011 533275
agenzia@euroassifin.it

Blog & News

Cyber risk: il rischio informatico e le compagnie assicurative Italiane

Da alcuni anni a questa parte è cresciuta la sensibilità degli operatori economici sul rischio informatico comunemente chiamato Cyber Risk.

Da alcuni anni a questa parte è cresciuta la sensibilità degli operatori economici sul rischio informatico comunemente chiamato Cyber Risk. Questa crescita è stata tale da suscitare l’interesse delle compagnie di Assicurazione su questa tipologia di rischio. Ma a che punto siamo in Italia? Dato per scontato che sicuramente negli USA avranno già analizzato gran parte delle problematiche e che a molte di queste avranno trovato una risposta, a che punto si colloca il nostro paese su questa questione? Avvalendoci della terminologia e delle definizioni tratte dalle polizze tradizionali, per calarci nel mondo dei danni cyber, possiamo distinguere tre grandi famiglie di danni: danni materiali diretti e danni immateriali diretti e indiretti Danni materiali diretti I danni materiali diretti riguardano la distruzione parziale, totale o il furto subiti da beni materiali come ad esempio i server, la fibra ottica, i PC, i cellulari o altri device elettronici. Questi danni sono normalmente causati da un evento di "natura tradizionale": incendio, terremoto, fulmine, furto, atto maldestro o doloso, etc.. Proprio per la loro natura diretta e fisica queste tipologie di danni potrebbero già rientrare in una polizza Incendio a Rischi Nominati, in una All Risks o tipicamente nella polizza, storicamente definita, Elettronica. Per tanto, non necessariamente possono essere oggetto di una copertura specifica sul Cyber Risk. Danni immateriali diretti e indiretti Qui invece entriamo nell’ambito proprio di una copertura Cyber. I sinistri di tipo informatico sono caratterizzati dall’immaterialità. Colpiscono beni non tangibili ma comunque funzionali ed indispensabili allo svolgimento di una qualsiasi attività. L’incendio che brucia il server con il suo contenuto di informazioni, l’involontaria cancellazione di un database clienti o ordini per errata azione anche colposa, da parte di un dipendente addetto alla gestione informatica, l’azione di un virus o malware. Sono tutti eventi che compromettono l’integrità di un software e/o l’insieme logico delle informazioni, rendono indisponibili i dati o servizi aziendali. Il danno immateriale diretto lo possiamo tradurre, quindi, nell’Impossibilità dell’Azienda a continuare la Sua attività. Solo che, al contrario di quanto avviene in un sinistro tradizionale, l’interruzione è totale o parziale, immediata e può colpire anche sedi secondarie. Il danno immateriale indiretto, invece, lo possiamo declinare con le voci di perdita d’immagine e reputazione aziendale, nonché di perdita di quote di mercato. Ovviamente, se sono una società di servizi informatici e subisco una problematica Cyber che interrompe quanto sto fornendo ai Clienti, subito dopo mi arriveranno le richieste di risarcimento da parte degli stessi. Questa è la terza grande famiglia di danni, anche se a livello aziendale si traduce in un costo extra da sostenere per soddisfare la richiesta di un terzo. In Italia è possibile assicurare il rischio determinato dalla sottrazione o distruzione di dati informatici (da parte di terzi estranei e/o collaboratori)? Se parliamo di sottrazione, parliamo di furto e in tutte le coperture furto si deve dare un valore al bene sottratto. La domanda da farsi è: quanto vale un record di un database? La risposta è alquanto soggettiva: da qualche centinaio di Euro/dollari (un utente di Facebook vale circa 130 dollari) all’intero fatturato aziendale (nel caso di sottrazione ad esempio della formula chimica di un farmaco unico). Questa valutazione è difficilissima perché andrebbe fatta la valutazione preventiva del record/database quale asset patrimoniale aziendale e tale valore