Per CYBER RISK intendiamo tutti i rischi che riguardano il mondo informatico. In altre parole cyber risk è un concetto associato a quello di CYBERSPACE: tale spazio ha ormai assunto uno status di realtà oggettiva, elemento cruciale per il funzionamento e la stessa sopravvivenza della nostra società.

Dobbiamo occuparcene anche da un punto di vista assicurativo perché questo spazio, che abbiamo definito cybernetico, sconta delle DEBOLEZZE TECNICHE E STRUTTURALI che lo rendono particolarmente vulnerabile nei confronti di azioni malevole – dolose – che ne alterano il funzionamento.

In un mondo inesorabilmente interconnesso anche un allegato mail aperto per errore – il cosiddetto MALWARE – da uno smartphone aziendale può potenzialmente mettere in ginocchio l’azienda stessa.

Le dieci principali minacce informatiche sono:

* Malware (72 % ) * Errori Amministrativi ( 48 % ) * Incidenti causati da fornitori terzi ( 34 % ) * Infedele Attività Dipendenti ( 31 % ) * Attacchi da Web ( 30 % ) * Furto o Perdita di mobile devices ( 28% ) * Hacker interni ( 26 % ) * Terrorismo ( 25 % ) * Attacco Phishing ( 22% ) * Infiltrazione tramite mobile devices ( 20% )

Le POLIZZE CYBER RISK sono presenti sul mercato assicurativo mondiale, in particolare americano ed anglosassone, fin dal 2001 (riferite alle grandi aziende), ma solo dalla seconda metà del 2015 hanno avuto una crescita significativa. Oggi negli USA, continente all’avanguardia nella lotta ai reati informatici, QUASI 1 AZIENDA SU 3 POSSIEDE UNA POLIZZA CYBER RISK.

Dal 2014 al 2019 il numero di attacchi è aumentato anche in Europa e nel triennio 2017-2019 IL NUMERO DI ATTACCHI GRAVI ANALIZZATI È CRESCIUTO DEL 48% e addirittura nel 2019 si riscontra una differenza del 37,5% in più rispetto alla media degli attacchi per anno degli ultimi 6 anni.  [cyber risk - attacchi informatici] In Italia c’è un attacco grave di CYBER CRIME ogni 5 ore, + 91,2% in 5 anni e OLTRE 1 AZIENDA SU 2 È STATA VITTIMA DI UN CYBER ATTACCO.

Il 41% dei responsabili della sicurezza informatica IT delle aziende italiane ritiene che gli ERRORI COMMESSI DA PARTE DEI DIPENDENTI ABBIANO RESO VULNERABILE LA PROPRIA ORGANIZZAZIONE DI FRONTE AGLI ATTACCHI (fonte Assinews, agosto 2019).

Lenti anche i tempi di risposta agli attacchi: il 40% delle aziende del nostro Paese impiega più di 15 giorni per rimediare a un attacco.

Tutto ciò evidenzia una forte vulnerabilità informatica su scala nazionale, con il 65% di PMI che non ha ancora seriamente considerato la possibilità di introdurre ufficialmente lo smart working ( fonte Clusit gennaio 2020 ).

Gli ATTACCHI CYBER oggi sono nella maggior parte dei casi ATTACCHI MASSIVI in cui sia spara nel gruppo sperando di fare il numero di vittime più alto possibile. In una logica di questo tipo non sarà presa di mira la grande azienda, ma un numero il più possibile alto di piccoli soggetti ( le PMI ).

Una volta subito l’ATTACCO INFORMATICO anche la piccola azienda poco legata al digitale potrebbe trovarsi in seria difficoltà e la perdita dei dati dei clienti (ad esempio i file excel utilizzati per la contabilità ) potrebbe costituire un danno importante, in termini di tempo e di denaro.

TUTELARSI È NECESSARIO PERCHÉ NON ESISTE IL CYBER RISK ZERO

Successivamente alle cosiddette misure di LOSS PREVENTION (basate sulla gestione-implementazione tecnologica e compliance normativa), risulta evidente l’importanza di arrivare a coperture assicurative, essenziali per tutelarsi nei confronti di accadimenti che non possono essere in alcun modo previsti con anticipo.

Direttamente dal wording di un fascicolo informativo di polizza cyber risk:

 Si intende assicurato qualsiasi attacco informatico non autorizzato  intrapreso con l’intento di distruggere o compromettere la  funzionalità del Sistema informatico dell’Assicurato.

