Nel 2017 i rischi riferiti al cyber crime per le aziende di ogni dimensione risultavano in costante e progressivo aumento, “con attacchi sempre più frequenti, aggressivi e sofisticati” secondo l’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano. Tendenza non certo modificata nel corso di questo anno e che dovrebbe portare le imprese ad analizzare con attenzione i rischi ed eventualmente prendere in considerazione la possibilità di assicurarsi rispetto a eventi che possano danneggiare le aziende.
Le cyber insurance sono polizze nuove che vanno proprio a tutelare le imprese dal rischio di attacco informatico e/o problematiche in ambito di cyber security, ma che ancora in Italia non sono così diffuse come negli Stati Uniti, dove i il mercato ha raggiunto 1,84 miliardi di dollari nel 2017, con tassi di penetrazione di mercato superiori al 75% per le imprese dei settori finanziario, sanitario e retail. Andrea Vernocchi, Senior Underwriter Financial Lines di AXA XL, XL Catlin Services SE, spiega meglio il fenomeno.
Secondo l’Osservatorio Information Security e Privacy del Politecnico di Milano le imprese italiane sono “ancora poco mature in materia Cyber Insurance”. E’ ancora questa la situazione? Quale la differenza con il mercato internazionale?
A livello generico mi permetto di fare una breve premessa: culturalmente l’approccio al mondo assicurativo è molto complicato in Italia, spesso per motivi di scarsa attitudine alla gestione/trasferimento del rischio.
Quanto sopra trova maggiori ostacoli nei prodotti assicurativi “nuovi”, dove non c’è abitudine né alla sottoscrizione né tanto meno all’analisi del rischio alla base della necessità dell’acquisto di una copertura assicurativa.
Effettivamente, sebbene negli ultimi mesi l’interesse verso la Cyber Insurance sia cresciuto in maniera esponenziale, la produzione delle compagnie assicurative del settore non è sicuramente entusiasmante in termini di raccolta premi. Preciso che è molto complicato avere dei dati ufficiali e accurati, poiché in Italia non esiste un ramo di vigilanza dedicato alla Cyber Insurance, così come non ne esiste uno per le coperture di Responsabilità Civile Professionale (sebbene sia in vigore un obbligo assicurativo per tutte le Professioni regolamentate).
Negli ultimi mesi abbiamo appurato un netto miglioramento, sia nelle PMI che nelle aziende di medio taglio, nell’approccio al rischio cyber, con tutto ciò che ne consegue in fase di Risk Management. Questo nuovo trend ha fatto sì che la richiesta di coperture assicurative cyber aumentasse, ma soprattutto che la qualità delle informazioni ricevute dagli assicuratori fosse soddisfacente rispetto alle proprie necessità. Difficilmente assistiamo, come invece accadeva nel recente passato, a richieste di coperture assicurative “alla cieca”, senza che il cliente in primis si sia prima preoccupato dei propri rischi, o per lo meno di appurare quali essi siano.
Per quanto riguarda la differenza con il mercato internazionale permane una netta distinzione tra USA e mercato europeo: il mercato statunitense è per diversi motivi molto più avanzato, ma possiamo segnalare alcuni Paesi europei dove, anche per motivi culturali, il mercato assicurativo cyber è in forte ascesa, come ad esempio Francia e Spagna. Le motivazioni sono molteplici e dovute sia a motivi normativi che a predisposizioni dei mercati assicurativi locali, ma di sicuro in Italia non aiuta il fatto che non possano essere coperte le sanzioni irrorate direttamente all’assicurato, come ad esempio per le sanzioni previste dal GDPR e conseguentemente dalla recente normativa italiana – D.Lgs 101/2018.
Quali le ragioni per le quali le imprese dovrebbero pensare di stipulare polizze di questo tipo? Il GDPR può essere un incentivo (lo è già stato)?
Le imprese dovrebbero identificare in primis i propri rischi, così da poter comprendere quale livello di rischio sono in grado e sono disponibili a sostenere. Sicuramente l’ambito cyber è ancora un mondo inesplorato e ricco di variabili, ma nel quale l’unica certezza è l’importanza degli asset intangibili e la dipendenza di ogni impresa dai propri sistemi IT/Dati/Sicurezza on-line. Vedo molto sensato pensare a trasferire un’importante quota dei propri rischi a un soggetto terzo, così da poter affrontare serenamente la propria attività giornaliera, senza rischiare di dover affrontare delle situazioni di crisi dovute ad un attacco o a un malfunzionamento informatico.
Il GDPR ha fatto in modo che qualsiasi impresa si informasse su un ambito fino a pochi mesi fa sottovalutato, in maniera chiara e decisa. Alcuni operatori hanno fatto in modo di passare un messaggio distorto: “con il nuovo GDPR è necessaria una copertura assicurativa”; informazione non corretta, poiché il GDPR richiede solamente che ci siano in essere delle procedure e che ogni impresa sia conscia e pronta per un’eventuale problematica legata all’ambito cyber o comunque alla detenzione e al trattamento di dati personali e sensibili in UE.
Alcune coperture assicurative di cyber risks forniscono delle garanzie che potremmo definire “di servizio”: per alcune realtà non esperte in ambito cyber può essere molto conveniente avere in essere una polizza assicurativa che le assista in caso di data breach, per attività complementari come ad esempio la notifica alle autorità, o dove necessario la notifica ai soggetti interessati, fornendo l’assistenza di professionisti qualificati e specializzati, con i quali le compagnie assicurative hanno stretto accordi globali.
