rappresentata dalla sanzione che oscilla tra 10.000.000/20.000.000 di euro oppure dal 2% al 4% del fatturato mondiale. Il tutto a discrezione del legislatore che può infliggere, per le conseguenze penali, fino a 5 anni di carcere senza poter quindi più contare sulla “condizionale”. Ne converrete che il messaggio della gravità è arrivato, forte e chiaro!
  • Il secondo punto riguarda il tempo di osservazione concesso per valutare se vi sia stato un danno effettivo. Il legislatore si rende conto che viviamo in un mondo complesso, globale, che i dati sono ampiamente distribuiti ed il confine tra trasferimento, ripartizione o sottrazione è labile, pertanto ha concesso un maggior tempo (72 ore) per analizzare effettivamente se vi sia stata una diffusione involontaria, illegittima e fraudolenta dei dati: il precedente limite era fissato in 48 ore.
  • Il terzo, e non meno importante elemento, che è strettamente legato al secondo, tiene in considerazione la fruibilità del dato sottratto e diffuso: quel dato è leggibile? Rileva informazioni personali e private? È aggregato in modo che possa causare danni diretti o indiretti al soggetto? Fisici, morali, reputazionali? Può causare un danno monetario? Una discriminazione? Ma più banalmente, il dato è sufficientemente criptato o sufficientemente anonimo?

Solo se questa ultima condizione non è correttamente rispettata allora siamo di fronte ad un data breach, ma abbiamo 72 ore per notificare alle autorità ed ai soggetti interessati il problema e quindi mettere anche in atto misure di mitigazione così che, pur in presenza di un breach, con gli accorgimenti adottati vi sia un danno quanto più possibile contenuto.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Le conseguenze di un data breach

Ci sono già dei segnali di possibili data breach (furto e diffusione dei dati) ed in effetti sono partite le prime multe: la multa è solo la dimostrazione finale che non si è preso sul serio o non si è capito il GDPR. Il fine del nuovo Regolamento europeo sulla protezione dei dati in sé non è punitivo, è invece dissuasivo: rispetto alle precedenti normative sulla privacy, sebbene vi sia stata una revisione delle figure responsabili della stessa tanto da creare una figura specifica con piena autorità, le vere novità vanno ricercate altrove.

Una particolarità risiede infatti nell’analisi del rischio e la valutazione dell’impatto che un cattivo trattamento del dato può causare (DPIA): il legislatore chiede alle aziende di rivedere quali dati vengono raccolti, come vengono trattati e cosa questi dati significano per le aziende in termini di valore; la seconda caratteristica è rappresentata dalle conseguenze derivanti dalla manipolazione e diffusione dei dati: novità che ben differenziano gli attuali regolamenti dalla vecchia legge 196/2003.

Un GDPR ben implementato non dovrebbe portare mai ad un data breach ma, qualora ciò avvenisse, un’analisi del rischio ben fatta ed un “response plan” ben disegnato non porterà alla sanzione o quantomeno limiterà il danno. Probabilmente il legislatore sarà benevolo se, fermo restando che in 72 ore si sia data esecuzione alla notifica, sia possibile dimostrare che è stato fatto tutto il possibile prima, durante e dopo. Aver prontamente mobilitato esperti e risorse per analizzare l’accaduto e rinforzare gli anelli deboli della catena è un salvacondotto: così che l’evento difficilmente possa ripresentarsi. Il legislatore non impedisce alle aziende, in seguito alla notifica e risoluzione dell’incidente, di fare campagne informative per dimostrare che hanno imparato la lezione e che i dati dei clienti sono nuovamente al sicuro. È questa l’essenza e lo spirito della legge: proteggere i dati e fare il possibile per tenere informati i soggetti interessati qualora qualcosa andasse storto.

Che fa la cyber insurance e a che serve davvero

Tenuto conto di questo contesto, delle norme e dei rischi, va detto che non sta all’assicurazione rivedere i processi aziendali (tocca al GDPR) e nemmeno gli standard di sicurezza adottati (è materia di sicurezza dei sistemi informativi delle aziende).

