Polizze cyber risk, sono davvero necessarie per le imprese?

Nessuna azienda è al riparo da attacchi informatici e il GDPR europeo introduce sanzioni costose per le organizzazioni non attente al data breach. Ecco perché sono importanti le coperture assicurative e in che modo proteggono l’impresa

Pubblicato il 10 Ott 2017

shutterstock-252936049-171010143108

La sicurezza informatica è un driver per le assicurazioni e lo sarà sempre di più in futuro, vista la crescente minaccia cibernetica. Circa 8 aziende su 10 subiscono attacchi informatici, a volte senza rendersene conto. Le compagnie assicurative possono avere per le aziende, un ruolo di salvagente ma anche di istruttore di nuoto rispetto al tema cybersecurity, come anche diceva in questa intervista Alessandro De Felice, Presidente di ANRA, Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni.

Che la sicurezza informatica rappresenti anche un’opportunità per le assicurazioni è ribadito anche da BDO, importante network internazionale di revisione e consulenza aziendale, che segnala tra le altre cose come negli USA, stato all’avanguardia nella lotta ai reati informatici, quasi un’azienda su 3 possieda una polizza cyber risk. Se è vero che prevenire totalmente un cyber attacco non è possibile, le coperture assicurative possono servire proprio a tutelarsi nei confronti di accadimenti che non possono essere in alcun modo previsti con anticipo. È l’azienda stessa a dover stabilire quali siano questi eventi e a negoziare coperture assicurative personalizzate. Una polizza può quindi mitigare i rischi economico-finanziari, che possono essere ingenti. Secondo i dati del network BDO, il costo medio annuale delle violazioni dei dati aziendali negli USA ammonta a 4 milioni di dollari. Nel quantificare il danno cyber, occorre valutare diversi elementi: il costo di riparazione e messa in sicurezza del sistema e dei dati; il danno reputazionale, inteso come le somme investite in attività di PR e comunicazione e il mancato guadagno derivato dal danno; le eventuali somme pagate a riscatto dei dati, cosa che accade ad esempio con i ransomware, oppure somme di denaro rubate dagli autori dell’attacco. A tutto ciò, inoltre, va sommato anche il fattore normativo: sempre più giurisdizioni nazionali e internazionali stanno introducendo multe e sanzioni per le aziende che si dimostrano non adeguatamente preparate al cyber rischio.

Proprio in Europa, dove questo tipo di polizze è meno diffusa, la spinta decisiva potrebbe venire dal GDPR (il nuovo regolamento europeo sulla data-protection, qui un articolo esplicativo), come spiega Lorenzo Mazzei, Partner Intelligence & Cybersecurity di BDO Italia.

“Entrerà in vigore a tutti gli effetti a maggio 2018 per tutti gli stati membri dell’Unione Europea il GDPR, General Data Protection Regulation, che sanzionerà le aziende che non comunicheranno tempestivamente un’avvenuta fuga di dati con una multa che potrà arrivare fino al 4% annuo del fatturato dell’azienda stessa o a 20 milioni di euro – ha commentato il manager – Si tratta evidentemente di somme ingenti, che giustificheranno il pagamento di un premio annuale per la prevenzione del rischio. È auspicabile che sia il GDPR, sia la direttiva NIS (Network and information Security) vengano recepiti da aziende, organizzazione ed istituzioni come opportunità, oltre che incombenze, per instillare in Europa e in Italia una nuova cultura di prevenzione del rischio. Le nuove polizze, non ancora molto diffuse, svolgerebbero un ruolo strategico in tal senso.”

Certo, le polizze cyber risk non sono ancora molto diffuse anche per la difficoltà delle stesse compagnie a ‘misurarsi’ con la oggettiva ‘novità’ del tipo di rischio che rende poco corposo lo storico di dati su cui elaborare una determinazione dei rischi. Nella cyber security non sono ancora stati elaborati standard definiti, dice sempre BDO, e ciò significa che le compagnie di assicurazioni offrono al momento una certa flessibilità e margine di negoziazione sui termini delle polizze al momento della stipula. Ma quali sono le coperture che una società può negoziare con le assicurazioni? Le polizze possono garantire copertura a costi di ripristino del sistema e connessi costi legati alla necessaria investigazione; il danno reputazionale; i mancati introiti; l’estorsione o furto economico legato al cyber attacco. Oltre alla copertura aziendale, si possono richiedere coperture assicurative anche in relazione alle cosiddette terze parti, ovvero tutte le aziende con cui l’impresa opera in quanto fornitori, clienti o partner. In questi casi, ci si può assicurare dal rischio di “contaminazione” dell’attacco cyber proveniente dalla parte terza, dal rischio di violazione di informazioni confidenziali o proprietà intellettuale, dalle multe e sanzioni potenzialmente derivanti da un attacco a terzi.

“Non c’è dubbio che gli attacchi cyber e le violazioni di dati stiano crescendo in numero e in sofisticazione, causando grandi preoccupazioni sia alle grandi che alle piccole e medie aziende – ha proseguito Mazzei. – Considerato il serio danno reputazionale che un attacco cyber può portare a un’azienda, è chiaro ormai che tale questione non può più essere considerata ad appannaggio esclusivo del dipartimento IT, ma deve varcare le porte del consiglio di amministrazione di ogni impresa. Una politica di cyber sicurezza davvero efficace coinvolge tutti gli aspetti del business, non solo quello tecnologico. È qui che entra in gioco la possibilità di assicurarsi contro le violazioni di dati aziendali, un trend che trainerà la crescita nel settore assicurativo nel medio termine.”

– Ti interessa l’argomento cybersecurity? A Roma il prossimo 14 novembre si terrà la seconda edizione dell’evento organizzato da Digital360 sul tema della Cyber Security, approfondisci

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2