Cyber risk e smart working

Per cyber risk intendiamo tutti i rischi che riguardano il mondo informatico. In altre parole cyber risk è un concetto associato a quello di cyberspace: tale spazio ha ormai assunto uno status di realtà oggettiva, elemento cruciale per il funzionamento e la stessa sopravvivenza della nostra società.

Dobbiamo occuparcene anche da un punto di vista assicurativo perché questo spazio, che abbiamo definito cybernetico, sconta delle debolezze tecniche e strutturali che lo rendono particolarmente vulnerabile nei confronti di azioni malevole – dolose – che ne alterano il funzionamento.

In un mondo inesorabilmente interconnesso anche un allegato mail aperto per errore – il cosiddetto malware – da uno smartphone aziendale può potenzialmente mettere in ginocchio l’azienda stessa.

Le dieci principali minacce informatiche sono:

  • Malware (72 % )
  • Errori Amministrativi ( 48 % )
  • Incidenti causati da fornitori terzi ( 34 % )
  • Infedele Attività Dipendenti ( 31 % )
  • Attacchi da Web ( 30 % )
  • Furto o Perdita di mobile devices ( 28% )
  • Hacker interni ( 26 % )
  • Terrorismo ( 25 % )
  • Attacco Phishing ( 22% )
  • Infiltrazione tramite mobile devices ( 20% )

Le polizze cyber risk sono presenti sul mercato assicurativo mondiale, in particolare americano ed anglosassone, fin dal 2001 (riferite alle grandi aziende), ma solo dalla seconda metà del 2015 hanno avuto una crescita significativa. Oggi negli USA, continente all’avanguardia nella lotta ai reati informatici, quasi 1 azienda su 3 possiede una polizza cyber risk.

Dal 2014 al 2019 il numero di attacchi è aumentato anche in Europa e nel triennio 2017-2019 il numero di attacchi gravi analizzati è cresciuto del 48% e addirittura nel 2019 si riscontra una differenza del 37,5% in più rispetto alla media degli attacchi per anno degli ultimi 6 anni. 

cyber risk - attacchi informatici

In Italia c’è un attacco grave di cyber crime ogni 5 ore, + 91,2% in 5 anni e oltre 1 azienda su 2 è stata vittima di un cyber attacco.

Il 41% dei responsabili della sicurezza informatica IT delle aziende italiane ritiene che gli errori commessi da parte dei dipendenti abbiano reso vulnerabile la propria organizzazione di fronte agli attacchi (fonte Assinews, agosto 2019).

Lenti anche i tempi di risposta agli attacchi: il 40% delle aziende del nostro Paese impiega più di 15 giorni per rimediare a un attacco.

Tutto ciò evidenzia una forte vulnerabilità informatica su scala nazionale, con il 65% di PMI che non ha ancora seriamente considerato la possibilità di introdurre ufficialmente lo smart working ( fonte Clusit gennaio 2020 ).

Gli attacchi cyber oggi sono nella maggior parte dei casi attacchi massivi in cui sia spara nel gruppo sperando di fare il numero di vittime più alto possibile. In una logica di questo tipo non sarà presa di mira la grande azienda, ma un numero il più possibile alto di piccoli soggetti ( le PMI ).

Una volta subito l’attacco informatico anche la piccola azienda poco legata al digitale potrebbe trovarsi in seria difficoltà e la perdita dei dati dei clienti (ad esempio i file excel utilizzati per la contabilità ) potrebbe costituire un danno importante, in termini di tempo e di denaro.

Tutelarsi è necessario perché non esiste il cyber risk zero

Successivamente alle cosiddette misure di loss prevention (basate sulla gestione-implementazione tecnologica e compliance normativa), risulta evidente l’importanza di arrivare a coperture assicurative, essenziali per tutelarsi nei confronti di accadimenti che non possono essere in alcun modo previsti con anticipo.

Direttamente dal wording di un fascicolo informativo di polizza cyber risk:

Si intende assicurato qualsiasi attacco informatico non autorizzato intrapreso con l’intento di distruggere o compromettere la funzionalità del Sistema informatico dell’Assicurato.

Negli ultimi anni infatti mercato assicurativo delle polizze Cyber Risk sta vivendo una fase di forte sviluppo che ha portato alla creazione di innovativi prodotti destinati alle aziende di grandi dimensioni, alle PMI e anche ai professionisti. 

Le polizze cyber presentano sostanzialmente due macro categorie di coperture e un servizio di assistenza H24:

  1. GARANZIA RESPONSABILITA’ CIVILE
  2. GARANZIA DANNI DIRETTI e INTERRUZIONE ATTIVITA

Polizza cyber risk

Le compagnie assicurative piu’ dedicate al rischio sono le americane: per citarne solo alcune Aig-Dual-Chubb. Esse prevedono un approccio alla copertura modulare e flessibile, secondo un questionario assuntivo dettagliato al fine di poter fornire specifiche prestazioni.  È infatti l’azienda proponente stessa a dover stabilire di concerto con il Consulente, quali eventi coprire e a negoziare coperture assicurative ad hoc come ad esempio:

  • Responsabilità media: fornisce copertura per responsabilità derivante dai contenuti multimediali pubblicati online dall’assicurato, compresi i siti di social media. Protezione dal cosiddetto Danno Reputazionale.
  • Pronto Intervento in 48 H dall’incidente occorso. 
  • Copertura per interruzione della rete con carenza di 12 H.

