C’è un “costo”, nell’aumento della cyber resilienza delle imprese spinta dalla regulation. Le norme sulla cybersicurezza imposte nell’Unione europea (Gdpr, Nis2), negli Stati Uniti e in un numero crescente di Paesi rappresentano, infatti, un’arma a doppio taglio per le organizzazioni: da un lato, migliorano la loro resilienza informatica grazie a standard sempre più elevati di governance e trasparenza nella gestione delle minacce; dall’altro, possono gravare sui profili di rischio finanziario degli emittenti, perché comportano investimenti per soddisfare i requisiti e, nel caso di mancata compliance, comportano perdite e sanzioni. Le misure di cybersicurezza adottate, la conformità normativa e la capacità di reagire alle minacce saranno sempre più un elemento di differenziazione tra le imprese anche quando si tratta di definire e stimare il loro profilo di rischio. Lo scrive S&P Global Ratings nello studio “Cyber risk insights: New regulations will increase resilience, at a cost” (SCARICA QUI IL REPORT COMPLETO).
“Le autorità di regolamentazione stanno puntando i riflettori sull’esposizione informatica delle organizzazioni chiedendo una maggiore divulgazione degli eventi cyber e informazioni sulla loro preparazione e resilienza informatica”, scrive Vishal Merani, analista del credito di S&P Global Ratings. “Si apre la porta a una differenziazione basata sui rischi informatici, che potrebbe avere implicazioni per l’affidabilità creditizia delle imprese”.
Il report indica come l’Unione europea e gli Stati Uniti abbiano assunto un ruolo guida nell’introduzione e nell’applicazione delle normative sulla cybersicurezza e che le loro norme stanno influenzando la formulazione delle leggi in altre regioni del mondo.
Quanto costa la cybersicurezza
L’attenzione anche dei regolatori sulla cybersicurezza è, ovviamente, legata alla crescita del numero e della gravità degli attacchi informatici, spesso di matrice criminale o governativa e mirati a colpire le infrastrutture strategiche. Gli incidenti noti che hanno comportato la divulgazione confermata di dati a una parte non autorizzata, sono più che raddoppiati negli ultimi cinque anni (da poco più di 2000 casi noti nel 2017 a oltre 5000 nel 2022) e sono diventati sempre più costosi (3,6 miliardi di dollari in media nel 2017; 4,4 miliardi nel 2023), si legge nel report.
In riposta, la spesa delle imprese per la sicurezza dei dati e la gestione del rischio è stata stimata da Gartner a circa 169 miliardi di dollari nel 2022 su scala globale, rispetto ai 158 miliardi di dollari dell’anno precedente. La previsione per il 2023 è una spesa di circa 188,3 miliardi di dollari. Le aziende stanno anche acquistando sempre più assicurazioni informatiche per compensare i costi derivanti dagli incidenti. I premi per l’assicurazione informatica hanno raggiunto circa 11,9 miliardi di dollari nel 2022, rispetto ai 5,8 miliardi di dollari del 2019, secondo Munich Re; la spesa annua totale potrebbe arrivare a 33,3 miliardi di dollari entro il 2027.
La cyber regulation nel mondo
Da parte loro i governi hanno affrontato la crescente minaccia informatica con una serie crescente di leggi che cercano di proteggere le infrastrutture critiche e i dati dei consumatori, obbligano le organizzazioni a rafforzare le difese informatiche e mirano a garantire una maggiore divulgazione degli eventi informatici e dei fattori di rischio. Ue e Usa fanno da apripista e influenzano le policy delle altre nazioni.
Il cyber rischio pesa sul rating
Il rischio informatico è intrinsecamente negativo per il credito, scrive S&P. Le aziende sono esposte a perdite significative e interruzioni dell’attività in caso di incidente grave, nonché a multe e altre sanzioni a causa dell’insufficiente preparazione informatica. In più, anche se si ha un’eccellente gestione del rischio informatico non vuol dire che si azzeri questa esposizione. Questa “negatività intrinseca” si lega al fatto che la cyber preparedness, di per sé, non crea valore e può essere costosa. Anzi, potrebbe diventare sempre più costosa con l’evoluzione delle minacce, che richiedono nuovi investimenti.
