L'ANALISI

Polizze assicurative nel settore del cyber risk: soluzioni operative

Le differenze tra le polizze assicurative nel settore del cyber risk sono minime e si fondano essenzialmente sull’approccio al rischio e su aspetti di carattere economico-organizzativo. Ecco un utile vademecum per orientarsi tra le proposte delle principali compagnie assicurative

25 Mag 2020
I
Michele Iaselli

Avvocato, Docente di Logica e Informatica giuridica - Università di Cassino


La rivoluzione digitale sta indubbiamente portando molti benefici a società, imprese, studi professionali ma, come spesso accade, bisogna considerare anche il rovescio della medaglia: difatti, accanto agli innumerevoli benefici, l’uso incontrollato di Internet può comportare una quantità notevole di insidie e problematiche che rientrano nell’ambito di quel fenomeno definito cyber risk o “rischio informatico” che è necessario gestire e “coprire” mediante la sottoscrizione di polizze assicurative utili a mettere in sicurezza il patrimonio aziendale dalle possibili conseguenze dannose di un attacco informatico o di un errore umano.

Polizze assicurative nel settore del cyber risk: il contesto

In termini metodologici, secondo le linee guida internazionali, storicamente sono classificate cinque grandi famiglie di rischio:

  1. rischi operativi;
  2. rischi finanziari;
  3. rischi strategici;
  4. rischi organizzativi;
  5. rischi di pianificazione aziendale e di reporting.

Il cyber risk ha una caratteristica peculiare in quanto può indifferentemente abbracciare ciascuna delle cinque famiglie di rischio citate e considerarsi come una nuova tipologia di macro-rischio determinata dall’evoluzione tecnologica.

Più precisamente, il rischio informatico può essere definito come il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, intendendosi con ciò sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che i rischi derivanti dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (i cosiddetti rischi di natura esogena).

I rischi di natura endogena sono:

  1. naturali: incendi, calamità naturali, inondazioni, terremoti;
  2. finanziari: variazione dei prezzi e dei costi, inflazione;
  3. strategici: concorrenza, progressi scientifici, innovazioni tecnologiche;
  4. errori umani: modifica e cancellazione dei dati, manomissione volontaria dei dati.

I rischi di natura esogena, o di natura operativa sono i rischi connessi alle strutture informatiche che compongono i sistemi. Essi sono:

  1. danneggiamento di hardware e software;
  2. errori nell’esecuzione delle operazioni nei sistemi;
  3. malfunzionamento dei sistemi;
  4. programmi indesiderati.

Tali rischi possono verificarsi a causa dei cosiddetti programmi “virus” destinati ad alterare od impedire il funzionamento dei sistemi informatici. Ma vi sono anche le truffe informatiche, la pedopornografia, il cyberbullismo, i ricatti a sfondo sessuale derivanti da video chat on line e solo una piena consapevolezza del concetto di sicurezza informatica può davvero metterci al riparo da sgradevoli sorprese.

L’importanza della gestione del rischio

Un aspetto di notevole importanza del rischio informatico è il risk management (gestione del rischio) e cioè quel processo attraverso il quale si misura o si stima il rischio e successivamente si sviluppano le strategie per fronteggiarlo.

La gestione del rischio, così come descritto nella Convenzione Interbancaria per i problemi dell’Automazione (CIPA) nel rapporto sul rischio informatico si articola in diverse fasi:

  1. identificazione del rischio;
  2. individuazione delle minacce;
  3. individuazione dei danni che posso derivare dal concretizzarsi delle minacce e la loro valutazione;
  4. identificazione delle possibili contromisure per contrastare le minacce arrecate alle risorse informatiche.

Diverse sono le modalità di gestione del rischio. A seconda del livello di rischio che un soggetto sia esso un’azienda, persona o ente ritiene accettabile si distinguono:

  1. evitare: si modificano i processi produttivi, modalità di gestione ed amministrazione con lo scopo di eliminare il rischio;
  2. trasferire il rischio ad un altro soggetto: il trasferimento del rischio avviene nei confronti di assicurazioni, partner e si tratta principalmente di rischi economici perché più facilmente quantificabili.
  3. mitigare: consiste nel ridurre, attraverso processi di controllo e verifica, la probabilità del verificarsi del rischio o nel limitarne la gravità delle conseguenze nel caso in cui si verifichino.
  4. accettare: ossia assumersi il rischio ed i relativi costi.

