Le recenti vicende USA relative a supposte violazioni informatiche da parte di hacker russi persino in fase di elezioni presidenziali, è esemplificativa del livello di pericolo che oggi si è raggiunto nel campo della sicurezza informatica: se un Paese come gli Stati Uniti, mecca della tecnologia mondiale, patria delle startup tecnologiche, di armate di sviluppatori e ingegneri, non riesce a difendere i suoi sistemi, sicuramente tra i meglio protetti al mondo, da attacchi hacker, cosa possono fare di più le aziende?
“Nessun computer è al sicuro” ha detto recentemente il nuovo Presidente americano Trump, arrivando a suggerire di ritornare a utilizzare carta e messaggeri per comunicare le cose di estrema importanza.
Certamente il 2016 è stato un anno tremendo per la cyber security: tra gli attacchi di maggiore impatto quelli noti sotto il nome di Panama Papers, la violazione a Yahoo! (oltre un miliardo di account hackerati); gli account di personaggi celebri come Zuckerber, fondatore di Facebook, e Dorsey, fondatore di Twitter hanno subito violazioni, i sistemi di Oracle, Netflix, Linkedin, Tumblr, ma anche il database elettorale delle Filippine. Gli attacchi oramai riguardano grandi aziende, profili personali, governi.
A livello aziendale nel corso dello scorso anno 8 aziende su 10 hanno subito attacchi informatici.
La buona notizia è che con la crescita della minaccia, sta crescendo anche la risposta delle compagnie assicurative. Secondo “Insurtech Report 2016” di Burnmark, la cyber security è uno dei driver che nei prossimi anni spingeranno maggiormente la crescita di assicurazioni e insurtech. In questi ultimi anni, dice il report, le assicurazioni per la cyber security sono cresciute moltissimo come dimensione del mercato e fatturato, nonostante si trattasse ancora di un settore in cui entrare con i piedi di piombo per le compagnie, viste le oggettive difficoltà a prevedere, contenere, gestire gli attacchi informatici. Sono ancora pochi i dati storici necessari per stabilire un pricing corretto delle polizze e vi è una grande variazione di anno in anno nel tipo di attacchi informatici e danni che le aziende si trovano ad affrontare di più.
Ma sta di fatto che la criminalità informatica costa annualmente alla società dai 330 ai 500 miliardi di dollari, e questi costi cresceranno con il crescere della digitalizzazione e dell’integrazione digitale di tutta la supply chain delle organizzazioni aziendali. In tale contesto, il mercato globale per la cyber insurance è stimato possa raggiungere almeno i 20 miliardi di dollari in premi sottoscrittientro il 2025.
Per il 2017 il tema della sicurezza informatica è dunque una sfida aperta per le assicurazioni, che devono velocemente recuperare terreno per soddisfare quella che sarà una imponente, crescente domanda.
Sempre guardando al report di Burnmark vi si legge che tra gli elementi immediatamente migliorabili vi è proprio la disponibilità di polizze: tra le 10 più importanti compagnie, solo 5 offrono polizze stand-alone contro le minacce informatiche, il 90% di tutti gli assicuratori offre polizze come un add-on per altri prodotti, mentre oltre il 50% non ha nessuna polizza dedicata. Di conseguenza, il 70% dei broker sostengono che non vi sia per niente chiarezza rispetto alle coperture disponibili contro i rischi informatici. La velocità con la quale compagnie tradizionali o eventuali nuovi competitor riusciranno a rispondere alla nuova domanda di cyber insurance, sarà determinante per ottenere posizionamento di mercato.
Ma cosa effettivamente può fare una polizza cyber risk?
La cyber insurance non può ovviamente evitare che l’attacco informatico si compia, ma può aiutare l’azienda vittima di incidenti a sopportare i danni conseguenti sopravvenuti, in particolare i costi connessi con i danni causati alle terze parti per le quali l’azienda è civilmente responsabile: si può trattare per esempio di costi legali, dei costi per notificare i consumatori circa le violazioni dei dati che hanno portato il rilascio di informazioni private, di costi per il ripristino della situazione pre-attacco o per la fornitura di servizi di monitoraggio del credito, di costi per attività di pubbliche relazioni e campagne pubblicitarie per ricostruire la reputazione dell’azienda.
Alcune polizze possono anche arrivare a coprire la responsabilità degli amministratori e manager aziendali o l’interruzione di attività derivante da un attacco che può diminuire le entrate, così come le perdite subite per attacchi cosiddetti “ransomware” (in aumento) attraverso i quali gli hacker realizzano di fatto un’estorsione, mettendo (o minacciando) il black-out dei sistemi di un’azienda se non si paga una somma di denaro.
(Per un approfondimento suggeriamo la consultazione del documento di AIG Cyber Risk: risposta del mondo assicurativo
Panorama italiano
Nel documento Italian cyber security report – Un framework nazionale per la cyber security , un capitolo è dedicato alle polizze cyber risk, considerate come parte di un processo più ampio di gestione dei rischi cibernetici cui va incontro l’impresa e che deve essere affrontato in modo strutturato. Per le aziende infatti, riporta il documento, la Cyber Insurance deve operare quale strumento a tutela del bilancio aziendale, intervenendo a copertura dei cosiddetti “rischi catastrofali”, anche in funzione del risk appetite e risk tolerance dell’impresa.
Il mercato assicurativo delle polizze cyber risk oggi è in rapida evoluzione – evidenzia il documento – e offre la possibilità di creare tutele ad hoc per il cliente. Tale personalizzazione offre un ottimo livello di aderenza al rischio cyber reale cui è esposta l’azienda, ma presuppone ovviamente un precedente processo di analisi e valutazione. Tuttavia, il mercato assicurativo italiano si trova ancora in una fase embrionale. Delle 50 compagnie di assicurazioni operanti in Europa che specificamente si dichiarano pronte a sottoscrivere rischi cibernetici, soltanto un terzo opera direttamente in Italia, la restante parte opera fondamentalmente dal Regno Unito (a copertura di rischi italiani).
Il mercato degli assicuratori presenta due approcci: 1. First Party Damages: ovvero i danni sofferti dall’azienda colpita da un evento cibernetico; 2. Third Party Damages: ossia la responsabilità dell’azienda assicurata per la violazione dei dati di terzi di cui l’azienda assicurata sia in possesso. Questi due approcci danno origine a due metodologie di indennizzo differenti in cui anche le copertre scattano in momenti diversi.
Il rapporto suggerisce anche alle aziende che vogliano dotarsi di un polizza ciber risk i passi da fare, cosigliando le consulantizione di un consulente assicurativo specializzato e la valutazione di risk assessment per stabilire l’esposizione al rischio e la quantificazione dei possibili danni.