Hack Apple – HandBrake nasconde un malware che infetta i Mac
14 maggio 2017
Attacco Hacker globale – Come difendersi da WCry, WannaCry e WanaCrypt0r
15 maggio 2017
Mostra tutti

Cyber Security – Le polizze cyber risk e le metodologie di indennizzo

Cyber Security – Le polizze cyber risk e le metodologie di indennizzo dalla percezione del rischio alla diffusione delle polizze assicurative

Il tema del cyber risk rappresenta oggi un punto critico nel processo di analisi e mitigazione dei rischi cui un’azienda può andare incontro nella conduzione della propria attività. Infatti, la diffusione di tecnologie e modelli di business sempre più basati sulla rete, sullo scambio/possesso di informazioni sensibili e sulla condivisione di spazi virtuali (social media, cloud computing, . . .)  racchiude certamente nuove possibilità, ma deve comportare anche una maggiore attenzione da parte delle imprese sui pericoli che derivano da questi cambiamenti.
Dai cyber risk possono derivare infatti danni economici di grande entità, dovuti principalmente a:

  • Furto/corruzione di dati sensibili e/o di terzi;
  • Danni patrimoniali derivanti da interruzione dell’attività (es. blocco dell’operatività e/o transazioni on line);
  • Danni patrimoniali derivanti da frodi finanziarie;
  • Danni materiali agli asset dell’impresa;
  • Danni materiali ai clienti (con particolare riferimento all’ambito sanitario);
  • Danni di immagine

Cyber Security, cyber risk, copertura assicurativa, cyber risk insurance,

La necessità di un processo integrato di risk management e il ruolo dell’assicurazione.

Per far fronte a queste minacce, le Aziende devono strutturare un processo integrato di Risk Management che includa l’ambito Cyber. Tale approccio garantisce infatti il più efficace metodo per prevenire/mitigare l’impatto di un rischio informatico, grazie allo sviluppo di una adeguata consapevolezza unitamente all’ottimizzazione del processo di trasferimento del rischio al mercato assicurativo. La copertura assicurativa di tali rischi è infatti l’ultimo tassello di un processo strutturato, che parte con l’analisi della realtà specifica dell’azienda: dal tipo di business che conduce, al tipo di attività che implementa, fino alle caratteristiche dell’infrastruttura IT. A titolo esemplificativo si riportano alcuni aspetti critici di cui occorre tenere considerazione:

  • Il mercato di riferimento;
  • Il contesto geografico nel quale si opera;
  • Le peculiarità dell’infrastruttura IT (localizzazione sale server, valore risorse IT, reti intra/extra net,. . . );
  • Il tipo di dati/informazioni trattate;
  • I servizi e i canali on line based;
  • Le possibilità di accesso (fisico/virtuale), anche da remoto, ai sistemi/reti aziendali;
  • Le policy di cyber security e le misure di prevenzione/protezione poste in atto.

Occorre infatti ricordare che la Cyber Insurance deve operare quale strumento a tutela del bilancio aziendale, intervenendo a copertura dei cosiddetti “rischi catastrofali”, anche in funzione del risk
appetite e risk tolerance dell’Impresa. Occorre inoltre considerare che i benefici incrementali derivanti da ulteriori azioni di prevenzione/protezione si riducono progressivamente al di là di una certa soglia, per cui il costo da sostenere per accrescere ulteriormente i livelli di sicurezza diverrebbe insostenibile se comparato ai benefici connessi. La società dovrà pertanto stabilire oltre quale soglia sia maggiormente conveniente un trasferimento al mercato assicurativo del rischio residuo e, nel contempo, valutare il trade-off ottimale tra il prezzo della copertura assicurativa e il livello di esposizione residua al rischio.

Percezione del rischio e diffusione delle polizze cyber

Il mercato degli assicuratori e metodologie di indennizzo. Il mercato assicurativo delle polizze cyber risks oggi è in rapida evoluzione e offre la possibilità di creare tutele ad hoc per il cliente. Tale personalizzazione offre un ottimo livello di aderenza al rischio cyber reale cui è esposta l’azienda, ma presuppone ovviamente un precedente processo di analisi e valutazione, così come descritto precedentemente. Tuttavia va tenuto presente che, ancorché in rapida evoluzione, il mercato assicurativo italiano si trova ancora in una fase embrionale.

Ciò perché, come sempre in questo tipo di mercato, la risposta a un rischio si attua nel momento in cui tale rischio diviene conosciuto e valutabile. La situazione di novità riguarda però il solo mercato italiano in quanto, nei paesi dell’America settentrionale e anglosassoni, le problematiche afferenti i rischi cibernetici vengono affrontate da circa una decina d’anni. Da ciò però deriva il fatto che l’impianto contrattuale della maggior parte delle coperture ricalchi l’approccio risarcitorio per la violazione dei dati sulla privacy, tanto caro al mondo anglofono. Delle 50 compagnie di assicurazioni operanti in Europa che specificamente si dichiarano pronte a sottoscrivere rischi cibernetici, soltanto un terzo opera direttamente in Italia, la restante parte opera fondamentalmente
dal Regno Unito (a copertura di rischi italiani).

Il mercato degli assicuratori presenta due approcci:

  1. First Party Damages: ovvero i danni sofferti dall’azienda colpita da un evento cibernetico;
  2. Third Party Damages: ossia la responsabilità dell’azienda assicurata per la violazione dei dati di terzi di cui l’azienda assicurata sia in possesso.

Questi due approcci danno origine a due metodologie di indennizzo differenti. Nel primo caso, infatti, l’assicuratore indennizzerà le spese per fronteggiare la crisi di emergenza, intese quindi come le spese di società informatiche specializzate nella messa in sicurezza informatica, nel ripristino dei dati persi, criptati o distrutti, i costi legali per far fronte ad una indagine dell’autorità preposta al controllo, la perdita di profitto legata al blocco dell’attività della società assicurata e inoltre, eventualmente, la frode informatica patita dall’azienda e i danni cagionati a terzi.
Il secondo approccio invece sarà speculare e indennizzerà fondamentalmente la richiesta danni avanzata da terzi per violazione dei dati di terzi, in possesso della società, con l’aggiunta però delle spese addizionali per il recupero dei dati, dei danni all’immagine della società assicurata, e delle spese legali per fronteggiare una richiesta di risarcimento od una indagine, nel caso in cui vi sia effettivamente una perdita di flusso di dati di terzi verso l’esterno. In questo caso però non verrà indennizzata, salva la specifica pattuizione la riduzione di profitto patita dall’azienda assicurata.
La differenza tra i due approcci risarcitori trova riscontro in due momenti diversi di attivazione della copertura; nel caso della metodologia first party, l’elemento che fa scattare la copertura è la scoperta del danno all’azienda assicurata, sia esso danno materiale, immateriale o patrimoniale. Nel secondo caso invece, ciò che fa scattare la copertura è la richiesta di risarcimento danni avanzata da terzi in conseguenza della violazione di dati di terzi detenuti dall’assicurato, o di cui l’assicurato sia responsabile.

Percezione del rischio e diffusione delle polizze cyber

Il rapporto Ponemon 2015 sul rischio cibernetico ha evidenziato come, benché il livello di consapevolezza sui danni materiali ai beni e sui danni immateriali ai beni non tangibili (dati) sia identico, il trasferimento al mercato assicurativo sia estremamente sperequato. L’indagine rivela che il valore percepito sia di beni tangibili sia di beni intangibili è relativamente simile con una differenza di
un mero 3%. In media, il valore totale dei beni tangibili riportato nello studio ammonta a 872 milioni di USD, confrontato con gli 845 milioni di USD per quanto attiene i beni immateriali.
Quando è stato chiesto di stimare il valore medio di perdita o distruzione di tutti i beni immateriali (o la massima perdita probabile, PML) anche la stima è stata simile (638 milioni di dollari per i
90 Capitolo 9. Le polizze cyber risk beni immateriali, contro 615 milioni di dollari per i beni materiali). Al contrario, sia l’impatto dell’interruzione di attività legata ai beni immateriali, sia la probabilità di una violazione di dati o di beni immateriali sono viste come significativamente maggiori rispetto alle medesime situazioni occorse sui beni materiali. L’impatto stimato di una business interruption legata ai beni immateriali è pari a 168 milioni di dollari, maggiore del 63% rispetto ai 103 milioni di dollari previsti in caso di beni materiali; mentre la probabilità di fronteggiare una perdita è pari al 4.7%, rispetto al 1.5% per i beni materiali (per i danni che totalizzino non più del 50% del PML nell’arco dei prossimi 12 mesi).
Nonostante questa crescente consapevolezza sul cyber risk, esiste un vasto gap assicurativo. Se confrontiamo beni materiali e beni immateriali, i Business Leaders EMEA indicano che i beni immateriali sono più esposti del 38% rispetto ai beni materiali circa la protezione assicurativa.
Circa la metà delle perdite potenziali (49%) sui beni materiali è coperta dall’assicurazione, mentre tale percentuale si attesta solo all’11% per quanto concerne i beni immateriali. Al contrario, per ciò che concerne i beni immateriali è più diffusa l’autoassicurazione – intesa come la ritenzione del rischio all’interno del Bilancio d’esercizio rispetto all’acquisto di polizze assicurative. In generale
si osserva come un danno ai dati sia considerato più pericoloso in termini reputazionali rispetto a un danno materiale ai beni. Questo implica che, in assenza di un obbligo legale di notifica, le aziende siano meno propense a dichiarare di avere subito delle perdite di dati rispetto alla propensione a dichiarare di avere subito un danno a beni materiali. Parlando di obbligatorietà dal punto di vista legale, a oggi soltanto tre tipologie di aziende sono obbligate a notificare le violazioni dei dati: società di telecomunicazioni e internet providers, banche, aziende sanitarie. Inoltre secondo quanto prescritto dal Provvedimento del 2 luglio 2015, le amministrazioni pubbliche sono tenute a comunicare al Garante le violazioni dei dati personali (data breach) che si verificano Per ciò che riguarda le società di telecomunicazioni, il Garante per la Protezione dei Dati Personali ha predisposto anche una procedura per la notifica al Garante e a clienti della violazione dei dati. Per quanto concerne le altre due categorie a oggi non esiste una procedura normalizzata di notifica ai clienti per ciò che riguarda le banche, mentre non esiste un obbligo di notifica ai pazienti, ma solo al Garante, per quanto riguarda le aziende sanitarie. Capacità del mercato assicurativo e la necessità di un assessment del rischio.
Dobbiamo aggiungere che, mentre la capacità teorica del mercato per ogni singola azienda si attesta su circa 200.000.000 di euro, quando si vuole circoscrivere la copertura alle fattispecie first party, il limite si riduce drasticamente in un intervallo compreso tra 25 e 80 milioni di euro. Questo limite indiscutibilmente favorisce la selezione del rischio da parte dell’assicuratore. Inoltre, la
già segnalata carenza normativa fa sì che non esista uno standard a cui gli assicuratori debbano comunque fare fronte, cosicché il fenomeno di anti-selezione del rischio viene esasperato. La capacità complessiva, apparentemente limitata può, sembrare un limite per le Aziende, e in particolar modo per quelle di maggiori dimensioni. In realtà tutti gli assicuratori stanno tentando di sviluppare coperture per la protezione dai rischi cibernetici. Proprio il fatto che gli operatori assicurativi stiano ancora valutando la portata di questo comparto, può rappresentare un’opportunità per le Aziende che vogliano tutelarsi. Quasi tutte le Compagnie si stanno strutturando per poter offrire, nell’ambito delle garanzie accessorie al programma assicurativo, anche coperture per la proprietà intellettuale (violazione di marchi ecc.) e per i danni reputazionali, pur in presenza di sottolimiti del massimale principale di polizza e soltanto in conseguenza di una violazione informatica esterna, oppure interna, ma fraudolenta. Fatti quindi i necessari distinguo tra i vari settori di operatività e quindi tra i principali fattori di rischio, è importante – ai fini della progettazione di una copertura assicurativa – effettuare un processo di assessment che sia in grado di valutare e apprezzare i rischi maggiormente significativi in termini finanziari. Il beneficio finale che le aziende possono trarre da questo tipo di copertura – progettata alla luce di una valutazione accurata del rischio – risiede fondamentalmente nella tutela finanziaria del bilancio d’Impresa, a fronte di un rischio residuo non ulteriormente contenibile, se non a fronte di investimenti eccessivamente significativi, come sopra illustrato.

