Le assicurazioni che salvano nel post cyberattacco

Sicurezza

Secondo un report di BDO prevenire totalmente un cyberattacco non è possibile, le coperture assicurative possono servire a tutelarsi nei confronti di accadimenti che non possono essere previsti con anticipo

Dato che spesso risulta difficile, se non impossibile sventare un attacco informatico, all’interno di un’azienda, una delle strade percorribili sembra essere quella delle assicurazioni, Già, negli Stati Uniti questa forma di tutela è già presente, tanto che un’azienda su tre ne possiede una, ma in Europa a che punto siamo? Secondo un report di BDO prevenire totalmente un cyber attacco non è possibile, le coperture assicurative possono servire proprio a tutelarsi nei confronti di accadimenti che non possono essere in alcun modo previsti con anticipo. È l’azienda stessa a dover stabilire quali siano questi eventi e a negoziare coperture assicurative personalizzate.

Secondo i dati del network BDO, il costo medio annuale delle violazioni dei dati aziendali negli USA ammonta a 4 milioni di dollari. Nel quantificare il danno cyber, occorre valutare diversi elementi: il costo di riparazione e messa in sicurezza del sistema e dei dati; il danno reputazionale, inteso come le somme investite in attività di PR e comunicazione e il mancato guadagno derivato dal danno; le eventuali somme pagate a riscatto dei dati, cosa che accade ad esempio con i ransomware, oppure somme di denaro rubate dagli autori dell’attacco. A tutto ciò, inoltre, va sommato anche il fattore normativo: sempre più giurisdizioni nazionali e internazionali stanno introducendo multe e sanzioni per le aziende che si dimostrano non adeguatamente preparate al cyber rischio.

Lorenzo Mazzei
Lorenzo Mazzei

“Entrerà in vigore a tutti gli effetti nel maggio 2018 per tutti gli stati membri dell’Unione Europea il GDPR, General Data Protection Regulation, che sanzionerà le aziende che non comunicheranno tempestivamente un’avvenuta fuga di dati con una multa che potrà arrivare fino al 4% annuo del fatturato dell’azienda stessa o a 20 milioni di euro – ha commentato Lorenzo Mazzei, Partner Intelligence & Cybersecurity di BDO Italia. – Si tratta evidentemente di somme ingenti, che giustificheranno il pagamento di un premio annuale per la prevenzione del rischio. È auspicabile che sia il GDPR, sia la direttiva NIS (Network and information Security) vengano recepiti da aziende, organizzazione ed istituzioni come opportunità, oltre che incombenze, per instillare in Europa e in Italia una nuova cultura di prevenzione del rischio. Le nuove polizie, non ancora molto diffuse, svolgerebbero un ruolo strategico in tal senso.”

Dall’altro lato dell’oceano, negli USA, dove la discussione sul cyber rischio è senz’altro più avanzata e all’avanguardia, il 28% dei leader aziendali intervistati dal BDO USA Board Survey 2016 (condotto su un campione di 160 direttori di CdA di aziende quotate) dichiara che nella propria azienda è stata acquistata una polizza assicurativa che protegga dai reati informatici. Tale percentuale rimane stabile rispetto all’anno precedente, ma è triplicata rispetto al 2014, in cui solo 1 intervistato su 10 rispondeva affermativamente. Tornando agli ultimi dati disponibili, il 13% sta attualmente considerando l’acquisto di una polizza ad hoc; l’11% ha concluso negativamente la valutazione in merito alla stipula della polizza, mentre l’1% avrebbe voluto stipularne una, ma si è vista rifiutare la necessaria copertura assicurativa.

Gli investimenti in cyber sicurezza oltreoceano stanno aumentando di anno in anno: 8 rispondenti su 10 dichiarano di aver investito una somma più alta in cyber security rispetto all’anno precedente, con un trend in continua crescita. Secondo dati AON, le aziende continuano a spendere fino a quattro volte di più per assicurare gli asset aziendali materiali che per il cyber rischio, nonostante la diffusa opinione che gli asset aziendali di carattere cyber abbiano un valore del 14% più alto. Secondo Business Insurance, le potenzialità delle polizze assicurative contro il cyber rischio rimangono comunque molto elevate: il mercato globale vale oggi 3 miliardi di dollari, ma entro il 2022 arriverà a 14 miliardi di dollari.

Rispetto alle altre polizze assicurative per la protezione dal rischio, nel settore della cyber security non sono ancora stati elaborati standard definiti. Ciò significa che le compagnie di assicurazioni offrono al momento una certa flessibilità e margine di negoziazione sui termini delle polizze al momento della stipula. È molto importante comprendere, tuttavia, che proprio la mancanza di uno standard con cui confrontarsi può costituire un rischio per l’azienda.

Le polizze possono garantire copertura a costi di ripristino del sistema e connessi costi legati alla necessaria investigazione; danno reputazionale; mancati introiti; estorsione o furto economico legato al cyber attacco. Oltre alla copertura aziendale, si possono stipulare coperture assicurative anche in relazione alle cosiddette terze parti, ovvero tutte le aziende con cui l’impresa opera in quanto fornitori, clienti o partner. In questi casi, ci si può assicurare dal rischio di “contaminazione” dell’attacco cyber proveniente dalla parte terza, dal rischio di violazione di informazioni confidenziali o proprietà intellettuale, dalle multe e sanzioni potenzialmente derivanti da un attacco a terzi. Quello della copertura dal cyber rischio derivante dai rapporti con terze parti, tuttavia, è un segmento ancora trascurato anche negli stessi Stati Uniti e contemplato, secondo i dati di BDO, da solo 4 rispondenti su 10, nella mera forma della conduzione di un risk assessment nei loro confronti.

La difficoltà di stimare i costi totali di un potenziale attacco cyber rende limitata la possibilità delle compagnie assicurative di sviluppare dei solidi modelli di rischio per le polizze correlate. Le compagnie, perciò, tendono a mitigare il rischio stabilendo termini molto stringenti alle loro polizze. Ciò significa che per le aziende scegliere la corretta polizza assicurativa può diventare estremamente difficile. Occorre valutare attentamente il rischio cyber della propria azienda e disegnare le polizze su tutti quegli avvenimenti che non possono essere altrimenti prevenuti. Ciò significa anche controllare i termini e le clausole di esclusione, testandoli su scenari concreti basati sul proprio livello di rischio.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore