L’autorità europea delle assicurazioni Eiopa ha raccomandato alle autorità nazionali di settore di prestare maggiore attenzione alla valutazione da parte delle imprese di assicurazione dei termini e delle condizioni dei loro prodotti assicurativi che coprono i rischi informatici.
Le raccomandazioni di Eiopa sui rischi informatici
Gli assicuratori sono infatti esposti a potenziali perdite legate a tali rischi attraverso polizze ad hoc o che non ne tengono esplicitamente conto. “Con l’aumento della frequenza degli eventi sistemici, esiste il rischio che i prodotti assicurativi che li coprono diventino inaccessibili o non disponibili”, si legge nella dichiarazione di vigilanza pubblicata da Eiopa. “Allo stesso tempo, i prodotti che coprono tali eventi o i prodotti che tacciono sulla copertura possono escluderli esplicitamente in futuro. Questi sviluppi hanno il potenziale per ampliare ulteriormente i divari di protezione esistenti, che possono avere un effetto negativo sui consumatori e rendere le nostre economie e società meno resilienti”.
La dichiarazione di vigilanza mira da una parte a promuovere la convergenza nel modo in cui le autorità nazionali competenti valutano il trattamento delle esclusioni nell’ambito della progettazione del prodotto e del processo di redazione dei termini e delle condizioni, dall’altra a garantire che gli interessi degli assicurati esistenti e potenziali siano debitamente presi in considerazione quando i prodotti vengono sviluppati o rivisti, o quando si verificano eventi che mettono in dubbio la portata della copertura.
Al di là dei requisiti generali di chiarezza contrattuale e di semplicità linguistica, l’Eiopa raccomanda alle autorità nazionali competenti di monitorare se i fabbricanti assicurativi valutino adeguatamente i termini e le condizioni e l’ambito della copertura ogni volta che il rischio derivante da un evento sistemico diventa non assicurabile o non è chiaro se il il rischio è coperto o meno.
Più in generale, al di là dei requisiti generali di supervisione e governance dei prodotti, quando vengono sviluppati nuovi prodotti, l’Eiopa raccomanda di valutare le esigenze, gli obiettivi e le caratteristiche del mercato di riferimento per quanto riguarda l’esclusione dei rischi derivanti da eventi sistemici, anche nel determinare se i rischi derivanti da eventi sistemici sono coperto o meno.
Sebbene possa esserci un limite all’assicurabilità, l’Eipa è del parere che i consumatori e le piccole imprese possano valutare meglio i rischi coinvolti, compresi quelli derivanti da eventi sistemici, quando la copertura è chiara e allineata alle esigenze del mercato di riferimento.
I nuovi parametri che le imprese devono valutare
La dichiarazione affronta inoltre la necessità di una strategia top-down e di una definizione della propensione al rischio per le imprese di (ri)assicurazione che sottoscrivono o desiderano sottoscrivere il rischio informatico. Riflette inoltre sulla potenziale necessità di una revisione dei termini e delle condizioni dei contratti per quanto riguarda la loro copertura informatica e sulla necessità di disporre di una strategia su come comunicare tale revisione agli assicurati in modo chiaro e tempestivo.
Le imprese dovrebbero prestare particolare attenzione alle tradizionali esclusioni della guerra e del terrorismo che potrebbero non tenere conto degli aspetti digitali della guerra moderna e quindi portare a incertezza e ambiguità per quanto riguarda le coperture. L’esito di tale esercizio dovrebbe tradursi in termini e condizioni chiari, semplici e in linea con la strategia generale dell’impresa e la propensione al rischio informatico, fornendo al contempo un buon rapporto qualità-prezzo all’assicurato in linea con il mercato di riferimento.
La dichiarazione sottolinea infine la necessità che le imprese identifichino e misurino la propria esposizione al rischio informatico al fine di attuare sane pratiche di sottoscrizione informatica.