Calendario eventi

« Settembre 2017 »

D L M M G V S
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

Newsletter

Contattaci

Cyber risk, la “tempesta perfetta”?

Cyber Risk

Abbiamo parlato già più volte ormai del cyber risk, “star emergente” fra i rischi più temuti dai manager di tutto il mondo e quindi nuova arena di evoluzione per il settore assicurativo, come dimostra ad esempio la ricerca The Cyber Threats: A Perfect Storm About to Hit Europe? di FireEye e Marsh & McLennan. Secondo questa indagine, molte aziende non saranno pronte ad affrontare quelle violazioni che si presenteranno sempre più frequenti e devastanti. Il sondaggio (che scaricate dal primo link in calce al nostro articolo), condotto su un campione di 750 aziende europee, rileva infatti che solo il 32% di esse include la sicurezza informatica tra le proprie prime 5 priorità, mentre il 9% delle società interpellate non considera affatto il cyber terrorismo come una minaccia. Inoltre, sempre secondo FireEye le organizzazioni europee sono tre volte più lente che non nel resto del mondo a individuare eventuali cyber intrusioni: il tempo che intercorre tra una compromissione e la sua scoperta, noto anche come “dwell time”, è stato appunto di 469 giorni nelle aziende UE, contro una media globale di 146 giorni. Con un “tempo di scoperta” così lungo, gli hacker sono facilitati nelle loro attività di movimento all’interno dei sistemi e le reti, nello posizionamento di backdoor ed entry point, nella ricerca di dati di interesse.

 

Un rischio dai confini sfumati
Entrando poi nel merito della materia dal punto di vista strettamente previdenziale, si scopre però che essa si rivela alquanto complessa da assicurare: anche la giurisprudenza disponibile (specie di provenienza internazionale) attesta infatti che i danni e i costi dei contenziosi nascenti da data breach sono destinati ad aumentare significativamente nell’immediato futuro, ma non è ancora chiaro cosa esattamente la polizza debba assicurare.

In pratica, si tratta di coprire i rischi ai danni subìti dalla property aziendale, ossia delle sue infrastrutture informatiche, per effetto di un’intrusione? O piuttosto la RC che la società possa essere chiamata ad assolvere verso terzi, segnatamente i suoi clienti (specie in USA sovente organizzati in class action potenzialmente assai onerose) che si sentano danneggiati, magari, dal furto dei propri dati personali dai data base della società? E se, per esempio, il danno conseguente a un hackeraggio è stato favorito da qualche forma di negligenza da parte del personale della società, la polizza deve comunque coprirne i danni oppure no?

Secondo un esperto in materia – l’Avv. Claudio Perrella, Partner di LS LexJus Sinacta (cfr. secondo link) e collaboratore del magazine Insurance Trade/Insurance Daily (sito al terzo link) – “la valutazione dell’idoneità della copertura assicurativa deve essere condotta avendo ben presente ogni possibile scenario e includere una stima dei costi legati alla segnalazione alle autorità di vigilanza riguardo alle intrusioni subìte”. Per questo, molte polizze includono in copertura i costi sostenuti in relazione alle indagini delle autorità di controllo e vigilanza successive al sinistro, alle spese legali, ai costi legati al ricorso a esperti di comunicazione di crisi, esperti informatici e periti.

 

Proteggere i dati, ovunque si trovino
Inoltre, bisogna sempre tenere ben presente che nel mondo dell’information technology i confini netti del mondo fisico risultano sempre assai più labili: ad esempio, sono “dati societari” anche quelli immagazzinati sul laptop, cellulari e tablet di dipendenti. Ed è importante, inoltre, tener conto che numerosi esperti ritengono che la diffusione di malware nei dispositivi mobili avrà una crescita significativa nel corso dei prossimi anni. Ecco perché la copertura dei cyber risk dovrà essere estesa anche ai dati presenti al di fuori del perimetro della sede operativa e quindi protetti dai relativi firewall.

 

Cruciale la loss prevention
Data la difficoltà di circoscrivere il cyber risk stesso, è probabile che in futuro sarà un tema sempre più rilevante la corretta adozione delle misure di prevenzione richieste in polizza quale condizione necessaria per la sussistenza delle coperture. Molto spesso infatti le clausole di esclusione contemplano la mancata realizzazione di adeguate azioni di loss prevention, mentre vanno valutate con attenzione anche le possibili eccezioni legate alla cosiddetta “misrepresentation”, cioè la presenza di eventuali lacune od omissioni negli elementi e nei dati forniti dall’assicurato per la valutazione del rischio.
Un ostacolo alla diffusione della cyber insurance è stato probabilmente costituito finora non solo da una debole percezione del rischio in questione - come evidenziato dalla ricerca FireEye - ma anche dai significativi costi di copertura e dalle complessità nell’individuazione della copertura ideale e di come quest’ultima debba essere formulata per assolvere correttamente alle esigenze dell’azienda sottoscrittrice.
Il problema è acuito dal fatto che, trattandosi di un mercato in larga parte ancora da sviluppare (specie in Europa e soprattutto in Italia), le compagnie non dispongono ancora di sufficienti dati storici per eseguire una completa valutazione del rischio in sede di assunzione.
Tuttavia, le difficoltà non impediranno che quello del cyber risk sia comunque un segmento del mercato assicurativo destinato ad uno sviluppo rilevante nel prossimo futuro, ma ci dicono solo che le quote più promettenti di tale segmento andranno agli attori che meglio sapranno interpretare le esigenze connesse alla tecnologia. 

–Mario Gazzola

 

Approfondimenti

> Ricerca The Cyber Threats: A Perfect Storm About to Hit Europe?

> LS LexJus Sinacta

> Magazine Insurance Trade/Insurance Daily

 

<< torna alla lista