Le polizze cyber sono pensate in forma all risk (le esclusioni sono esplicite, ad esempio le sanzioni dirette all’assicurato) e claims made (il risarcimento o l’indennizzo scattano solo quando c’è l’attacco informatico).

I massimali previsti dalle varie compagnie possono andare dai 50mila fino ai 5 milioni di euro con franchige contenute, anche per le tutele più complete, fino ai 2.000-2.500 euro (dati estratti da recenti quotazioni per PMI fino a 2 milioni di euro di fatturato).

In questo momento viene presa in considerazione, e quindi quotata in polizza, anche l’eventualità che il proponente-assicurando non effettui controlli rispetto gli accessi degli impiegati o altri utenti in staff che abbiano accesso da remoto a dati sensibili dell’azienda, aspetto non poco rilevante dal momento che il patrimonio immateriale dell’Azienda transita su sistemi informatici non adatti a garantirlo.

Alcune polizze cyber ancora escludono la copertura in relazione al pagamento di riscatti chiesti dal particolare tipo di malware, i ransomware, per liberare il sistema.

Questo infine è uno stralcio dell’articolo apparso sul Corriere Economia, lunedì 6 aprile 2020 dal titolo smart working e liti, intervista a Emanuela Agostinelli, partner dello Studio legale internazionale Curtis Mallet Prevost : 

Il ricorso massivo al lavoro agile in via emergenziale rischia di moltiplicare i contenziosi giudiziari legati alle criticità dello smart working, con conseguenze potenzialmente dirompenti per le aziende che non siano dotate di idonee coperture assicurative. La corsa al telelavoro da parte di aziende e studi professionali si è più che altro concentrata sulle soluzioni tecniche, spesso tralasciando aspetti essenziali per la sicurezza dei dati e funzionali alla tutela delle responsabilità aziendali legate a questi aspetti. A fronte di danni stimati dall’associazione italiana sicurezza informatica (Clusit) per oltre 3,5 miliardi di euro l’anno, le imprese sono fortemente sottoassicurate contro il cybercrime e, con l’allargamento dell’operatività all’esterno delle mura aziendali, i rischi si moltiplicano. Assume un’importanza cruciale una polizza di assicurazione che consenta di trasferire il cyber risk.

In un momento nel quale circa 1 milione di lavoratori del settore privato in Italia (stima per difetto) è collegato da remoto potrei sintetizzare tutta l’esposizione con una battuta secondo la quale non si tratta di domandarsi perchè dovrebbero colpire proprio me imprenditore-professionista ma che conseguenze avrebbe un evento cyber che colpisse la mia attività?

In un panorama di economia sempre più digitale, la permanenza e poi la competitività di un’azienda sul mercato sarà determinata anche dall’aver o meno affrontato questo percorso: gestione – mitigazione – trasferimento del cyber risk.


Se hai trovato interessante questo post, condividilo con i tuoi amici e lasciaci un commento qui sotto. Grazie!
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Informazioni su Massimo Calandra

Massimo Calandra si è laureato in giurisprudenza all’Università Statale di Milano e da 22 anni opera nel settore assicurativo, dove ha ricoperto vari ruoli all’interno di diverse realtà. Da inizio 2017 ha trovato miglior sintesi e valorizzazione di tutte le esperienze maturate nell’ambito del brokeraggio assicurativo, in particolare in quello relativo all’individuazione di soluzioni di RC professionale, tutela legale, cyber risk, tutela del patrimonio, polizze D&O e polizze di donazione.
Aggiungi ai preferiti : Permalink.

3 commenti

  1. Giancarlo Togliatto

    Ritengo che la Cyber Risks sia la copertura assicurativa del futuro, dell’era digitale.
    Ho letto diverse pubblicazioni in merito, ma ritengo che questa sia quella in grado di offrire una chiara idea di protezione di questo rischio.

  2. Articolo interessante e ben fatto. La percezione di rischio è ancora ben lontana dal livello di attenzione che dovrebbe avere, soprattutto perché (come tante altre voci, del resto) la si vede solo come un ulteriore aggravio di costi senza alcun beneficio diretto. Una cosa che pochi dicono è che prima di compilare un questionario di cyber risk, l’azienda dovrebbe fare uno screening informatico vero e proprio (magari aiutata da un professionista esterno) e solo dopo averlo fatto chiedere una polizza cyber; questo per evitare che l’assicuratore possa eventualmente rifiutare il rischio a priori oppure negare il risarcimento dopo aver stipulato la polizza, adducendo motivi legati alle dichiarazioni inesatte, alle mancanze oggettive dell’azienda in merito o altro. Bello sarebbe che vi fosse una sorta di alleanza tra professionisti dell’informatica e assicuratori (magari i broker) per fornire una specie di servizio pre-questionario cyber, che possa eliminare la maggior parte dei rischi dando maggiori certezze all’imprenditore, che in caso di sinistro verrebbe realmente e prontamente risarcito.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.