Cyber security risk

Le differenze tra le polizze assicurative nel settore del cyber risk esistono  e si fondano essenzialmente sull’approccio al rischio e su aspetti di carattere economico-organizzativo. Per orientarsi al meglio e scegliere la miglior polizza occorre un approccio consulenziale con esperti del settore in modo da valutare tutte le caratteristiche oggettive e soggettive in modo da personalizzare la copertura secondo le esigenze e i rischi di ogni possibile privato professionista o azienda.

La rivoluzione digitale sta indubbiamente portando molti benefici a società, imprese, studi professionali ma, come spesso accade, bisogna considerare anche il rovescio della medaglia: difatti, accanto agli innumerevoli benefici, l’uso incontrollato di Internet può comportare una quantità notevole di insidie e problematiche che rientrano nell’ambito di quel fenomeno definito cyber risk o “rischio informatico” che è necessario gestire e “coprire” mediante la sottoscrizione di polizze assicurative utili a mettere in sicurezza il patrimonio aziendale dalle possibili conseguenze dannose di un attacco informatico o di un errore umano.

Gli argomenti

  • Polizze assicurative nel settore del cyber risk: il contesto
  • L’importanza della gestione del rischio
  • Polizze assicurative nel settore del cyber risk: il mercato
  • Polizze assicurative nel settore del cyber risk: soluzioni operative
  • Polizze assicurative nel settore del cyber risk: la scelta

Polizze assicurative nel settore del cyber risk: il contesto

In termini metodologici, secondo le linee guida internazionali, storicamente sono classificate cinque grandi famiglie di rischio:

  1. rischi operativi;
  2. rischi finanziari;
  3. rischi strategici;
  4. rischi organizzativi;
  5. rischi di pianificazione aziendale e di reporting.

Il cyber risk ha una caratteristica peculiare in quanto può indifferentemente abbracciare ciascuna delle cinque famiglie di rischio citate e considerarsi come una nuova tipologia di macro-rischio determinata dall’evoluzione tecnologica.

Più precisamente, il rischio informatico può essere definito come il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, intendendosi con ciò sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che i rischi derivanti dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (i cosiddetti rischi di natura esogena).

rischi di natura endogena sono:

  1. naturali: incendi, calamità naturali, inondazioni, terremoti;
  2. finanziari: variazione dei prezzi e dei costi, inflazione;
  3. strategici: concorrenza, progressi scientifici, innovazioni tecnologiche;
  4. errori umani: modifica e cancellazione dei dati, manomissione volontaria dei dati.

rischi di natura esogena, o di natura operativa sono i rischi connessi alle strutture informatiche che compongono i sistemi. Essi sono:

  1. danneggiamento di hardware e software;
  2. errori nell’esecuzione delle operazioni nei sistemi;
  3. malfunzionamento dei sistemi;
  4. programmi indesiderati.

Tali rischi possono verificarsi a causa dei cosiddetti programmi “virus” destinati ad alterare od impedire il funzionamento dei sistemi informatici. Ma vi sono anche le truffe informatiche, la pedopornografia, il cyberbullismo, i ricatti a sfondo sessuale derivanti da video chat on line e solo una piena consapevolezza del concetto di sicurezza informatica può davvero metterci al riparo da sgradevoli sorprese.

L’importanza della gestione del rischio

Un aspetto di notevole importanza del rischio informatico è il risk management (gestione del rischio) e cioè quel processo attraverso il quale si misura o si stima il rischio e successivamente si sviluppano le strategie per fronteggiarlo.

La gestione del rischio, così come descritto nella Convenzione Interbancaria per i problemi dell’Automazione (CIPA) nel rapporto sul rischio informatico si articola in diverse fasi:

  1. identificazione del rischio;
  2. individuazione delle minacce;
  3. individuazione dei danni che posso derivare dal concretizzarsi delle minacce e la loro valutazione;
  4. identificazione delle possibili contromisure per contrastare le minacce arrecate alle risorse informatiche.

Diverse sono le modalità di gestione del rischio. A seconda del livello di rischio che un soggetto sia esso un’azienda, persona o ente ritiene accettabile si distinguono:

  1. evitare: si modificano i processi produttivi, modalità di gestione ed amministrazione con lo scopo di eliminare il rischio;
  2. trasferire il rischio ad un altro soggetto: il trasferimento del rischio avviene nei confronti di assicurazioni, partner e si tratta principalmente di rischi economici perché più facilmente quantificabili.
  3. mitigare: consiste nel ridurre, attraverso processi di controllo e verifica, la probabilità del verificarsi del rischio o nel limitarne la gravità delle conseguenze nel caso in cui si verifichino.
  4. accettare: ossia assumersi il rischio ed i relativi costi.