Polizze assicurative nel settore del cyber risk: il mercato

Da alcuni anni l’interesse degli operatori economici sul cyber risk è cresciuto notevolmente. Questa crescita è stata tale da suscitare l’interesse delle compagnie di assicurazione su questa tipologia di rischio.

Negli Stati Uniti le polizze assicurative esistono da più di 15 anni, mentre invece in Italia sono state introdotte da pochi anni.

Il mercato di tali polizze potrebbe presentare sviluppi molto interessanti per il futuro, ma in realtà non è ancora chiaro a molte compagnie su che cosa debba intendersi per cyber risk e quale debba essere effettivamente il focus dell’assicurazione.

WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Backup

Ad esempio, molte assicurazioni tendono a considerare il tema come avulso da qualsiasi assicurazione tradizionale. Le idee che circolano riguardano la possibilità di realizzare polizze in qualche modo “tecnologiche” oppure il tema del rischio informatico viene notevolmente banalizzato.

In realtà una polizza dovrebbe essere molto articolata in considerazione delle esigenze specifiche dei clienti. Pensiamo ad un’azienda o comunque ad un’organizzazione che potrebbe desiderare un’assicurazione limitata ai soli processi che prevedono in trattamento dei dati personali, in omaggio al GDPR, oppure mettere in sicurezza la sua produzione industriale, ormai gestita da sistemi automatizzati.

Non si tratta di un compito semplice poiché questa tipologia di assicurazione richiede specifiche conoscenze che vanno acquisite nel caso specifico, notevoli competenze poiché è un settore molto specialistico ed una casistica di riferimento che non esiste all’attualità.

Sul tema va riconosciuto che le normali tecniche attuariali sono praticamente inutili, quindi si tratta di trovare nuove forme e formule che dovranno essere ricercate nel “giovane” mondo delle professionalità connesse alla sicurezza cyber e delle informazioni.

Polizze assicurative nel settore del cyber risk: soluzioni operative

Vediamo adesso come si stanno orientando le principali compagnie assicurative.

Allianz

Offre una forma di assicurazione che include diverse prestazioni:

  • una sorta di responsabilità civile in caso di richieste risarcitorie e crediti di terzi legati alla criminalità informatica;
  • l’assunzione di costi che l’azienda deve sostenere a seguito di attacchi informatici per ripristinare i dati o per porre rimedio a furti, estorsioni informatiche ecc.;
  • copertura di perdite di fatturato nel caso di interruzioni di esercizio ed anche la gestione di crisi conseguenti ad attacchi informatici.

Viene prevista anche la possibilità di una copertura integrativa per le conseguenze economiche di frodi perpetrate nel campo del social engineering.

Zurich

Prevede anche soluzioni modulari a seconda delle diverse esigenze. Si parte da un’assicurazione generale che offre protezione in caso di pretese di risarcimento da parte di terzi quando dati personali o dati aziendali vanno persi o vengono pubblicati; copertura contro la violazione involontaria delle disposizioni sulla protezione dei dati; assunzione di spese processuali e di difesa; forme di responsabilità civile che includono i fornitori di servizi esterni e fornitori per i quali si è responsabili nonché forme di responsabilità civile per i mezzi di comunicazione in Internet.

Alle aziende si garantisce inoltre la copertura di spese supplementari in seguito al furto o alla perdita di dati per analisi giuridiche, avvocati e consulenza PR allo scopo di ripristinare la fiducia; di spese per le notifiche scritte previste ai clienti; di oneri per la ricostruzione di dati smarriti o danneggiati e per il ripristino e la riparazione di software danneggiati; di perdite di fatturato risultanti da attacchi informatici o perdite di dati.

Interessante, inoltre, la previsione dell’assistenza di un team specializzato composto da avvocati e specialisti IT per l’analisi del rischio (Pre-Breach), durante i casi di sinistro e dopo gli attacchi informatici (Post-Breach).

AXA

Offre un’assicurazione cyber che comprende:

  • l’indennizzo in caso di interruzione d’esercizio:
  • l’assunzione dei costi di ripristino in caso di perdita di dati;
  • l’assunzione dei costi per il ripristino di sistemi operativi e programmi applicativi;
  • il pagamento di richieste di risarcimento giustificate o difesa da pretese ingiustificate;
  • l’assistenza immediata in caso di cyber evento da parte di un esperto esterno di società convenzionata;
  • l’assunzione dei costi per procedimento dell’autorità in materia di protezione dei dati.

