Polizze cyber risks, un settore in evoluzione

Lo spettro degli attacchi informatici incombe su una società sempre più digitale. L’instabilità geopolitica ed economica ha poi contribuito alla crescita dei rischi connessi alla digitalizzazione del mondo aziendale: la fragilità dei sistemi delle PMI le ha rese un appetibile bersaglio per i criminali informatici, mentre le grandi realtà si trovano invece a fare i conti con la vulnerabilità di intere supply chain.

Le assicurazioni cyber risks

Sospensione dell’attività, perdita di profitto, costi e relative responsabilità causate da un attacco cyber sono gli aspetti principali cui porre rimedio nell’immediato. Ecco perché il mondo assicurativo ha dovuto includere tra le soluzioni offerte la categoria dei “cyber risks”, o rischi informatici, per tutelare le imprese dai danni derivanti da questo tipo di incidente. Un settore destinato a crescere: un recente report di MarketsandMarkets stima, infatti, che il mercato globale delle assicurazioni informatiche passerà dagli 11,9 miliardi di dollari del 2022 a 29,2 miliardi di dollari entro il 2027.

Ma cosa copre la polizza per i rischi cyber? Molte compagnie fanno fronte al mancato guadagno dovuto a un’interruzione dell’attività aziendale e alle spese che l’organizzazione deve sostenere, ad esempio, per il ripristino dei dati e la gestione della crisi (consulenza legale, pubbliche relazioni, crisis management, credit monitoring). In genere, la polizza tutela l’assicurato anche per le richieste di risarcimento che derivano dalla responsabilità verso terzi connessa a problemi di sicurezza della rete aziendale (ad esempio: la distruzione di dati elettronici di terzi, il coinvolgimento inconsapevole del proprio network in attacchi Denial-of-Service, la trasmissione di virus a computer o sistemi di terzi) oppure riguardanti la privacy (divulgazione non autorizzata di informazioni di società terze o personali, incluse carte di credito). Inoltre, le assicurazioni cyber possono riguardare anche le “connected cars”, coprendo i costi per il ripristino e/o la sostituzione del software, dell’hardware e dell’unità di controllo del veicolo a seguito di un attacco informatico che abbia comportato il loro danneggiamento e/o li abbia resi inutilizzabili.

Una configurazione complicata

Va detto che quantificare o definire i cyber risks non è semplice: la mancanza di dati standardizzati e l’elevato grado di incertezza sulla previsione dei rischi o dei danni futuri che, di solito, vengono dedotti sulla base di dati retrospettivi, costituiscono un limite nell’ambiente in rapida evoluzione che caratterizza i rischi informatici. Oltre a ciò, spesso ci si riferisce ad aspetti quali l’immagine e la reputazione aziendale che difficilmente si possono tradurre in una cifra esatta. Non da ultimo, le esposizioni ai cosiddetti “scenari di rischio sistemico”, ritenuti complicati da assicurare, rallentano lo sviluppo della capacità del settore delle assicurazioni informatiche.

Ecco perché, di fronte al mutevole panorama dei cyber risks, le compagnie assicurative adottano un approccio ancora più attento. Oggi gli assicuratori sono inoltre chiamati a considerare molteplici fattori come gli effetti indiretti del conflitto in Ucraina, quali le turbolenze dei mercati finanziari e l’inflazione, che comportano anche l’aumento dei costi dei risarcimenti. Accanto ai diversi riferimenti normativi dell’IVASS, Istituto per la Vigilanza sulle Assicurazioni, come ad esempio il Regolamento n. 38 del 3 Luglio 2018, che stabilisce una specifica disciplina sui sistemi informatici, la gestione dei dati e la cyber security aziendale, indicando requisiti di governance, risk management e business continuity, dallo scorso luglio è stato introdotta la metodologia TIBER. Contestualizzata al mercato italiano, TIBER-IT (Threat Intelligence Based Ethical Red-Teaming - Italia) doterà gli operatori assicurativi di strumenti per individuare le vulnerabilità, misurare i rischi e predisporre azioni di rimedio preventive. TIBER-IT rappresenta la metodologia di riferimento per accrescere la resilienza cibernetica definendo il modello operativo per la conduzione di test TLPT (Threat-Led Penetration Testing): essa simula potenziali attacchi reali riproducendo tattiche, tecniche e procedure di criminali informatici reali, verificando così le capacità di rilevamento, protezione e risposta delle imprese sottoposte a test. TIBER-IT è comunque uno strumento volontario, adottato per favorire la stabilità finanziaria e la resilienza cyber e il suo utilizzo non è, perciò, un requisito di regolamentazione, sorveglianza o vigilanza.

Tutelarsi o no?

Per la stipula di un contratto di assicurazione cyber, verranno dunque effettuati controlli e valutazioni sempre più specifiche, in particolare sulle misure di sicurezza implementate dalle imprese, nonché sul livello di conoscenze informatiche del personale aziendale. Ancora una volta, quindi, la cybersecurity e la formazione continua si rivelano fondamentali e strategici.

Certo è che i costi per una polizza saranno destinati a lievitare. Stando al Global Insurance Market Index di Marsh, l’indice del mercato assicurativo globale, i prezzi delle assicurazioni cyber negli Stati Uniti sono saliti alle stelle nel secondo trimestre del 2022, con un aumento del 79% rispetto al 2021, dopo essere più che raddoppiati nei due trimestri precedenti. Parimenti, è prevedibile che molte aziende in futuro non potranno permettersi una copertura contro i cyber risks, soprattutto le realtà molto piccole, dove già fatica a farsi strada l’esigenza di una polizza di questo tipo.

L’edizione 2022 dello studio “AllontAniamo i rischi, rimAniamo protetti” di ANIA, Associazione Nazionale fra le Imprese Assicuratrici, evidenzia che le PMI italiane sono caratterizzate non solo da una contenuta avversione al rischio, ma anche da una ridotta consapevolezza dello stesso, più bassa rispetto alla media delle imprese europee. Infatti, l’indagine rileva che quasi il 40% di esse non ha sottoscritto assicurazioni per tutelare la propria attività e, riferendosi a una recente ricerca di Deloitte, indica che la spesa media annua delle PMI italiane per le coperture assicurative rispetto al resto del mondo è di 14.000 euro contro una media, a livello internazionale, di quasi 23.000 euro. Infine, per alcune tipologie di rischio, come la business interruption, la percentuale di aziende che dichiara di aver acquistato una copertura è esigua.