  • Bensì osservare e quantificare il rischio residuo è il ruolo preliminare di una assicurazione cyber risk. Certamente bisogna procedere a revisione annuale del rischio o a richiesta dell’assicurato ogni volta che vi siano cambiamenti significativi che lo richiedano.
  • E cos’altro fa una buona assicurazione? Monitora e assiste: in caso di sospetto data breach, per esempio, è compito dell’assicurato informare tempestivamente la compagnia che così guiderà il cliente nel processo di contenimento del danno e ove necessario alla notifica alle autorità, ai mezzi di comunicazione, ai soggetti interessati mettendo a disposizione risorse ed esperti per gestire al meglio l’evento (alcune polizze forniscono dispositivi automatici che aiutano in questo processo di monitoraggio).
  • Una buona polizza inoltre aiuta a gestire bene una crisi accompagnando l’azienda attraverso tutte le fasi dell’evento che, se male coordinato, può comportare conseguenze molto gravi sia per la società sia per i titolari del trattamento dati: sanzioni, interruzione di esercizio, fermo attività ed anche perdite di immagine.
  • Una buona cyber insurance aiuta i clienti a minimizzare l’esposizione al rischio e a recuperare nel più breve tempo possibile il ritorno alla normale operatività, ma non può mai coprire eventuali sanzioni che dovessero essere comminate al danneggiante.

Oggi pertanto, diventa importante intendere la polizza come strumento di protezione a tutto tondo, non semplicemente come protezione economica e liquidazione di un sinistro ma di supporto ed assistenza più vicina al cliente, in un ambito che è ai più poco conosciuto.

Con l’avvento del GDPR ci sono ulteriori elementi di criticità: abbiamo visto che intercettare un attacco e/o un data breach diventano elementi importanti in una logica di tempi di reazione e risposta adeguata, elementi direi essenziali ed imprescindibili pertanto, e soprattutto ma non solo per le PMI, è necessario incorporare ed affiancare alla mera protezione assicurativa ed economica a servizi e soluzioni tecnologiche per intercettare questi attacchi e reagire per tempo alla messa in sicurezza ed alla difesa dei dati.    

Potremmo dunque dire che, sebbene non si sia ancora diffusa una cultura di polizza cyber, anche grazie al GDPR, stiamo già entrando nell’era delle polizze cyber 2.0 in particolar modo per il mondo delle PMI, il tessuto più ricco e dinamico della nostra realtà economico industriale, ma anche quella meno preparata e più vulnerabile agli attacchi cyber.

In questo senso, la copertura cyber va intesa come tool complementare e sinergico all’infrastruttura di sicurezza informatica presente nelle aziende, agendo quindi nella prevenzione e protezione andando a minimizzare rischi e conseguenze di un attacco cyber ma non sostitutivo di una implementazione carente ai fini di conformità GDPR.

Cosa cercare in un’assicurazione cyber e cosa no (copertura sanzioni)

Il servizio da ricercare in una cyber insurance è la possibilità di minimizzare l’esposizione al rischio, monitorando il flusso dei dati e andando ad intercettare comportamenti sospetti, informando per tempo chi si occupa della protezione dei dati per evitare escalation e corruzioni che porterebbero a conclamati data breach e sanzioni, fermo restando le protezioni classiche economiche, per fare ripartire il business.

In ambito GDPR o cyber security, ma in generale in ambito industriale, l’assicuratore informa, assiste e aiuta il cliente ad affrontare situazioni rischiose e ad uscirne al meglio ed il più velocemente possibile.

L’approccio del legislatore è diverso: è dissuasivo, mentre la garanzia assicurativa si affianca al cliente per tutelarlo, ma non può andare in contrasto con lo spirito della legge e neppure può considerarsi sostitutiva degli adempimenti di legge. Saremmo infatti contro la legge e contro la deontologia professionale: una condizione perseguibile per legge.

Possiamo dunque dire che, a corredo delle precedenti coperture, che rimangono importanti ed attive, la nuova generazione di polizze cyber che operano in ambito “GDPR aware” non può mai coprire eventuali sanzioni che dovessero essere comminate al trasgressore: non si deve infatti arrivare alle multe e il ruolo della cyber insurance è quello di supportare il cliente nella prevenzione proattiva per evitare che si verifichi un data breach o ciò che ne consegue, e se ciò dovesse malauguratamente accadere, fare in modo che la risposta sia rapida, puntuale, efficace affiancandosi realmente al danneggiato.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr