Cyber-insurance: è il momento delle aziende pubbliche

Le polizze assicurative in grado di coprire i danni diretti e indiretti legati alla violazione dei dati personali trattati, rappresentano il vero valore aggiunto di una organizzazione aziendale. Nel corso dell’ultimo biennio è cresciuta la loro richiesta da parte delle aziende, a fronte tra l’altro di un maggiore incremento del numero degli attacchi informatici. Parimenti, sul fronte dell’offerta, le assicurazioni hanno implementato il ventaglio di proposte, con soluzioni sempre più mirate alle specifiche esigenze. Da stime effettuate da società statunitensi ed inglesi, si ipotizza a breve la creazione di un enorme mercato per la Cyber-insurance, trattandosi di prodotti assicurativi destinati appositamente a proteggere le imprese private ed anche pubbliche dai rischi legati all’uso del web e, specificatamente, dai rischi relativi alle infrastrutture e alle attività dell’informatica.

La maggiore problematica assuntiva per le assicurazioni sta nella mancanza di dati storici in seno alle aziende, in grado di permettere di avere un quadro del rischio quanto più esatto e con dati statistici corretti, utili anche per valutare la possibile evoluzione di questo fenomeno nel futuro e le eventuali dinamiche tecnico-attuative. Il panorama dei nuovi pacchetti assicurativi della Cyber security evidenzia diversi prodotti e soluzioni percorribili. Si parte dalla copertura contro gli attacchi informatici, gli attacchi di hacking (hacksurance), fino alla copertura dalla distruzione o perdita di dati (furto\frode) e dai pacchetti che coprono le spese legali derivanti dalla violazione dei dati (tutela legale\indagine forense). Esistono, anche, coperture per il mancato ripristino dell’attività (disaster recovery), coperture per i costi derivanti dal danno di immagine e dal danneggiamento del software e/o dell’hardware.

A fronte del quadro sopra indicato, anche le aziende pubbliche dovrebbero stipulare polizze assicurative per il cyber risk? Ecco il parere del dottor Alessandro Spinetti (direttore generale della società specializzata di consulenza Icu): “Tutte le coperture sul mercato non hanno lo scopo di evitare il prodursi di un danno. Sono le policy aziendali in materia di sicurezza a doverlo prevenire, le polizze assicurative servono a trasferire il rischio in questione dall’azienda/Pubblica amministrazione alla compagnia assicurativa, evitando che un’azione fraudolenta con successivo danno e\o richieste di risarcimento di terzi danneggiati possano intaccare pesantemente il patrimonio dell’azienda. Infatti, in alcuni casi recenti, i danni subiti a seguito di attacchi informatici con sottrazione di data base, con successivi danni diretti e indiretti molto rilevanti, sono stati fatali per l’economia di alcune società operanti in particolare nel settore It. In Italia, sono quasi raddoppiate le comunicazioni di violazioni di banche dati (data breach) pervenute all’Autorità competente nel solo settore dei servizi di comunicazione elettronica. Per quanto detto, consiglio coperture assicurative Cyber personalizzate il più possibile, infatti la stipula di un pacchetto assicurativo di Cyber insurance dovrebbe essere sempre preceduta da una valutazione molto precisa all’interno delle aziende, coinvolgendo dal Risk manager al Data protection officer, e lavorando congiuntamene al consulente tecnico assicurativo”.

In conclusione, con la piena entrata in vigore del Regolamento 769/2016 Unione europea (Regolamento generale sulla protezione dei dati-Gdpr, general data protection regulation) si rende necessario ed utile, per le aziende ed enti pubblici che ancora non si sono attivati, intervenire tempestivamente su detti argomenti provvedendo alla stipula di appositi pacchetti assicurativi, mirati alle specifiche necessità e assolutamente predisposti in modo “sartoriale”.

(*) Responsabile Osservatorio assicurazioni crimini informatici Aidr