L'APPROFONDIMENTO

Attacco ransomware: chi paga i danni? Il problema dei rischi cyber “silenti”

Al giorno d’oggi è diventata cruciale la gestione dei “silent cyber risk”, cioè di quei rischi informatici relativi a polizze assicurative che non sono pensate per far fronte alla minaccia dei ransomware e che, pertanto, non ne prevedono né escludono esplicitamente la copertura. Ecco perché

16 Giu 2020
B
Alessandro Bonzio

Information & Cyber Security Advisor presso P4I - Partners4Innovation

Luglio 2017: migliaia di computer in Europa, America e Asia vengono infettati e messi fuori uso in quello che è considerato ad oggi uno degli attacchi informatici più distruttivi della storia. Tra le organizzazioni colpite anche Mondelez International, multinazionale americana leader nel mercato alimentare che, a fronte di un danno di più di 100 milioni di dollari, si rivolge a Zurich American Insurance Company per ottenere un risarcimento.

Ma la compagnia assicurativa si rifiuta di pagare, invocando una particolare clausola di esclusione prevista dalla polizza stipulata da Mondelez. Il procedimento legale che ne consegue aiuta a comprendere alcune delle sfide che gli attacchi cyber rappresentano oggi per imprese e operatori del settore assicurativo.

L’attacco ransomware NotPetya

A mettere in ginocchio Mondelez assieme a migliaia di altre organizzazioni in tutto il mondo è un attacco ransomware, tipologia di malware che, una volta installato su un dispositivo, ne limita l’utilizzo (ad esempio criptandone i dati) richiedendo il pagamento di un riscatto per rimuovere le limitazioni.

WEBINAR
12 Ottobre 2022 - 11:00
5 best practice per un cloud journey di successo!
Cloud
Datacenter

Il ransomware viene denominato NotPetya, in quanto variante di un altro ransomware (“Petya”) utilizzato per infettare sistemi Windows a partire dal 2016.

Rilevato per la prima volta il 27 giugno 2017 in Ucraina, NotPetya si diffonde nel giro di poche ore infettando organizzazioni di tutti i settori, compresi enti governativi, istituti bancari e compagnie assicurative.

Nei mesi successivi numerosi governi, tra cui quello statunitense e quello britannico, attribuiranno all’attacco una matrice politica, puntando pubblicamente il dito contro la Russia. I responsabili sarebbero gruppi di hacker operanti per conto del Cremlino, nell’ambito della situazione di conflitto con Kiev (il ransomware era disegnato per diffondersi in fase iniziale tramite un aggiornamento di un software di contabilità ucraino). Curiosità: NotPetya è considerato da diversi esperti il più grave attacco informatico di sempre (o fino ad oggi).

Le conseguenze per Mondelez

I danni subiti da Mondelez sono tanto ingenti quanto immediati. Il ransomware infetta dapprima due server ubicati in luoghi fisici differenti per poi propagarsi attraverso la rete interna. L’infezione comporta il blocco improvviso di migliaia di laptop, rende inutilizzabile la posta elettronica e impedisce l’accesso ai file conservati sulla rete aziendale.

Mette inoltre fuori uso il software di logistica della Società, causando l’interruzione delle attività di spedizione e di fatturazione. Ci vorranno settimane prima che Mondelez riesca a riprendersi del tutto. Alla fine, il danno totale stimato sarà superiore ai 100 milioni di dollari, tra costi diretti legati ai danni causati alle apparecchiature IT (la Società denuncerà la perdita di 1.700 server e 24.000 PC) e costi indiretti dovuti all’interruzione delle catene di fornitura e distribuzione.

Dalla richiesta di risarcimento all’azione legale

Per far fronte al danno, Mondelez si rivolge alla compagnia assicurativa Zurich American Insurance Company, chiedendo un indennizzo in virtù della propria polizza di copertura totale dei rischi.

Le coperture previste dalla polizza includono – così specifica il contratto – perdita o danno fisico a dati elettronici, programmi o software causati dall’introduzione malevola di codice o istruzioni nonché le perdite effettive sostenute dall’assicurato durante il periodo di interruzione dovuto al mancato funzionamento delle apparecchiature elettroniche.

