Luglio 2017: migliaia di computer in Europa, America e Asia vengono infettati e messi fuori uso in quello che è considerato ad oggi uno degli attacchi informatici più distruttivi della storia. Tra le organizzazioni colpite anche Mondelez International, multinazionale americana leader nel mercato alimentare che, a fronte di un danno di più di 100 milioni di dollari, si rivolge a Zurich American Insurance Company per ottenere un risarcimento.
Ma la compagnia assicurativa si rifiuta di pagare, invocando una particolare clausola di esclusione prevista dalla polizza stipulata da Mondelez. Il procedimento legale che ne consegue aiuta a comprendere alcune delle sfide che gli attacchi cyber rappresentano oggi per imprese e operatori del settore assicurativo.
Indice degli argomenti
L’attacco ransomware NotPetya
A mettere in ginocchio Mondelez assieme a migliaia di altre organizzazioni in tutto il mondo è un attacco ransomware, tipologia di malware che, una volta installato su un dispositivo, ne limita l’utilizzo (ad esempio criptandone i dati) richiedendo il pagamento di un riscatto per rimuovere le limitazioni.
Il ransomware viene denominato NotPetya, in quanto variante di un altro ransomware (“Petya”) utilizzato per infettare sistemi Windows a partire dal 2016.
Rilevato per la prima volta il 27 giugno 2017 in Ucraina, NotPetya si diffonde nel giro di poche ore infettando organizzazioni di tutti i settori, compresi enti governativi, istituti bancari e compagnie assicurative.
Nei mesi successivi numerosi governi, tra cui quello statunitense e quello britannico, attribuiranno all’attacco una matrice politica, puntando pubblicamente il dito contro la Russia. I responsabili sarebbero gruppi di hacker operanti per conto del Cremlino, nell’ambito della situazione di conflitto con Kiev (il ransomware era disegnato per diffondersi in fase iniziale tramite un aggiornamento di un software di contabilità ucraino). Curiosità: NotPetya è considerato da diversi esperti il più grave attacco informatico di sempre (o fino ad oggi).
Le conseguenze per Mondelez
I danni subiti da Mondelez sono tanto ingenti quanto immediati. Il ransomware infetta dapprima due server ubicati in luoghi fisici differenti per poi propagarsi attraverso la rete interna. L’infezione comporta il blocco improvviso di migliaia di laptop, rende inutilizzabile la posta elettronica e impedisce l’accesso ai file conservati sulla rete aziendale.
Mette inoltre fuori uso il software di logistica della Società, causando l’interruzione delle attività di spedizione e di fatturazione. Ci vorranno settimane prima che Mondelez riesca a riprendersi del tutto. Alla fine, il danno totale stimato sarà superiore ai 100 milioni di dollari, tra costi diretti legati ai danni causati alle apparecchiature IT (la Società denuncerà la perdita di 1.700 server e 24.000 PC) e costi indiretti dovuti all’interruzione delle catene di fornitura e distribuzione.
Dalla richiesta di risarcimento all’azione legale
Per far fronte al danno, Mondelez si rivolge alla compagnia assicurativa Zurich American Insurance Company, chiedendo un indennizzo in virtù della propria polizza di copertura totale dei rischi.
Le coperture previste dalla polizza includono – così specifica il contratto – perdita o danno fisico a dati elettronici, programmi o software causati dall’introduzione malevola di codice o istruzioni nonché le perdite effettive sostenute dall’assicurato durante il periodo di interruzione dovuto al mancato funzionamento delle apparecchiature elettroniche.
Eppure, Zurich si rifiuta di pagare, invocando una clausola presente nella polizza che esclude il risarcimento di danni causati da “atti ostili o di guerra” da parte di “un governo o potenza sovrana”. Mondelez respinge questa interpretazione e cita in giudizio Zurich con l’accusa di violazione del contratto di assicurazione, richiedendo il pagamento di una penale di 100 milioni di dollari. L’azione legale, avviata nel gennaio del 2019 e tutt’ora in corso, porta con sé una serie di interrogativi di rilievo per il futuro del mercato assicurativo.
