Tra i new business generati dell’economia digitale più dinamici nei prossimi anni, c’è senz’altro anche quello delle polizze di cyber insurance. Con una polizza di cyber insurance si può, per esempio, coprire il mancato guadagno derivante dall’interruzione di un’attività, gli eventuali costi di consulenza nella gestione della crisi, le spese legali, i danni causati da estorsione e quelli causati a terzi a seguito di una perdita di dati.
Secondo i dati della Survey 2018 dell’Osservatorio Information Security & Privacy, promosso dalla School of Management del Politecnico di Milano, le imprese italiane che hanno già fatto ricorso a coperture assicurative di trasferimento del rischio cyber sono un terzo del campione (contro il 27% del 2017), suddivise tra chi ha optato per polizze completamente dedicate al cyber risk (18%) e chi, invece, ha scelto coperture generaliste che coprono in parte anche il rischio cyber (15%).
Il catalogo e la valutazione dei rischi cyber
“In molte imprese – ha ricordato Alessandro De Felice Chief Risk Officer di Prysmian e presidente dell’Anra-Associazione nazionale risk manager, nel corso della presentazione della survey –, le aree di vulnerabilità o di scarsa implementazione d’investimenti e/o di formazione per la sicurezza informatica derivano spesso da una mancanza d’integrazione delle tematiche dell’IT e della cyber security in un più ampio discorso di Governance Risk and Compliance, che dovrebbe costituire un approccio integrato olistico aziendale, in cui si mettono assieme il governo e la gestione del rischio e la conformità alla normativa per raggiungere un allineamento strategico dei processi e delle tecnologie”.
I dati dell’Osservatorio in tema di cyber insurance sono piuttosto preoccupanti: non solo più della metà delle aziende non è in grado di realizzare il catalogo dei rischi e, quindi, la loro valutazione, ma anche tra quelle che sanno ipotizzare tali scenari, il 64% dichiara di non saperne quantificare l’impatto economico. “Ma anche quando leggo che circa il 33% delle aziende intervistate ha stipulato un’assicurazione specifica o parziale rispetto ai rischi cyber, mi preoccupo – ha aggiunto il manager – perché vorrei conoscere meglio la qualità, l’efficienza e l’efficacia di queste coperture assicurative in relazione alle aree di rischio ed esposizione finanziaria di quelle aziende. Se il 64% di queste aziende non si considera capace di quantificare gli impatti economici dei rischi da cyber, come fa a finanziarli e a trasferirli mediante lo strumento assicurativo? Oltretutto, a parte le dovute eccezioni, nella stragrande maggioranza il panorama assicurativo si rivela ancora piuttosto desolante sotto il profilo delle competenze tecniche specifiche, soprattutto nel caso delle PMI. Ma anche per le grandi aziende, soprattutto quei gruppi prettamente b2c attivi in ambito finanziario-bancario o nel commercio online, con una gestione dei dati della propria clientela piuttosto complessi, possono avere esposizioni che anche quando sono quantificate finanziariamente, il mercato assicurativo poi non è in grado di coprire. Per cui, anche laddove una copertura tailor made si rivelasse efficace, non ci sarebbe poi comunque la capacità finanziaria per far fronte a un rischio di natura catastrofale, laddove le aziende che hanno una gestione integrata del rischio si rivolgono al mercato assicurativo proprio per gestire la parte residuale che va al fuori della propria capacità di assunzione e di autofinanziamento del rischio”.
Servono più trasparenza nelle polizze e più competenza dei broker
Anche sul fronte dell’offerta di soluzioni emergono delle criticità: il 19% delle imprese lamenta la poca trasparenza nella definizione esatta dei danni coperti dalle polizze assicurative cyber e un altro 19% denuncia una scarsa competenza in campo tecnico da parte degli assicuratori/broker.
“La copertura dei rischi cyber in campo assicurativo ha messo in moto un mercato molto dinamico – ha confermato Andrea Bonerba, senior manager di Spike Reply –, sia sul fronte della domanda da parte delle aziende sia su quello dell’offerta di nuovi prodotti da parte dei gruppi assicurativi: serve, in tal senso, una forte collaborazione tra il mondo IT, quello della cyber security e quelli della risk governance e delle assicurazioni. Le grandi imprese, le PMI e le società assicurative stesse si stanno avvicinando a questo mercato in maniera molto diversa. Nelle PMI il problema può essere quello di arrivare a considerare la copertura assicurativa come la panacea di tutti i mali. Per le corporate più strutturate, invece, risulta ancora difficile capire la quantificazione economica di questo genere di rischi, ed emerge la richiesta alle società di consulenza di portare il problema della sicurezza e del rischio IT al livello del board, in collaborazione con chi si occupa di risk management in azienda. Nelle società d’assicurazione, infine, si sta lavorando alla definizione dei possibili rischi e dei pacchetti assicurativi: il livello di copertura non può essere paragonato a quello che può essere l’effettivo rischio, perciò bisogna andare a definire nei dettagli cosa copre e cosa no una polizza d’assicurazione, al di là che offra una copertura dedicata o aggiuntiva all’interno di una più ampia e generica. Le società d’assicurazione, quindi, stanno cercando di approcciare il tema non solo sulla copertura economica dei rischi, dai data breach al furto dei dati aziendali e/o personali, ma anche sulla fornitura di servizi e di supporto tecnico che possono offrire alle aziende in caso di un eventuale incidente.
Uno strumento di mitigazione del rischio
“Un prodotto assicurativo cyber – ha precisato Niccolò Magnani, cyber team leader financial & professional risks-Finpro di Marsh – poggia su tre pilastri: confidenzialità, integrità e disponibilità del sistema informatico. Sul fronte della gestione e della quantificazione, si tratta di un rischio nuovo e diverso rispetto alle tipologie più classiche: va quindi gestito in maniera differente, e trasversalmente in relazione alla grandezza dell’azienda, alla sua tipologia e al settore in cui opera. Oggi l’intermediario assicurativo arriva a valutare insieme al cliente il trasferimento del rischio: ma prima va fatto un lavoro importante di analisi di risk assessment volto alla mitigazione del rischio, per poi andare a strutturare un prodotto assicurativo ben diverso rispetto all’assicurazione a cui fino ad oggi siamo abituati. Né, poi, l’assicurazione del rischio cyber va messa nel cassetto senza neppure sapere cosa va a coprire, ma va proceduralizzata all’interno dei processi e delle attività di gestione del rischio in azienda. Se un’impresa utilizza l’assicurazione nel momento più corretto di risk management, può diventare un ulteriore strumento di mitigazione del rischio, che le evita di arrivare alla massima esposizione in caso di evento cyber. Va cambiato, insomma, l’approccio nei confronti dell’assicurazione e del suo utilizzo: e difatti sono sempre di più le aziende arrivate a stipulare polizze assicurative, sia a livello globale che europeo e italiano, anche in termini di raccolta dei premi che sottoscrivono per questo tipo di copertura. Nel caso delle PMI, che costituiscono una parte preponderante dell’economia italiana, bisogna infine passare da una visione della polizza cyber come mero strumento di trasferimento del rischio a una di mitigazione: un buon prodotto assicurativo va strutturato anche con una serie di consulenti esterni precontrattualizzati in polizza, che la piccola azienda può contattare nel momento in cui avviene l’evento cyber e nel successivo processo di gestione”.