Sono previsti anche ampliamenti opzionali in caso di manipolazione dell’online banking oppure del sistema di pagamento online, di hackeraggio telefonico, di social engineering.

Vittoria Assicurazioni

Prevede una Risk protection che assicura diverse tipologie di rischio che potrebbero minacciare la stabilità di una piccola o media impresa a seguito di un attacco informatico.

Con il prodotto “Cyber SMART” viene messo a disposizione dell’assicurato un Service Provider per la risoluzione dei malfunzionamenti dei computer, notebook o desktop utilizzati dallo stesso per la propria attività professionale e si provvede al ripristino dei dati danneggiati nella stessa condizione dell’ultimo backup disponibile ed utilizzabile anche nel caso in cui l’assicurato subisca un’estorsione cyber.

Inoltre, il prodotto “Cyber TOP” in aggiunta a quanto previsto dal prodotto Cyber Smart, tutela l’assicurato contro i danni provocati a terzi a seguito di violazione della privacy e/o a violazione della rete oltre che coprirlo per le spese derivanti da violazione della privacy e spese di difesa legale contro un’azione da parte di organi di controllo. In aggiunta alla garanzia base è possibile assicurarsi per: danni da interruzione dell’attività; RC derivante da attività multimediale; danno reputazionale; cyber crime; PCI-DSS.

Reale Mutua Assicurazioni

Prevede la Cyber Risk Reale 2.0 pensata per le piccole e medie imprese che copre le perdite pecuniarie quali:

  • rispristino dati e sistema informatico (garanzia di base);
  • spese derivanti da violazione della privacy e violazione di dati aziendali (garanzia di base erogata con il supporto tecnico del service provider);
  • estorsione cyber (garanzia di base erogata con il supporto tecnico del service provider);
  • danni da interruzione attività (garanzia facoltativa);
  • System Failure (garanzia facoltativa);
  • danno reputazionale (garanzia facoltativa);
  • cybercrime e telephone hacking (garanzia facoltativa).

Inoltre, copre:

  • la responsabilità civile derivante da violazione della privacy e violazione di dati aziendali (garanzia di base);
  • la responsabilità civile derivante da violazione della sicurezza della rete (garanzia di base);
  • la responsabilità derivante da attività multimediale (es. diffamazione) (garanzia facoltativa);

e prevede anche una tutela legale. Interessante è la previsione del pagamento di un premio rapportato al fatturato.

Gruppo Generali

Offre una nuova soluzione assicurativa cyber risk per imprese e professionisti che prevede un servizio on line di valutazione preventiva che misura il livello di protezione della realtà organizzativa, una protezione per i danni causati dall’attacco informatico all’attività aziendale ed un servizio di pronto intervento che si avvale di partner specializzati nel settore.

La protezione per i danni è strutturata in una soluzione Basic che comprende:

  • i danni materiali e diretti all’hardware;
  • i costi per il ripristino della rete;
  • i costi per la ricostituzione degli archivi;
  • i costi di notifica in caso di data breach;
  • i costi di indagine (“Incident Response”);

mentre per la responsabilità civile copre i danni a sistemi informatici e apparecchiature di terzi; una soluzione comfort che comprende anche le Perdite Finanziarie dovute a sottrazione fraudolenta di moneta elettronica o all’effettuazione di transazioni finanziarie non autorizzate ed i costi per certificazione PCI-DSS (Payment Card Industry Data Security Standard).

Per la responsabilità civile, infine, copre anche le perdite patrimoniali; ed infine una soluzione Top che comprende i costi per la tutela reputazionale ed i danni ad apparecchiature che non fanno parte del sistema informatico, mentre per la Responsabilità civile copre i danni morali e le garanzie per danni non patrimoniali.

Polizze assicurative nel settore del cyber risk: la scelta

Dall’esame delle principali polizze assicurative nel settore del cyber risk appare evidente e non poteva essere altrimenti l’affinità tra i diversi prodotti e la conseguente copertura di rischi analoghi.

Le differenze, quindi, sono minime e si fondano essenzialmente sull’approccio al rischio e su aspetti di carattere economico-organizzativo.

WHITEPAPER
Quali sono i mobile malware più diffusi?
Mobility
Cybersecurity

Come completezza ritengo che il prodotto assicurativo del Gruppo Generali forse sia il migliore ed offra un servizio on line di valutazione preventiva che consente alla stessa compagnia di conoscere in modo più approfondito la reale esposizione al rischio dell’azienda che dovrà essere assicurata.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5