Tanto maggiore è l’esposizione sul web da parte di una società, quanto maggiore è il rischio che sia vittima del cyber crime. Il mondo assicurativo e del risk management, per far fronte a questa problematica, ha predisposto modelli di Analisi e Trattamento del rischio (Risk Assessment e Treatment) che prevedono misure di mitigazione dello stesso e, come ultimo baluardo, contratti assicurativi atti al trasferimento delle incombenze rimanenti agli Assicuratori.
Indice degli argomenti
Il contesto e i rischi
Il mondo dei social network ha mutato radicalmente e in maniera silente, le modalità di rilevazione delle informazioni personali degli individui. Avendo oggi a disposizione più reti sociali, eventualmente da incrociare tra loro, ha trovato soddisfazione il desiderio istintivo di voler carpire qualche informazione in più circa una persona conosciuta dal vivo o anche solo vista di sfuggita, soprattutto tra le nuove generazioni. Gli stessi social hanno recepito questa esigenza, introducendo ad esempio la funzione di geolocalizzazione che individua geograficamente l’utente e, incrociando il dato con gli altri presenti sui propri server (come orientamento sessuale e politico, interessi), rileva se nello stesso istante ci sono nei paraggi utenti affini e li propone come potenziali amici. Il tutto ai fini di una costante spinta all’implementazione delle connessioni tra utenti ed a una conseguente crescita della piattaforma. Una pratica che vorrebbe favorire le relazioni, ma che ha purtroppo un lato oscuro.
Le pagine social sono state studiate per mostrare quante più informazioni possibili, al fine di rendere maggiormente accattivanti agli occhi dei visitatori i profili degli stessi, favorendo così lo scambio di interazioni e connessioni. Sulla tipologia di contenuti che si condividono: quanto più sono a carattere personale tanto maggiore sarà il successo in termini di like e condivisioni. Ergo si viene naturalmente coinvolti in un circolo virtuoso (o vizioso) che ci spinge a condividere con i nostri collegamenti contenuti sempre più personali. Una pratica apparentemente innocua, spesso finalizzata a esaltare il nostro ego virtuale, che però mette a repentaglio la sicurezza non solo del singolo, ma anche di tutti quelli che gli stanno intorno, famiglia e ambiente lavorativo compresi, che vengono coinvolti loro malgrado in ciò che viene condiviso.
L’ingegneria sociale
I malviventi denominati ingegneri sociali mettono in pratica azioni volte a carpire informazioni su persone o aziende con ogni possibile mezzo (spesso senza violare la legge in un primo momento), con lo scopo di trarne un vantaggio economico, mettendo in atto pratiche di hackeraggio come il phishing.
La tecnica più nota, nell’ambiente business, è forse la cosiddetta CEO Fraud, in cui il criminale si sostituisce al CEO chiedendo al malcapitato dipendente di trasferire urgentemente una somma di denaro (spesso relativamente modesta per non destare troppi sospetti) su un conto bancario diverso dal solito. Pratiche che funzionano: come riporta il Rapporto Clusit 2018, gli attacchi di Phishing/Social Engineering sono in forte crescita, tanto che hanno sottratto punti percentuali sul totale ad altre tecniche criminose.
Strategie per difendersi
Occorre tenere sempre a mente che la polizza assicurativa è uno strumento che si colloca al fondo del processo di Risk Management. Infatti è fondamentale affrontare prima tutti i passaggi necessari per eliminare e/o calmierare il rischio in questione, specie se è emergente, per cui il Mercato potrebbe non essere ancora pronto ad offrire coperture pienamente adeguate. Adattando lo schema all’ambito in oggetto, i passaggi fondamentali del Cyber Risk Management contemplano attività di prevenzione e di protezione.
L’attività di prevenzione mira a ridurre la probabilità di accadimento degli eventi e si concentra su quelle che sono le attività di Security Assessment, che in ambito IT comprendono l’Information Gathering, Network Mapping, Vulnerability Assessment, Vulnerability Exploitation, Ethical Hacking, Web Penetration Test, Wifi Security Assessment, Analisi di Mobile Applications, Analisi ambiente Mainframe e, nel nostro specifico caso, campagne di Social Engineering.
Queste ultime rappresentano uno step fondamentale per testare la sicurezza delle informazioni e consistono nella conduzione di attività di phishing (simulate) verso gli utenti. Vengono svolte dai security engineer in ambiente protetto e consistono nel lanciare un attacco spear phishing, realizzato appositamente, in grado di bypassare i filtri di posta elettronica. Il processo prevede lo studio, la realizzazione e l’invio di email simulanti attacchi informatici realizzati ad hoc per gli utenti scelti, con la finalità di verificarne i comportamenti di risposta e le reazioni.
A valle dell’analisi viene erogata una formazione ad hoc che ha per oggetto le tecniche di attacco e le procedure di difesa delle postazioni e dei sistemi informatici presenti all’interno dell’ambiente di lavoro. Vengono presi in esame accorgimenti semplici, come la corretta gestione delle password e dei profili social personali di dipendenti e manager, che però sono sufficienti a identificare e neutralizzare la gran parte degli attacchi di ingegneria sociale. Alla fine del percorso i partecipanti sapranno identificare e mettere in atto strategie di difesa utili ad aumentare la sicurezza all’interno della realtà lavorativa.
Altra pratica utile riguarda la modifica dei processi interni aziendali; ad esempio subordinare le richieste di variazione delle condizioni di pagamento ad autorizzazione da parte del management o del CEO via telefono, telematica o scritta; oppure imporre l’obbligo di contattare direttamente il terzo che ha richiesto la variazione per appurarne la veridicità. Le attività amministrative inerenti in particolare le riconciliazioni bancarie e l’accesso ai conti correnti societari andrebbero gestite da più risorse in modo da rendere imprescindibile un controllo interno. Tutto ciò che consiste nell’ampliare la possibilità di eseguire dei controlli incrociati, riduce drasticamente il numero di sinistri di questa tipologia.
L’attività di protezione mira a ridurre la magnitudo degli eventi sinistrosi una volta che si sono già verificati. In caso di Social Engineering, il presidio che maggiormente riduce l’impatto può riguardare la limitazione dell’autonomia degli incaricati amministrativi nell’esecuzione di trasferimenti di somme di denaro oltre una certa soglia prestabilita; in caso di frode le perdite si ridurrebbero ad importi risibili, che probabilmente non verrebbero comunque risarcite dal contratto assicurativo per via di eventuali franchigie.
Prevenzione e protezione sono attività che si dimostrano essere tanto più efficaci quanto più il rischio in oggetto è emergente, perché più un rischio è nuovo meno è probabile che ci sia tra le aziende una diffusa cultura e consapevolezza, e quindi i margini di intervento e miglioramento sono più ampi. Le piccole imprese, rispetto alle grandi, sono in una posizione di leggero vantaggio: essendo meno strutturate ed avendo un numero inferiore di transazioni e fornitori, oltre che un rapporto più diretto con gli stessi, spesso rilevano più facilmente la frode in quanto risalta subito un’operazione inusuale e anomala rispetto alla consueta prassi. È anche per questo che il trasferimento del rischio dall’azienda alla Compagnia di Assicurazione tramite un contratto (polizza) è la scelta meno frequente, preferita solo alla ritenzione ponderata del rischio.
I confini di una polizza assicurativa cyber
Posizionare il risarcimento di un danno derivante da frode informatica è materia complicata e spesso oggetto di confusione. In Italia, specie nell’ultimo decennio, sono stati adattati testi contrattuali inglesi (dal Mercato dei Lloyd’s) e soprattutto americani per far fronte al rischio Cyber. Le polizze in questione si stanno diffondendo a più livelli tra le maglie del tessuto imprenditoriale italiano e sono generalmente strutturate in due macrosezioni: una di Responsabilità Civile e l’altra per i Danni Propri (Property). La prima tutela dalle richieste di risarcimento che vengono avanzate per eventuali violazioni di dati personali di terzi (fondamentale dopo l’entrata in vigore del GDPR), per violazioni della sicurezza della rete aziendale e per danni d’immagine (diffamazione, oltraggio, plagio…). La seconda invece riguarda il risarcimento dei danni che subisce direttamente l’assicurato, come la business interruption, la perdita di dati e la cyber estorsione (es. ransomware). Entrambe le sezioni poi sono supportate da alcune garanzie complementari come il risarcimento delle spese legali, di consulenza informatica e di Incident Response.
Stiamo quindi parlando di un contratto incentrato sulla violazione del sistema informatico dell’assicurato, che diventa quindi presupposto necessario per far scattare il risarcimento da parte dell’Assicuratore. Il problema è che quando si è soggetti ad una frode di Ingegneria Sociale non vi è alcuna penetrazione da parte del malvivente nella struttura IT della vittima, in quanto le informazioni vengono raccolte con le modalità di Social Engineering spiegate pocanzi. Una caratteristica che rende inapplicabile tale contratto assicurativo.
La polizza crime
Sono questi dunque i casi in cui serve riferirsi ad un altro tipo di contrattualistica assicurativa, di ambito Crime. Le ultime revisioni di questo genere di polizze sono state incentrate proprio sul comprendere tale casistica, facendola rientrare nella fattispecie “Atti dolosi o fraudolenti commessi da dipendenti o terzi col fine di ottenere un ingiusto vantaggio economico, arrecando danno all’assicurato”. L’Assicuratore in secondo luogo, assistendo ad una sempre maggiore diffusione di questi eventi e volendo agire in ottica di tutela dai sinistri di frequenza dovuti a negligenza o imperizia da parte dell’azienda, ha imposto delle condicio sine qua non, come le doppie verifiche da parte dell’amministrazione verso fornitori, richiedendo inoltre che lo stesso recapito di contatto utilizzato sia presente in file, rubrica telefonica aziendale o su portali web di pubblico dominio.
Tale ulteriore clausola ha un chiaro collegamento con l’art. 1189 C.C. Pagamento al creditore apparente, dove viene imposto al debitore, per essere ritenuto libero dall’obbligazione, di dimostrare la propria buona fede nell’eseguire il pagamento, accertandosi della corretta identità del creditore mediante la sussistenza di “circostanze univoche”. Lo stesso articolo prosegue riportando che “Chi ha ricevuto il pagamento è tenuto alla restituzione verso il vero creditore secondo le regole stabilite per la ripetizione dell’indebito”. La maggiore criticità delle frodi informatiche riguarda proprio l’identificazione dei malviventi al fine di poter recuperare le somme di denaro dirottate, per dare compimento a ciò che viene imposto, ma in questo caso il Codice difficilmente può venire in aiuto.
Qualora poi l’assicurato sia una PMI che non abbia una particolare predisposizione al rischio in oggetto oppure non ritenga vantaggioso dedicare alla copertura dello stesso una polizza ad hoc, potrebbe estendere (se già presente in portafoglio) la sua polizza di Responsabilità Civile degli Amministratori (D&O) includendo il rischio di frode. Alcuni Assicuratori avveduti ed innovativi hanno infatti collocato questa specifica garanzia accostandola alla ormai fondamentale copertura RC dedicata alla tutela di Amministratori, Manager e Società.