In un Paese come l’Italia dove l’ultima normativa privacy risale a 15 anni fa (il decreto 196/2003), un nuovo intervento di tipo normativo ha portato alla ribalta argomentazioni che venivano discusse da tempo in ambiti specifici, come per esempio il mondo IT e del web in generale, ma sicuramente non da altri soggetti che sono implicati in maniera importante in ambito privacy e gestione di dati personali, quali ad esempio avvocati, commercialisti, società di risorse umane, ecc..
Riassumendo posso quindi confermare che il GDPR ha portato un aumento delle richieste di coperture assicurative in ambito cyber, ma lo definirei un impatto “indiretto”.
Cosa s’intende per “rischio residuo” nelle assicurazioni cyber? Come si calcola?
Per poter comprendere il rischio residuo nelle assicurazioni cyber bisogna fare un passo indietro. Qualsiasi impresa dovrebbe effettuare un serio processo di identificazione dei propri rischi, classificando gli stessi in funzione di diverse variabili come ad esempio la probabilità e la gravità. Al termine di questo processo di identificazione dovrebbe poi essere messa in atto una classificazione dei rischi, in funzione della propria appetibilità, adeguatezza e propensione al rischio stesso.
La fase probabilmente più sottovalutata è la mitigazione del rischio, dove ogni impresa dovrebbe pianificare delle modifiche e/o delle integrazioni ai propri processi per fare in modo che il rischio rientri nei propri parametri di sostenibilità.
Solo dopo questo processo l’impresa dovrebbe appurare quali rischi non sono mitigabili né ritenibili, identificando quindi un soggetto terzo (tendenzialmente un assicuratore), al quale trasferire il proprio rischio. Non dimentichiamoci che il rischio può essere sia positivo che negativo – per definizione – quindi non necessariamente lo stesso dovrebbe essere trasferito ad altro soggetto.
Il rischio residuo è quindi identificabile in due varianti: quello che permane dopo la fase di mitigazione e quello che viene accettato, in maniera però consapevole (quindi dopo un’attenta attività di analisi). In alcuni casi questo secondo punto può essere anche definito come rischio “accettabile”.
Se il rischio residuo fosse realmente quantificato con un processo come quello descritto sopra non ci sarebbero problematiche di accesso al mercato assicurativo: un assicuratore è ben disponibile a valutare la ritenzione di un rischio calcolato e noto, mentre sicuramente non sarà disponibile a mettere a disposizione il proprio capitale a un cliente che non si è mai preoccupato dei propri rischi, e che vede quindi nel mercato assicurativo la soluzione più rapida, economica e “indolore”.
Il report Clusit, nel trattare di cyber insurance, individua nel CIO o in un tavolo collaborativo da lui coordinato la figura che dovrebbe occuparsi di questo tema. Concorda con questa visione? Chi solitamente approccia la questione in base alla sua esperienza e chi sarebbe opportuno lo facesse?
E’ difficile formulare una risposta univoca, che non prenda in considerazione la dimensione dell’azienda, l’ambito di riferimento e la tipologia di struttura interna. Il CIO, qualora presente nell’organico aziendale, è sicuramente il soggetto che possiede maggiori conoscenze in ambito cyber, nonché nelle problematiche che potrebbero occorrere in caso di attacco informatico o simili situazioni di potenziale crisi.
Il soggetto che dovrebbe intrattenere le figure interne in un eventuale tavolo collaborativo dovrebbe essere sicuramente il CIO, soprattutto nella fase di identificazione dei rischi aziendali, anche se non sempre è la persona migliore per convertire le informazioni, nonché eventuali errori in ambito di sicurezza informatica, in rischi aziendali.
Secondo il mio punto di vista dovrebbe esserci una situazione di cyber resiliency integrata, dove tutte le figure aziendali, dai vertici (CEO, CFO) agli impiegati, siano consapevoli della propria importanza (la cosiddetta cyber awereness). Quanto sopra si rifletterebbe positivamente soprattutto in caso di attacco informatico, ma potrebbe anche aiutare i partecipanti a suddetto tavolo collaborativo a fare in modo di avere un quadro chiaro della situazione, senza aree di incertezza e/o mancata conoscenza della realtà aziendale.
Al momento purtroppo vediamo una situazione di tipo variegato: spesso le coperture assicurative vengono demandate all’ufficio acquisti, dove quindi potremmo trovare figure giustamente non formate né in ambito cyber né in ambito insurance, con tutto ciò che ne consegue nelle problematiche di tipo comunicativo, nonché per la scarsa attitudine nel saper fornire le informazioni necessarie al soggetto terzo che dovrebbe assumere il rischio aziendale (tendenzialmente un assicuratore).
Ci sono invece molto esempi virtuosi, dove l’intera struttura collabora, su forte spinta del top management, per fare in modo di trasferire al proprio interno delle informazioni chiare ai soggetti preposti, come ad esempio il CRO (Chief Risk Officer). E’ palese che in questi ultimi casi il mercato assicurativo viene interpellato, spesso per il tramite di un intermediario assicurativo specializzato, ricevendo delle informazioni sensate, chiare e focalizzate sul vero ambito cyber, e non su singoli ambiti come la sola infrastruttura IT, creando quindi una sinergia virtuosa che può portare solo risultati positivi, in primis per il potenziale contraente di polizza. Quanto sopra sotto tutti i punti di vista: completezza dell’offerta, costi della copertura assicurativa, disponibilità dell’assicuratore ad essere flessibile su alcune richieste particolari, e così via.
Facebook Comments