Negli ultimi anni infatti mercato assicurativo delle polizze Cyber Risk sta vivendo una fase di forte sviluppo che ha portato alla creazione di innovativi prodotti destinati alle aziende di grandi dimensioni, alle PMI e anche ai professionisti. 

Le polizze cyber presentano sostanzialmente DUE MACRO CATEGORIE DI COPERTURE E UN SERVIZIO DI ASSISTENZA H24:

* GARANZIA RESPONSABILITA’ CIVILE * GARANZIA DANNI DIRETTI e INTERRUZIONE ATTIVITA

[Polizza cyber risk] Le compagnie assicurative piu’ dedicate al rischio sono le americane: per citarne solo alcune Aig-Dual-Chubb. Esse prevedono un approccio alla copertura modulare e flessibile, secondo un QUESTIONARIO ASSUNTIVO DETTAGLIATO al fine di poter fornire specifiche prestazioni.  È infatti l’azienda proponente stessa a dover stabilire di concerto con il Consulente, quali eventi coprire e a negoziare coperture assicurative ad hoc come ad esempio:

* RESPONSABILITÀ MEDIA: fornisce copertura per responsabilità

derivante dai contenuti multimediali pubblicati online dall’assicurato, compresi i siti di social media. PROTEZIONE DAL COSIDDETTO DANNO REPUTAZIONALE. * PRONTO INTERVENTO IN 48 H dall’incidente occorso.  * COPERTURA PER INTERRUZIONE DELLA RETE con carenza di 12 H.

Le polizze cyber sono pensate in forma ALL RISK (le esclusioni sono esplicite, ad esempio le sanzioni dirette all’assicurato) e CLAIMS MADE (il risarcimento o l’indennizzo scattano solo quando c’è l’attacco informatico).

 I massimali previsti dalle varie compagnie possono andare dai 50mila  fino ai 5 milioni di euro con franchige contenute, anche per le  tutele più complete, fino ai 2.000-2.500 euro (dati estratti da  recenti quotazioni per PMI fino a 2 milioni di euro di fatturato).

In questo momento viene presa in considerazione, e quindi quotata in polizza, anche L’EVENTUALITÀ CHE IL PROPONENTE-ASSICURANDO NON EFFETTUI CONTROLLI RISPETTO GLI ACCESSI DEGLI IMPIEGATI O ALTRI UTENTI IN STAFF CHE ABBIANO ACCESSO DA REMOTO A DATI SENSIBILI DELL’AZIENDA, aspetto non poco rilevante dal momento che il patrimonio immateriale dell’Azienda transita su sistemi informatici non adatti a garantirlo.

Alcune polizze cyber ancora escludono la copertura in relazione al pagamento di riscatti chiesti dal particolare tipo di malware, i RANSOMWARE, per liberare il sistema.

Questo infine è uno stralcio dell’articolo apparso sul Corriere Economia, lunedì 6 aprile 2020 dal titolo SMART WORKING E LITI, intervista a Emanuela Agostinelli, partner dello Studio legale internazionale Curtis Mallet Prevost : 

 Il ricorso massivo al lavoro agile in via emergenziale rischia di  moltiplicare i contenziosi giudiziari legati alle criticità dello  smart working, con conseguenze potenzialmente dirompenti per le  aziende che non siano dotate di idonee coperture assicurative. La  corsa al telelavoro da parte di aziende e studi professionali si è  più che altro concentrata sulle soluzioni tecniche, spesso  tralasciando aspetti essenziali per la sicurezza dei dati e  funzionali alla tutela delle responsabilità aziendali legate a  questi aspetti. A fronte di danni stimati dall’associazione  italiana sicurezza informatica (Clusit) per oltre 3,5 miliardi di  euro l’anno, le imprese sono fortemente sottoassicurate contro il  cybercrime e, con l’allargamento dell’operatività all’esterno  delle mura aziendali, i rischi si moltiplicano. Assume  un’importanza cruciale una polizza di assicurazione che consenta  di trasferire il cyber risk.

In un momento nel quale circa 1 milione di lavoratori del settore privato in Italia (stima per difetto) è collegato da remoto potrei sintetizzare tutta l’esposizione con una battuta secondo la quale non si tratta di domandarsi perchè dovrebbero colpire proprio me imprenditore-professionista ma CHE CONSEGUENZE AVREBBE UN EVENTO CYBER CHE COLPISSE LA MIA ATTIVITÀ?

In un panorama di economia sempre più digitale, la permanenza e poi la competitività di un’azienda sul mercato sarà determinata anche dall’aver o meno affrontato questo percorso: GESTIONE – MITIGAZIONE – TRASFERIMENTO DEL CYBER RISK.