Le minacce di tipo cyber, che hanno seguito negli ultimi anni una traiettoria di crescita esponenziale, sono ormai universalmente riconosciute come uno degli scenari di rischio più rilevanti per il business.
Cyber risk: un rischio critico per le aziende
Il cyber risk, inteso come qualsiasi rischio di perdita finanziaria, distruzione o danno alla reputazione di un’organizzazione derivante da un malfunzionamento del proprio sistema informativo (definizione dell’Institute of Risk Management), è passato dall’essere considerato un rischio marginale al diventare un rischio critico, la cui gestione è cruciale e strategica per le organizzazioni.
Secondo il World Economic Forum (The Global Risks Report 2019, gennaio 2019, World Economic Forum), che stila ogni anno una classifica degli scenari di rischio basata sulla percezione di esperti e decision-maker dei vari settori dell’economia globale a livello internazionale, nel 2019 i fenomeni Data Fraud or Theft e Cyberattacks si sono posizionati per il secondo anno consecutivo nella top 5 degli scenari di rischio con più alta probabilità di accadimento, rispettivamente al quarto e quinto posto preceduti soltanto da eventi meteorologici estremi, cambiamenti climatici e catastrofi naturali. Gli attacchi cyber si collocano inoltre al 7° posto anche nella classifica che considera la gravità degli impatti derivanti dal verificarsi di un evento di questa tipologia.
Affrontare il cyber risk con una visione strategica
Il rischio cyber è quindi un rischio concreto, sistemico e multiforme, che deve essere affrontato dalle imprese in un’ottica olistica e con una visione strategica. Il cyber risk management è un processo articolato, finalizzato a identificare le vulnerabilità del sistema informativo, le possibili minacce e i potenziali danni derivanti dal verificarsi di un incidente di sicurezza. Dopo aver svolto un opportuno assessment dei rischi cyber (identificazione di fonti e scenari di rischio, classificazione e stima dei potenziali impatti e successiva valutazione degli scenari rispetto ai criteri di appetibilità definiti dall’impresa), le aziende devono mettere in atto tutte le misure di trattamento e mitigazione dei rischi che ritengono adeguate.
La quota di rischio che permane a valle della fase di mitigazione è detta rischio residuo. Qualora il rischio residuo sia superiore al limite del risk appetite aziendale, è possibile identificare un soggetto terzo (tendenzialmente un assicuratore), al quale trasferire il proprio rischio, scegliendo di ricorrere a una polizza di cyber insurance. Negli ultimi anni sta nascendo una sempre maggiore attenzione alle tematiche di assicurazione del rischio cyber, con un’offerta di mercato sempre più vasta.
Il mercato della cyber insurance: situazione internazionale e italiana a confronto
Il mercato della cyber insurance prevede oggi svariate opzioni di copertura riguardanti la perdita o la divulgazione di dati personali e sensibili. È possibile inoltre tutelare avvenimenti che riguardano la compromissione del sistema informativo e l’interruzione di servizio.
Con una polizza di cyber insurance si può, per esempio, coprire il mancato guadagno derivante dall’interruzione di un’attività, le eventuali spese di consulenza nella gestione della crisi, le spese legali, i danni causati da estorsione e i danni causati a terzi a seguito di una perdita di dati.
Situazione internazionale
A livello internazionale il tema della cyber insurance appare già fortemente radicato e mostra una crescita interessante: secondo il report di Allied Market Research (Cyber Insurance Market – Global Opportunity Analysis and Industry Forecasts, 2014-2022), il mercato globale della cyber insurance raggiungerà quota 14 miliardi di dollari nel 2022, con un tasso medio di crescita anno su anno vicino al 28%. È però doveroso specificare come lo stesso studio evidenzi che tale mercato sia attualmente concentrato per la stragrande maggioranza nel Nord America, che rappresenta l’87% della spesa.
Situazione in Italia
In Italia il mercato si trova ancora agli albori, sebbene la domanda di coperture assicurative per il rischio cyber sia in crescita anche a livello locale. Secondo i dati che emergono dalla Ricerca 2018 dell’Osservatorio Information Security & Privacy del Politecnico di Milano, circa un terzo delle grandi imprese intervistate ha già fatto ricorso a coperture assicurative di trasferimento del rischio cyber, considerando sia chi ha optato per polizze completamente dedicate al cyber risk (18%) e chi, invece, ha scelto coperture generaliste che coprono in parte anche il rischio cyber (15%) (i dati fanno riferimento ad una rilevazione condotta tra settembre e dicembre 2018 dall’Osservatorio che ha coinvolto 166 imprese di grandi dimensioni, appartenenti a tutti i settori merceologici.). Come anticipato, confrontando l’evoluzione avvenuta nel corso degli ultimi 12 mesi, la fotografia è positiva e il fenomeno dell’assicurazione del rischio cyber si mostra di crescente interesse: nel 2017 la percentuale di aziende che dichiarava di aver già fatto ricorso a polizze di cyber insurance si attestava infatti ad un complessivo 27%.
Un quarto delle aziende del campione appare in fase di valutazione, mentre il 30%, nonostante sia informato della possibilità, afferma di non avere per il momento intenzione di stipulare alcun tipo di copertura. Completano il quadro le organizzazioni che confessano di non essere a conoscenza della possibilità di stipulare polizze assicurative per trasferire il rischio cyber (12%).
Gli ostacoli allo sviluppo del mercato della cyber insurance
Che il settore sia in crescita sia a livello nazionale sia fuori dai confini è quindi indubbio. È però lampante anche constatare che ci sia ancora un grande potenziale inespresso, dovuto ad alcuni elementi che hanno ostacolato e ostacolano tuttora una diffusione più consistente delle polizze di cyber insurance:
- in primis va sicuramente considerata l’oggettiva difficoltà nella misurazione degli impatti finanziari derivanti da un eventuale incidente di sicurezza (principale ostacolo secondo il 64% delle organizzazioni intervistate),
- insieme all’incapacità delle aziende clienti di valutare correttamente la propria esposizione ai rischi cyber (58%), spesso sottovalutati,
- ulteriori barriere sono rappresentate dallo scarso coinvolgimento del Top Management sul tema del cyber risk (30%)
- e dalla poca predisposizione delle imprese a sostenere un assessment del rischio cyber (19%).
In generale, quindi, si denota soprattutto un tema culturale di scarsa attitudine alla gestione e al trasferimento del rischio, che da sempre caratterizza le aziende italiane non solo in ambito cyber.
Ci sono poi criticità legate all’offerta di soluzioni: il 19% delle imprese lamenta la mancanza di trasparenza circa la definizione esatta dei danni coperti dalle polizze assicurative cyber e una quota analoga denuncia una scarsa competenza in campo tecnico da parte degli assicuratori/broker.
L’edizione 2019 dell’Osservatorio Information Security & Privacy è realizzata con il patrocinio di ANRA – Associazione Nazionale dei Risk Manager e CLUSIT, la collaborazione di CEFRIEL e DEIB e con il supporto di Assolombarda, BNL/BNP Paribas, CAST, Fastweb, Spike Reply, Tesisquare; Axians, Informatica, Nodes; AXA XL, Cryptonet Labs, Generali Global Corporate & Commercial, RSM Società di Revisione e Organizzazione Contabile.
Se si desidera avere maggiori informazioni sulle ricerche dell’Osservatorio Information Security & Privacy e sulle opportunità di collaborazione, contattare giorgia.dragoni@polimi.it