Polizze assicurative nel settore del cyber risk: il mercato

Da alcuni anni l’interesse degli operatori economici sul cyber risk è cresciuto notevolmente. Questa crescita è stata tale da suscitare l’interesse delle compagnie di assicurazione su questa tipologia di rischio.

Negli Stati Uniti le polizze assicurative esistono da più di 15 anni, mentre invece in Italia sono state introdotte da pochi anni.

Il mercato di tali polizze potrebbe presentare sviluppi molto interessanti per il futuro, ma in realtà non è ancora chiaro a molte compagnie su che cosa debba intendersi per cyber risk e quale debba essere effettivamente il focus dell’assicurazione.

Ad esempio, molte assicurazioni tendono a considerare il tema come avulso da qualsiasi assicurazione tradizionale. Le idee che circolano riguardano la possibilità di realizzare polizze in qualche modo “tecnologiche” oppure il tema del rischio informatico viene notevolmente banalizzato.

In realtà una polizza dovrebbe essere molto articolata in considerazione delle esigenze specifiche dei clienti. Pensiamo ad un’azienda o comunque ad un’organizzazione che potrebbe desiderare un’assicurazione limitata ai soli processi che prevedono in trattamento dei dati personali, in omaggio al GDPR, oppure mettere in sicurezza la sua produzione industriale, ormai gestita da sistemi automatizzati.

Non si tratta di un compito semplice poiché questa tipologia di assicurazione richiede specifiche conoscenze che vanno acquisite nel caso specifico, notevoli competenze poiché è un settore molto specialistico ed una casistica di riferimento che non esiste all’attualità.

Sul tema va riconosciuto che le normali tecniche attuariali sono praticamente inutili, quindi si tratta di trovare nuove forme e formule che dovranno essere ricercate nel “giovane” mondo delle professionalità connesse alla sicurezza cyber e delle informazioni.

Polizze assicurative nel settore del cyber risk: soluzioni operative

Vediamo adesso come si stanno orientando le compagnie assicurative.

Offrono una forma di assicurazione che include diverse prestazioni:

  • una sorta di responsabilità civile in caso di richieste risarcitorie e crediti di terzi legati alla criminalità informatica;
  • l’assunzione di costi che l’azienda deve sostenere a seguito di attacchi informatici per ripristinare i dati o per porre rimedio a furti, estorsioni informatiche ecc.;
  • copertura di perdite di fatturato nel caso di interruzioni di esercizio ed anche la gestione di crisi conseguenti ad attacchi informatici.

Interessante, inoltre, la previsione dell’assistenza di un team specializzato composto da avvocati e specialisti IT per l’analisi del rischio (Pre-Breach), durante i casi di sinistro e dopo gli attacchi informatici (Post-Breach).

La polizza cyber  comprende:

  • l’indennizzo in caso di interruzione d’esercizio:
  • l’assunzione dei costi di ripristino in caso di perdita di dati;
  • l’assunzione dei costi per il ripristino di sistemi operativi e programmi applicativi;
  • il pagamento di richieste di risarcimento giustificate o difesa da pretese ingiustificate;
  • l’assistenza immediata in caso di cyber evento da parte di un esperto esterno di società convenzionata;
  • l’assunzione dei costi per procedimento dell’autorità in materia di protezione dei dati.

Sono previsti anche ampliamenti opzionali in caso di manipolazione dell’online banking oppure del sistema di pagamento online, di hackeraggio telefonico, di social engineering.

Inoltre, copre:

  • la responsabilità civile derivante da violazione della privacy e violazione di dati aziendali (garanzia di base);
  • la responsabilità civile derivante da violazione della sicurezza della rete (garanzia di base);
  • la responsabilità derivante da attività multimediale (es. diffamazione) (garanzia facoltativa);

Polizze assicurative nel settore del cyber risk: la scelta

Dall’esame delle principali polizze assicurative nel settore del cyber risk appare evidente e non poteva essere altrimenti l’affinità tra i diversi prodotti e la conseguente copertura di rischi analoghi.

Le differenze, quindi, sono minime ma ci sono  e si fondano essenzialmente sull’approccio al rischio e su aspetti di carattere economico-organizzativo.

Cyber security risk management in azienda, come funziona il il nostro approccio operativo in collaborazione con QUBIC7

Interessante approccio operativo  con assistenza di un team specializzato composto da avvocati e specialisti IT per l’analisi del rischio (Pre-Breach), durante i casi di sinistro e dopo gli attacchi informatici (Post-Breach).

In caso di attacco non sarai solo.

Siamo pronti a tutelare i nostri clienti, perché i loro interessi sono i nostri doveri.