Eppure, Zurich si rifiuta di pagare, invocando una clausola presente nella polizza che esclude il risarcimento di danni causati da “atti ostili o di guerra” da parte di “un governo o potenza sovrana”. Mondelez respinge questa interpretazione e cita in giudizio Zurich con l’accusa di violazione del contratto di assicurazione, richiedendo il pagamento di una penale di 100 milioni di dollari. L’azione legale, avviata nel gennaio del 2019 e tutt’ora in corso, porta con sé una serie di interrogativi di rilievo per il futuro del mercato assicurativo.

Atto ostile o di guerra

Spetta alla Circuit Court di Cook County, tribunale dello stato americano dell’Illinois, stabilire se la clausola di esclusione nella polizza stipulata da Mondelez sia applicabile a questo incidente.

Zurich dovrà dimostrare che l’attacco NotPetya del 2017 sia equiparabile a un “atto ostile o di guerra” e non frutto, ad esempio, di un’azione criminale, come la compagnia assicurativa aveva inizialmente sostenuto.

Una missione dall’esito particolarmente incerto considerata la difficoltà di dimostrare legalmente l’origine degli attacchi cyber. In assenza di elementi di prova risolutivi, la Corte potrebbe trovarsi a dover valutare le attribuzioni pubbliche di responsabilità fatte dai governi all’indomani dell’attacco.

A detta di alcuni commentatori, se queste dichiarazioni fossero ritenute sufficienti a giustificare il mancato pagamento dell’indennizzo da parte di Zurich, si stabilirebbe un precedente importante per il settore assicurativo: in futuro le imprese potrebbero sentirsi meno tutelate e, di conseguenza, meno inclini a stipulare polizze standard come quella sottoscritta da Mondelez, con condizioni incerte per quanto riguarda la copertura dei rischi cyber, optando invece per polizze specifiche per la copertura dei rischi cyber.

Altri ritengono che una vittoria di Zurich potrebbe inoltre indurre gli assicuratori a continuare a far leva sulle clausole di esclusione, rivedendo però il linguaggio in cui esse sono formulate al fine di chiarirne le condizioni di applicabilità.

Il problema dei rischi cyber “silenti”

La vicenda Mondelez-Zurich rivela come sia oggi cruciale la gestione dei “silent cyber risk”, quei rischi informatici relativi a polizze assicurative che non sono pensate per far fronte a tali minacce e che pertanto non ne prevedono né escludono esplicitamente la copertura.

Poiché questi rischi non sono adeguatamente disciplinati nelle polizze, gli assicuratori potrebbero trovarsi a risarcire perdite legate a eventi informatici nell’ambito di polizze non progettate per quella finalità.

Come nel caso di Zurich, la cui polizza di tipo property stipulata da Mondelez non prevedeva coperture specifiche per i rischi cyber, che rimanevano invece “silenti”. Insieme a Zurich, molte altre compagnie assicurative potrebbero pagare le conseguenze di una copertura inadeguata dei rischi informatici: si stima che le perdite totali subite dall’industria assicurativa a causa degli attacchi Petya e NotPetya si aggirino intorno ai 3 miliardi di dollari e che circa il 90% di queste derivi proprio da impatti cyber “silenti”.

I silent cyber risk rappresentano a oggi una sorta di area grigia in molte polizze standard. Strumenti sviluppati nell’era pre-digitale e non opportunamente aggiornati rispetto ai rischi connessi alla diffusione delle nuove tecnologie, spesso perché non aggiornati sono strumenti e metodologie adottati per valutarli.

È il caso dell’approccio statistico per il calcolo dei premi assicurativi relativi a rischi emersi di recente e in costante evoluzione, per i quali non sono disponibili dataset sufficientemente ampi e affidabili.

A rendere ancor più difficili valutazioni adeguate il fatto che molte imprese siano poco sensibili al tema della cybersecurity, con pianificazioni inadeguate della strategia di gestione del rischio, a partire dalla definizione del proprio risk appetite.

È per questi motivi che il caso Mondelez-Zurich rappresenta un ulteriore campanello d’allarme per assicuratori e assicurati. Per le compagnie, un impulso a sviluppare prodotti assicurativi adeguati ad affrontare i rischi cyber, per le aziende una maggiore consapevolezza dei rischi a cui sono esposte e del ruolo delle polizze nella propria strategia di mitigazione.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr