Ovunque nel mondo si intensificano, sia per numero sia per complessità, gli attacchi dei criminal hacker. L’Italia è al centro dei pensieri dei cyber criminali, che fanno della Penisola una meta ghiotta e sollecitata.
Per questi motivi, soprattutto alle nostre latitudini, parlare di assicurazioni cyber risk è attuale e necessario.
Nessuna organizzazione, neppure la più piccola, può credersi del tutto al riparo dalle ingerenze del cyber crimine. I numeri che vedremo più avanti, seppure poco rappresentativi, ventilano l’ipotesi che gli imprenditori cominciano a chiedersi quando le rispettive imprese verranno prese di mira dai criminali e non se ne saranno vittime.
Indice degli argomenti
I perché di un’assicurazione contro i rischi cyber
I motivi per i quali un imprenditore dovrebbe prendere in considerazione una tale copertura assicurativa sono diversi e – almeno a tratti – è difficile elencarli in ordine di priorità.
Appare più opportuno agire con un ragionamento aprioristico e sostenere che la cyber security è un processo necessario a generare profitti e ogni imprenditore tende ad assicurare ciò che partecipa al fatturato e al risultato d’esercizio: si stipulano polizze contro i furti, gli incidenti stradali, i danni alle strutture produttive e non c’è un solo motivo per non stipularne contro i rischi cyber.
È vero che non tutti gli attacchi cyber riducono all’inattività le organizzazioni che ne sono vittime, è però vero che a fronte di un attacco si susseguono probabili ammende comminate dai regolatori, perdite di reputazione e possibili risarcimenti in favore di utenti e clienti.
Il fatto che un’organizzazione abbia una copertura assicurativa contro i rischi cyber dovrebbe interessare anche gli alti quadri e i dirigenti: in seguito all’incidente dello scorso 30 giugno, Qantas Airways ha deciso di decurtare del 15% i bonus destinati ai ruoli apicali della compagnia aerea che ha voluto mandare un messaggio chiaro, sostenendo come le alte sfere dovessero assumersi parte della responsabilità dell’accaduto.
In sintesi, i motivi principali che arridono alle coperture assicurative contro i rischi cyber, pure tenendo conto che non tutte le polizze coprono ogni voce di questa lista, sono:
- Copertura delle perdite economiche dirette, tra cui i danni materiali e i costi di ripristino
- Copertura contro le richieste di risarcimento delle parti lese (clienti, utenti, fornitori, partner commerciali, …)
- Accesso ai team investigativi e forensi che aiutano a contenere l’attacco e a indagare sull’accaduto
- Adeguamento alle norme nazionali e sovrannazionali che impongono obblighi di notifica, trasparenze e protezione dei dati. Una polizza aiuta a gestire i costi relativi alla conformità sollecitata da regolamenti quali il GDPR e la NIS 2.
- Incentivo a migliorare la sicurezza. Le compagnie di assicurazioni impongono degli standard minimi in materia di cyber security e adeguarsi a tali richieste è un beneficio per qualsiasi organizzazione
- Vantaggio competitivo. Un’azienda che dispone di una polizza trasmette un’immagine di affidabilità.
A questo elenco, lungi dall’essere esaustivo, si aggiunge la possibilità che banche ed investitori, prima di concedere finanziamenti alle imprese, prendano in considerazione la loro resilienza agli attacchi cyber. In quest’ottica, un’assicurazione contro i cyber rischi concorre a restituire dell’azienda l’immagine di un’entità in grado di restituire il finanziamento.
Polizze assicurative contro i rischi cyber
Con il supporto di Lorenzo Missaglia, Head of P&C Commercial Lines di AXA Italia, diamo una dimensione al funzionamento di una polizza contro i rischi cyber.
“La polizza cyber è uno strumento chiave per qualunque azienda o attività che abbia in essere un sistema informatico aziendale. Il prerequisito tecnico per l’accensione della polizza è l’accadimento di un danno non materiale che causa una alterazione o una perdita dei dati con origine da uno (o più) dei seguenti trigger: attacco informatico (atto doloso e fraudolento), errore umano (negligenza interna all’azienda), fenomeno elettrico (effetto di sovratensioni elettriche)”, illustra Lorenzo Missaglia.