dovrebbe essere riconosciuto dagli Assicuratori. Se la domanda quindi è Possiamo assicurare il VALORE della sottrazione o distruzione di un dato informatico? la risposta, in questo momento, è no. Alla domanda, Possiamo assicurare i COSTI a cui una Azienda va in contro per una problematica di sottrazione, distruzione di un dato informatico o malfunzionamento del sistema IT? la risposta è sì. I contratti sul mercato, pochi ed ognuno con le sue peculiarità, tengono indenni le Aziende dai costi sostenuti per analizzare, reagire, ripristinare e tutelare l’immagine aziendale. Tali costi sono facilmente documentabili ed a volte gran parte sono sostenuti direttamente dall’Assicuratore che mette a disposizione delle unità di crisi per la gestione del sinistro. Stesso discorso vale per i costi derivanti dall’Interruzione di Esercizio, trasferibili all’assicuratore previa analisi del bilancio e determinazione della somma assicurata. Tra questi possiamo annoverare la perdita del margine di contribuzione ed i costi extra quali, ad esempio, l’elaborazione dati presso terzi. Il comparto assicurativo italiano ha molta esperienza in ambito di Responsabilità Civile. I principali riferimenti normativi per i quali è facile trovare una soluzione assicurativa sono la violazione della legge sulla privacy, superata oramai dal Regolamento Europeo sulla Privacy, la RC professionale, problematiche per le quali sul mercato italiano esistono coperture specifiche, meno diffuse sono però le polizze di RC Professionale per le aziende IT. Molto diverso invece il panorama quando scendiamo nel dettaglio dei contratti che si occupano delle attività aziendale colpita da problematiche Cyber. Molte polizze considerano solo i costi materiali e diretti derivanti da Cyber Crime, quali ad esempio hacking, ransomware, virus, ecc. ecc. I contratti sono molto complessi e gli approcci degli assicuratori non omogenei, a partire dalle stesse definizioni di polizza. Questo non aiuta sicuramente nella scelta del prodotto assicurativo più idoneo all’attività aziendale ed è richiesta una elevatissima specializzazione all’intermediario che se ne occupa. A livello globale e non solo Italiano, non sappiamo esattamente cosa sia il Cyber e Technology risk e quale reale impatto potrebbe avere. Bisogna prendere atto che il Cyber Risk non è qualcosa che proviene solamente dall’esterno. È qualcosa che abbiamo in casa, che oramai fa parte della vita di tutti i giorni, lavorativa ed aziendale. Il Cyber Risk è trasversale, e risulta correlato con tutte le attività ed i settori aziendali, da quello produttivo a quello finanziario. Non si tratta di domandarsi Perché dovrebbero colpire proprio me? ma che conseguenze avrebbe un evento Cyber che colpisse la mia attività? messi a fuoco i rischi che l’azienda corre, piccola o grande che sia, compresa e non ultima la Interruzione d’Esercizio, si potrà pensare ad una loro gestione, mitigazione ed eventuale trasferimento agli assicuratori. Da questo percorso l’Azienda ne uscirà rafforzata nel know-how e potrà scegliere se attuare un atteggiamento aziendale reattivo e proattivo. In un panorama di economia sempre più digitale, la competitività di una Azienda sul mercato sarà determinata anche dall’aver o meno affrontato queste tematiche. In sintesi, abbiamo potuto analizzare i principali temi riguardanti il Cyber Risk. Che cos’è, che tipologia di coperture assicurative si possono trovare sul mercato, un’importante riflessione all’interno delle aziende o attività economica dovrà prevedere il tema del Cyber Risk Managment, per gestire e governare questa tipologia di eventi. In Italia siamo ancora indietro su questo tema e le polizze esistenti non sono ancora risolto tutti i problemi inerenti alla determinazione del danno ed alla sua quantificazione. Molti passi in avanti comunque sono stati fatti. Il sentiero è tracciato e da qui in avanti sarà possibile solo migliorare.