Nel Cyber Security Report presentato dal governo Britannico insieme a Marsh in primavera, sono indicate le azioni volte all’attivazione della capacità di reazione da parte delle PMI. Le piccole imprese sono l’anello più fragile della catena produttiva, dal punto di vista del rischio cyber. Esse il più delle volte non hanno le risorse finanziarie o le competenza per proteggersi dai rischi cibernetici a cui sono esposte. Il tema è di particolare interesse per l’Italia, dove le PMI sono ancor più diffuse e la loro importanza, anche ai fini dell’export, è maggiore che nel Regno Unito. Sono di grande utilità le linee guida elaborate dal governo britanico con la collaborazione dei privati, disponibili on line (www.cyberstreetwise.com/cyberessentials) per supportare le PMI. Queste linee guida indicano gli interventi e le procedure da attuare per ridurre l’esposizione ai cyber risk, in base alle principali categorie di rischio:
1. Firewall perimetrali e gateway internet
2. Configurazione di sicurezza
3. Controllo accessi
4. Protezione dal malware
5. Patch management.
Ma lo strumento più interessante, introdotto nel Regno Unito, sono i Certification Bodies, ossia aziende e organismi che certificano lo stato di implementazione delle procedure, rendendo così possibile l’attivazione di offerte di copertura assicurativa. Nella responsabilità civile auto, la compagnia di assicurazione può rivalersi sull’assicurato che non ha sottoposto a revisione periodica l’auto. In questo modo si crea un efficace incentivo ad attuare le revisioni stesse: è questo uno degli effetti sistemici più importanti dei meccanismi di assicurazione per responsabilità civile. L’obbligatorietà dell’assicurazione, unita ai meccanismi di rivalsa e al bonus-malus, incentivano i comportamenti virtuosi, che la sola copertura obbligatoria tenderebbe a disincentivare, a causa del noto meccanismo dell’azzardo morale, che consiste nell’assumere più rischi di quanto si farebbe in condizioni normali, proprio perchè tali rischi sono in parte coperti dall’assicurazione obbligatoria. Quindi, la diffusione di linee guida e lo sviluppo di servizi di certificazione creano condizioni favorevoli per un efficiente mercato assicurativo mirato alla protezione dai rischi cibernetici: i Certification Bodies, da un lato, e compagnie di assicurazione, dall’altro, stimolano la crescita delle competenze e dell’attenzione di aziende e pubbliche amministrazioni nei confronti dei rischi cibernetici. La crescita del mercato assicurativo è la condizione, anche in Italia, per la protezione degli investimenti privati e pubblici nelle reti e per assicurare la continuità dei servizi.