Le organizzazioni che già dispongono di tecnologie e infrastrutture per la cyber defense possono contare su una diminuzione del premio assicurativo.
Qui riportiamo un elenco di tali tecnologie così come ci è stato trasmesso da AXA Italia:
- Presenza di antivirus e di un firewall permanentemente attivo
- Strumenti di analisi di vulnerabilità dei domini aziendali
- Aggiornamento delle patch di sicurezza del sistema operativo e del software
- Backup dei dati esternalizzato o su supporti non connessi alla rete
- Effettuazione settimanale del backup
- Test del backup dei dati periodico
- Autenticazione dedicata per l’utilizzo di linea tipo VPN
- Autenticazione a più fattori
- Segmentazione della rete in sottoreti
- Presenza dei Piani di Risposta agli incidenti informatici
- Tempi di ripristino dei sistemi
- Formazione del personale sul tema cyber sicurezza
“Se la presenza di antivirus e di un firewall permanentemente attivo rappresentano tecnologie applicabili ai fini di una potenziale riduzione del premio, gli altri sono procedure o dinamiche aziendali che allo stesso modo influiscono sull’analisi del rischio incluso, quindi, il pricing”, sottolinea Lorenzo Missaglia.
È utile capire anche quali eventi temuti non sono coperti dalle polizze: “Il ransomware, il cui pagamento è risarcibile in base alla legislazione locale, prevede in Italia la copertura delle spese di ripristino a seguito di richiesta di riscatto, ma non il pagamento dello stesso. Non è prevista copertura per tutto ciò che non è considerato attacco informatico (per esempio, phishing, truffe), ovvero che avviene senza accesso del pirata al sistema informatico dell’assicurato, così come per l’utilizzo di software acquisiti illegalmente o senza licenza, eventi dannosi relativi al possesso di dati personali o riservati raccolti illegalmente, o eventi dannosi causati da guerre civili, rivolte, movimenti popolari, scioperi o serrate”, conclude l’esperto.
Gli obblighi normativi
Va detto che, in Italia, non esiste una norma che obbliga le imprese ad avere una copertura assicurativa contro i rischi cyber. Alcuni appalti pubblici chiedono alle aziende che concorrono di avere una polizza di questo tipo.
Parallelamente, pure non imponendo alcunché, alcune autorità di vigilanza, tra le quali la Banca d’Italia e l’Istituto per la Vigilanza sulle assicurazioni (Ivass) le raccomandano ai rispettivi affiliati come buona pratica.
Esaurita questa premessa, la direttiva NIS2 impone requisiti di sicurezza e obblighi di notifica di incidenti, senza però a sua volta imporre l’obbligo assicurativo.
Allo stesso modo, la direttiva DORA entrata in vigore il 17 gennaio del 2025 impone una resilienza operativa digitale ma non la stipula di polizze.
Altrettanto si può dire del GDPR che prevede il sanzionamento dei casi di violazione dei dati, lasciando facoltà alle imprese di assicurarsi.
Quante aziende italiane hanno una polizza contro i rischi cyber
La domanda è pertinente ma la risposta difetta di precisione. Diversi report restituiscono risultati molto differenti tra loro. Ciò che emerge è una crescente predisposizione degli imprenditori nostrani alle assicurazioni cyber risk. Un cambio di mentalità in essere che spinge chi fa impresa a tutelarsi dagli effetti dei cyber attacchi.
Il rapporto Cyber Index 2024 curato da Generali e Confindustria con il coinvolgimento dell’Osservatorio Digital Innovation della School of Management del Politecnico di Milano e in partnership con l’Agenzia per la Cybersicurezza Nazionale (ACN), stabilisce che il 31% delle Pmi italiane ha un’apposita copertura assicurativa.
Ciò che mette d’accordo i diversi report è che, a partire dal 2022, il numero di imprese che hanno polizze per i cyber rischi è cresciuto.
Tra le tante indicazioni fornite da questa informazione figura anche la maggiore consapevolezza degli imprenditori che comprendono la portata del rischio a cui le organizzazioni sono esposte.