Anche la crescita della regolamentazione alimenta la negatività del rischio informativo per il credito. Per esempio, le normative già in vigore (come il Gdpr in Europa e Ccpa e Hipaa negli Stati Uniti) richiedono la tempestiva divulgazione di un attacco informatico alle autorità di regolamentazione e alle persone interessate. Ciò rende necessari forti investimenti in sistemi di rilevamento efficaci. Allo stesso modo, regole di sicurezza, come Circia negli Stati Uniti e Nis2 in Europa, volte a proteggere le infrastrutture critiche, migliorare il coordinamento della sicurezza nazionale e informare i mercati finanziari, sono un altro costo per le imprese che si devono adeguare. Le regole imporranno costi di conformità una tantum e continui, scrivono gli analisti.
I settori più a rischio: Tlc, ecommerce, finanza e salute
La regolamentazione informatica potrebbe anche pesare indirettamente sulle operazioni, la liquidità e la redditività delle organizzazioni. Per esempio, i nuovi standard di sicurezza informatica potrebbero allungare e complicare l’approvazione dei prodotti per sviluppatori e produttori, come è avvenuto negli Stati Uniti, dove la sezione 3305 del regolamento per i dispositivi medici ha imposto ai produttori di dispositivi l’onere di applicare patch e aggiornare i prodotti.
Inoltre, una maggiore enfasi da parte delle autorità di regolamentazione sulla security by design potrebbe esporre le organizzazioni alla responsabilità per danni subiti a causa dello sfruttamento di falle di sicurezza nei loro prodotti o servizi.
Ancora, un crescente onere per quanto riguarda la protezione dei dati potrebbe gravare sui settori che raccolgono e utilizzano regolarmente dati personali, come e-commerce, vendita al dettaglio, telecomunicazioni, assistenza sanitaria e servizi finanziari.
Maggiori restrizioni sull’accesso ad alcuni dati dei consumatori potrebbero anche avere un impatto negativo sui modelli di business o sulla funzionalità del servizio/prodotto.
Un altro elemento è che il costo delle assicurazioni informatiche aumenterà in risposta a normative sempre più ampie e complesse e a una maggiore minaccia di sanzioni e contenziosi.
Qualche vantaggio dalla cyber-regulation
È, tuttavia, prevedibile che una maggiore regolamentazione in materia informatica abbia alcuni impatti positivi sul rischio di credito. Le aziende che investono in cybersecurity riducono il potenziale di perdite dovute a incidenti informatici di entità sufficiente a incidere negativamente sulla qualità del credito.
Le aziende beneficeranno anche del supporto aggiuntivo delle agenzie governative, come Acn in Italia, che dovrebbero contribuire a una migliore identificazione (e quindi a prevenzione) delle minacce, migliorando al contempo le strategie per risolvere i problemi. Inoltre, la facilitazione da parte delle autorità di regolamentazione della condivisione delle conoscenze tra le organizzazioni dovrebbe servire a migliorare le migliori pratiche relative alla gestione e alla governance del rischio informatico.
Le organizzazioni trarranno vantaggio anche dalla crescita dei servizi di sicurezza informatica, la cui fornitura dovrebbe espandersi a causa dell’aumento della domanda.
Cybersecurity come fattore di differenziazione
È inevitabile che un maggiore controllo normativo dei fattori di rischio informatico rafforzi la divulgazione sia degli incidenti informatici sia della misura in cui le organizzazioni adottano una buona igiene informatica. Una maggiore visibilità sugli incidenti informatici fornirà nuove informazioni sulla governance aziendale e sulla gestione del rischio e migliorerà la comparabilità di come il rischio informatico influisce sul rischio organizzativo e viene affrontato in termini di gestione e governance.
Ciò, conclude S&P, “continuerà ad aumentare la nostra capacità di differenziare gli emittenti in base alla preparazione al rischio informatico come parte del loro quadro generale di gestione del rischio e, in ultima analisi, si rifletterà nei nostri rating. Nel frattempo, anche le azioni esecutive, come le multe per un’igiene informatica scadente con conseguenti violazioni informatiche, potrebbero influire sulla nostra visione dell’affidabilità creditizia degli emittenti”.
Poiché gran parte della regolamentazione informatica è relativamente nuova, resta da vedere fino a che punto le informazioni prodotte si dimostreranno preziose per la valutazione della qualità del credito. Non è inoltre chiaro fino a che punto le multe e l’imposizione di altri costi dovuti a richieste normative possano pesare sull’affidabilità creditizia, anche perché ciò dipenderà dall’aggressività con cui le autorità di regolamentazione applicano le regole.