La risposta al cyber crimine? Potrebbe risiedere in polizze assicurative ad hoc: negli Usa quasi un’azienda su 3 ne possiede una. È quanto emerge da un report di BDO. Secondo la società di consulenza alle imprese prevenire totalmente un cyber attacco non è possibile, le coperture assicurative possono servire proprio a tutelarsi nei confronti di accadimenti che non possono essere in alcun modo previsti con anticipo. È l’azienda stessa a dover stabilire quali siano questi eventi e a negoziare coperture assicurative personalizzate.
Secondo i dati BDO, il costo medio annuale delle violazioni dei dati aziendali negli Usa ammonta a 4 milioni di dollari. Nel quantificare il danno cyber, occorre valutare diversi elementi: il costo di riparazione e messa in sicurezza del sistema e dei dati; il danno reputazionale, inteso come le somme investite in attività di PR e comunicazione e il mancato guadagno derivato dal danno; le eventuali somme pagate a riscatto dei dati, cosa che accade ad esempio con i ransomware, oppure somme di denaro rubate dagli autori dell’attacco. A tutto ciò, inoltre, va sommato anche il fattore normativo: sempre più giurisdizioni nazionali e internazionali stanno introducendo multe e sanzioni per le aziende che si dimostrano non adeguatamente preparate al cyber rischio.
“Entrerà in vigore a tutti gli effetti nel maggio 2018 per tutti gli stati membri dell’Unione Europea il Gdpr, General Data Protection Regulation, che sanzionerà le aziende che non comunicheranno tempestivamente un’avvenuta fuga di dati con una multa che potrà arrivare fino al 4% annuo del fatturato dell’azienda stessa o a 20 milioni di euro – dice Lorenzo Mazzei, Partner Intelligence & Cybersecurity di Bdo Italia. – Si tratta evidentemente di somme ingenti, che giustificheranno il pagamento di un premio annuale per la prevenzione del rischio. È auspicabile che sia il Gdpr, sia la direttiva Nis (Network and information Security) vengano recepiti da aziende, organizzazione ed istituzioni come opportunità, oltre che incombenze, per instillare in Europa e in Italia una nuova cultura di prevenzione del rischio. Le nuove polizie, non ancora molto diffuse, svolgerebbero un ruolo strategico in tal senso”.
Dall’altro lato dell’oceano, negli Usa, dove la discussione sul cyber rischio è senz’altro più avanzata e all’avanguardia, il 28% dei manager intervistati dal BDO Usa Board Survey 2016 dichiara che nella propria azienda è stata acquistata una polizza assicurativa che protegga dai reati informatici. La percentuale rimane stabile rispetto all’anno precedente, ma è triplicata rispetto al 2014, in cui solo 1 intervistato su 10 rispondeva affermativamente. Tornando agli ultimi dati disponibili, il 13% sta attualmente considerando l’acquisto di una polizza ad hoc; l’11% ha concluso negativamente la valutazione in merito alla stipula della polizza, mentre l’1% avrebbe voluto stipularne una, ma si è vista rifiutare la necessaria copertura assicurativa.
Gli investimenti in cyber sicurezza oltreoceano stanno aumentando di anno in anno: 8 rispondenti su 10 dichiarano di aver investito una somma più alta in cyber security rispetto all’anno precedente, con un trend in continua crescita. Le aziende continuano a spendere fino a quattro volte di più per assicurare gli asset aziendali materiali che per il cyber rischio, nonostante la diffusa opinione che gli asset aziendali di carattere cyber abbiano un valore del 14% più alto. Le potenzialità delle polizze assicurative contro il cyber rischio rimangono comunque molto elevate: il mercato globale vale oggi 3 miliardi di dollari, ma entro il 2022 arriverà a 14 miliardi di dollari (fonte: Business Insurance, dicembre 2016.
Rispetto alle altre polizze assicurative per la protezione dal rischio, nel settore della cyber security non sono ancora stati elaborati standard definiti. Ciò significa che le compagnie di assicurazioni offrono al momento una certa flessibilità e margine di negoziazione sui termini delle polizze al momento della stipula. Ma proprio la mancanza di uno standard con cui confrontarsi può costituire un rischio per l’azienda.
Le polizze possono garantire copertura a costi di ripristino del sistema e connessi costi legati alla necessaria investigazione; danno reputazionale; mancati introiti; estorsione o furto economico legato al cyber attacco. Oltre alla copertura aziendale, si possono stipulare coperture assicurative anche in relazione alle cosiddette terze parti, ovvero tutte le aziende con cui l’impresa opera in quanto fornitori, clienti o partner. In questi casi, ci si può assicurare dal rischio di “contaminazione” dell’attacco cyber proveniente dalla parte terza, dal rischio di violazione di informazioni confidenziali o proprietà intellettuale, dalle multe e sanzioni potenzialmente derivanti da un attacco a terzi. Quello della copertura dal cyber rischio derivante dai rapporti con terze parti, tuttavia, è un segmento ancora trascurato anche negli stessi Stati Uniti e contemplato, secondo i dati di BDO, da solo 4 rispondenti su 10, nella mera forma della conduzione di un risk assessment nei loro confronti.
“Non c’è dubbio che gli attacchi cyber e le violazioni di dati stiano crescendo in numero e in sofisticazione, causando grandi preoccupazioni sia alle grandi che alle piccole e medie aziende – spiega Mazzei. – Considerato il serio danno reputazionale che un attacco cyber può portare a un’azienda, è chiaro ormai che tale questione non può più essere considerata ad appannaggio esclusivo del dipartimento IT, ma deve varcare le porte del consiglio di amministrazione di ogni impresa. Una politica di cyber sicurezza davvero efficace coinvolge tutti gli aspetti del business, non solo quello tecnologico. È qui che entra in gioco la possibilità di assicurarsi contro le violazioni di dati aziendali, un trend che trainerà la crescita nel settore assicurativo nel medio termine.”
La difficoltà di stimare i costi totali di un potenziale attacco cyber rende limitata la possibilità delle compagnie assicurative di sviluppare dei solidi modelli di rischio per le polizze correlate. Le compagnie, perciò, tendono a mitigare il rischio stabilendo termini molto stringenti alle loro polizze. In questo contesto scegliere la corretta polizza assicurativa può diventare estremamente difficile: occorre valutare attentamente il rischio cyber della propria azienda e disegnare le polizze su tutti quegli avvenimenti che non possono essere altrimenti prevenuti. Ciò significa anche controllare i termini e le clausole di esclusione, testandoli su scenari concreti basati sul proprio livello di rischio.
“La stipula di una cyber assicurazione è un modo per trasferire una parte del rischio residuo finanziario e legale dell’azienda a una assicurazione – conclude Mazzei – Il digital risk assessment deve divenire una prassi aziendale, costantemente aggiornata e mantenuta. Un ultimo consiglio: è fondamentale rinegoziare annualmente le clausole assicurative per ottemperare agli aggiornamenti in sicurezza della azienda, e quindi fronteggiare gli attacchi informatici, via via più sofisticati. BDO Italia offre ai propri clienti un servizio di eccellenza, innovativo e altamente specializzato.”