Atto ostile o di guerra
Spetta alla Circuit Court di Cook County, tribunale dello stato americano dell’Illinois, stabilire se la clausola di esclusione nella polizza stipulata da Mondelez sia applicabile a questo incidente.
Zurich dovrà dimostrare che l’attacco NotPetya del 2017 sia equiparabile a un “atto ostile o di guerra” e non frutto, ad esempio, di un’azione criminale, come la compagnia assicurativa aveva inizialmente sostenuto.
Una missione dall’esito particolarmente incerto considerata la difficoltà di dimostrare legalmente l’origine degli attacchi cyber. In assenza di elementi di prova risolutivi, la Corte potrebbe trovarsi a dover valutare le attribuzioni pubbliche di responsabilità fatte dai governi all’indomani dell’attacco.
A detta di alcuni commentatori, se queste dichiarazioni fossero ritenute sufficienti a giustificare il mancato pagamento dell’indennizzo da parte di Zurich, si stabilirebbe un precedente importante per il settore assicurativo: in futuro le imprese potrebbero sentirsi meno tutelate e, di conseguenza, meno inclini a stipulare polizze standard come quella sottoscritta da Mondelez, con condizioni incerte per quanto riguarda la copertura dei rischi cyber, optando invece per polizze specifiche per la copertura dei rischi cyber.
Altri ritengono che una vittoria di Zurich potrebbe inoltre indurre gli assicuratori a continuare a far leva sulle clausole di esclusione, rivedendo però il linguaggio in cui esse sono formulate al fine di chiarirne le condizioni di applicabilità.
Il problema dei rischi cyber “silenti”
La vicenda Mondelez-Zurich rivela come sia oggi cruciale la gestione dei “silent cyber risk”, quei rischi informatici relativi a polizze assicurative che non sono pensate per far fronte a tali minacce e che pertanto non ne prevedono né escludono esplicitamente la copertura.
Poiché questi rischi non sono adeguatamente disciplinati nelle polizze, gli assicuratori potrebbero trovarsi a risarcire perdite legate a eventi informatici nell’ambito di polizze non progettate per quella finalità.
Come nel caso di Zurich, la cui polizza di tipo property stipulata da Mondelez non prevedeva coperture specifiche per i rischi cyber, che rimanevano invece “silenti”. Insieme a Zurich, molte altre compagnie assicurative potrebbero pagare le conseguenze di una copertura inadeguata dei rischi informatici: si stima che le perdite totali subite dall’industria assicurativa a causa degli attacchi Petya e NotPetya si aggirino intorno ai 3 miliardi di dollari e che circa il 90% di queste derivi proprio da impatti cyber “silenti”.
I silent cyber risk rappresentano a oggi una sorta di area grigia in molte polizze standard. Strumenti sviluppati nell’era pre-digitale e non opportunamente aggiornati rispetto ai rischi connessi alla diffusione delle nuove tecnologie, spesso perché non aggiornati sono strumenti e metodologie adottati per valutarli.
È il caso dell’approccio statistico per il calcolo dei premi assicurativi relativi a rischi emersi di recente e in costante evoluzione, per i quali non sono disponibili dataset sufficientemente ampi e affidabili.
A rendere ancor più difficili valutazioni adeguate il fatto che molte imprese siano poco sensibili al tema della cybersecurity, con pianificazioni inadeguate della strategia di gestione del rischio, a partire dalla definizione del proprio risk appetite.
È per questi motivi che il caso Mondelez-Zurich rappresenta un ulteriore campanello d’allarme per assicuratori e assicurati. Per le compagnie, un impulso a sviluppare prodotti assicurativi adeguati ad affrontare i rischi cyber, per le aziende una maggiore consapevolezza dei rischi a cui sono esposte e del ruolo delle polizze nella propria strategia di mitigazione.