Guida all’implementazione di una copertura assicurativa cyber risk

Ai fini dell’implementazione di una copertura assicurativa cyber risk, sarebbe opportuno che l’azienda seguisse i 4 passaggi:

  1. Coinvolgimento di un Consulente Assicurativo: Come anticipato, il settore dei rischi cyber non è ancora maturo né ha standard di riferimento (in ambito assicurativo). La peculiarità
    del rischio e l’immaturità del settore rendono indispensabile la conoscenza del mercato e delle leve tecnico-commerciali degli operatori del settore assicurativo. Il coinvolgimento di uno o più consulenti specializzati nel trasferimento dei rischi al mercato assicurativo diventa fondamentale per il trasferimento delle specifiche necessarie agli assicuratori. Interpellare direttamente le compagnie assicurative potrebbe portare le stesse a fornire prodotti non rispondenti alle esigenze dell’assicurando;
  2. Risk Assessment: Ai fini di isolare correttamente il massimo danno probabile e di stimare correttamente l’esposizione al rischio, sarebbe opportuno, prima di stipulare la Polizza, effettuare un’analisi e quantificazione del rischio stesso. Molto spesso le Aziende – anche di medio grandi dimensioni – faticano a quantificare la propria esposizione, soprattutto lato danni indiretti, in quanto di difficile valutazione l’impatto economico che un evento informatico avverso può causare. Anche in questo caso, il supporto di un consulente riconosciuto anche presso il mercato assicurativo diviene molto importante. L’assessment del rischio dovrà inoltre consentire di reperire le informazioni utili alla compilazione di un questionario assicurativo. Un Risk Assessment strutturato è fortemente consigliato per le Grandi Imprese e Infrastrutture Critiche, oltre che per tutte le PMI che risultano molto dipendenti dai Sistemi o che operano in ambiti definiti (es commercio on-line, retail, sanità, media-editoria, broker, società di servizi IT, ecc.);
  3. Compilazione del questionario assicurativo: il questionario in ambito assicurativo ha lo scopo di raccogliere le informazioni base necessarie per una prima valutazione del rischio da parte degli assicuratori. La compilazione del questionario ha come risultato il fatto che possano essere apprezzate le varie ipotesi di limite di indennizzo che stanno alla base del contratto assicurativo e, parallelamente, fa prendere coscienza all’assicurando di quelli che sono i suoi punti di forza e di debolezza. Va detto per inciso che il questionario raccoglie informazioni di tipo standardizzato (esistenza di certificazioni, esistenza di protezioni standard, soggetti che hanno accesso ai sistemi aziendali, contrattualistica tra assicurando e terzi soggetti) e pertanto il livello di approfondimento non è elevato. Tuttavia la compilazione del questionario ha il pregio per l’assicurato di permettere all’assicuratore di fornire un intervallo di premio che potrà poi essere raffinato con il prosieguo della trattativa; per quanto riguarda l’assicuratore, il questionario (anche in assenza di assessment) dà certezza di alcuni dati fondamentali, essendo tra l’altro sottoscritto dall’azienda che richiede la copertura assicurativa;
  4. Implementazione della Copertura Assicurativa: Una volta esaurito il processo di valutazione tramite questionario e/o tramite risk Assessment strutturato, sarà possibile richiedere una quotazione formale al mercato assicurativo. Anche in questo caso l’apporto negoziale di un Consulente specializzato è perlomeno consigliabile, in quanto la conoscenza del settore e la capacità negoziale di chi opera continuativamente nel settore permettono risultati più performanti rispetto a quelli ottenibili dal singolo Cliente direttamente con gli assicuratori, oppure da un Consulente non specializzato con gli assicuratori.

Credits:

Valutazione Media
Last Reviewer
Reviewed Item
Cyber Security - Le polizze cyber risk e le metodologie di indennizzo
Rating
51star1star1star1star1star
Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at ErreBi Group S.r.l.
Ethical Hacker | Blogger | Developer | Graphic & Web Designer | Consulente d'Immagine | Social Media Marketing Manager | Copywriter | SEO Specialist | Digital Influencer
Scarica APP