Il dibattito sugli attacchi informatici è diventato quanto mai vivo in questi ultimi anni.
Nel 2019 il World Economic Forum ha dichiarato che gli attacchi informatici rientrano tra i primi cinque scenari di rischio al mondo con la maggiore probabilità di accadimento, ecco perché nel tempo e soprattutto nel corso dell’ultimo periodo, notevole impulso ha avuto la problematica connessa alla gestione di questo rischio.
Una corretta politica di gestione del cyber risk è diventata di fondamentale importanza non solo per tutte le aziende che operano nel settore industriale o commerciale, ma è diventata di estrema importanza anche per tutti i cittadini.
Ecco perché in questo senso, notevole è stato lo sviluppo all’interno del mercato assicurativo di prodotti che consentissero tanto alle persone che alle aziende, di proteggersi da tutti gli attacchi di tipo informatico e da tutti i danni che da questi possono derivare, ivi compresi quelli reputazionali.
In tale ottica, ha assunto sempre più importanza la polizza cyber risk ovvero, un prodotto assicurativo che ad oggi offre una protezione concreta contro il rischio di attacchi informatici consentendo di mettersi al riparo dai danni sopra menzionati.
Ma prima di parlare di che cosa sia una polizza cyber risk, cerchiamo nello specifico di comprendere meglio che cosa sia questo tipo di rischio e le minacce effettive che da questo discendono.
Assicurazione e cyber risk: che cosa è
Ad oggi possiamo dire che le minacce che derivano da un attacco informatico, sono considerate quelle in grado di generare i peggiori scenari in grado di impattare in modo più negativo possibile su quella che è l’attività di un’impresa.
Tuttavia, nonostante gli sforzi e le azioni intraprese dalle diverse aziende per fronteggiare questo rischio siano sempre più in aumento, bisogna dire che non esistono ad oggi degli standard che possano definirsi condivisi circa questo rischio né a tutt’oggi si sono fatti degli sforzi volti in qualche modo a quantificare questo tipo rischio.
Ma cerchiamo di vedere che cosa è questo cyber risk e cosa rappresenta. Per questo ci rifacciamo alla definizione formulata dall’Institute of Risk Management, secondo il quale per
“cyber risk o rischio informatico si fa riferimento a qualsiasi rischio di perdita finanziaria, distruzione o danno alla reputazione di un’organizzazione dovuta ad un malfunzionamento del sistema informativo.”
La gravità di questo rischio è stata poi ribadita ulteriormente dal World Economic Forum che non solo come abbiamo detto prima, considera questo tipo di rischio come tra i primi 5 primi cinque scenari di rischio con maggiore probabilità di accadimento, ma rileva anche che questi tipi di rischio si collocano al settimo posto al mondo come gravità di impatto nel loro accadimento.
Ecco perché la gestione di questo rischio non può essere affrontata in modo superficiale ma solo attraverso una strategia mirata e definita, con strumenti che davvero consentano un’adeguata quantificazione e offrano poi la giusta protezione in tal senso.
In effetti una corretta valutazione di questo rischio, non può non considerare che oltre alla tecnologia, concorre al suo verificarsi anche la noncuranza degli stessi dipendenti dell’azienda, sia essa volontaria o meno, alla quale si attribuisce in realtà la principale ragione che rende poi le imprese estremamente esposte agli attacchi informatici.
Se volete approfondire consigliamo la visione del seguente video, tratto dal canale (666) Daniele Stroppiana – YouTube.
Assicurazione cyber risk: la gestione del rischio
Il processo di risk management del cyber risk risulta essere estremamente articolato e molto delicato, in quanto la sua principale funzione è quella di porre in essere un processo che miri a individuare dove il sistema informativo risulti maggiormente vulnerabile, quali siano le minacce che all’azienda derivano da queste vulnerabilità, e quali infine, siano i danni che possano derivare una volta che la sicurezza sia stata violata.
Sostanzialmente un processo di cyber risk management, è caratterizzato dalla presenza di 5 fasi ben precise.
La prima consiste nell’individuare tutte le possibili fonti e gli scenari di cyber risk che possono colpire l’azienda. Una volta individuati, questi rischi vanno classificati e stimati.
Questo accade nella seconda fase dove ogni rischio viene valutato sulla base di due componenti ossia, la probabilità di accadimento, intesa come frequenza con la quale si prevede che tale rischio possa verificarsi, e gravità o impatto, intesa come severità delle conseguenze che derivano dal rischio stesso.
La terza fase è quella della valutazione dei rischi, in cui si procede a confrontare la possibilità che un rischio si verifichi con i criteri di appetibilità che sono stati definiti dall’impresa. Il tutto viene fatto per capire l’importanza di questi rischi sull’organizzazione d’impresa.
La quarta fase invece, si sostanzia nel trattamento e nella mitigazione dei rischi, ossia nella loro pianificazione e nel porre in essere tutte le misure che si ritengono necessarie per fare in modo di modificare le due componenti di rischio nel tentativo di riportarle entro i parametri di sostenibilità aziendale.
Infine l’ultima fase è quella del trasferimento del rischio che comporta il trasferimento dello stesso a terzi soggetti esterni all’azienda, tipicamente compagnie di assicurazione, attraverso la stipula di una vera e propria polizza di cyber risk.
Assicurazione cyber risk: che cosa è
Vediamo quindi ora nel dettaglio che cos’è un’assicurazione di cyber risk che abbiamo detto essere una delle fasi con cui un’azienda, ma anche un singolo individuo, può proteggersi dai rischi informatici.
In effetti, dopo quella che abbiamo definito la fase della mitigazione, all’interno di un’azienda rimane il cosiddetto rischio residuo.
Se questo rischio residuo supera la soglia del cosiddetto risk appetite aziendale ovvero il rischio appetibile aziendale, cioè quella soglia di rischio che l’azienda ritiene congrua ritenere, può decidere di ricorrere ad un terzo soggetto tipicamente, una compagnia di assicurazione stipulando una polizza cyber risk, il cui oggetto consiste proprio nel trasferimento di questo rischio residuo.
Sostanzialmente un’assicurazione cyber risk è una polizza che protegge sia le aziende che i professionisti, dal rischio informatico e prevede una serie di differenti garanzie.
In effetti tale polizza può prevedere:
– il risarcimento di danni verso terzi quando si rilevi la responsabilità dell’assicurato a seguito di violazioni delle norme in materia di dati personali e allora si parla di Cyber Privacy, oppure qualora ci siano state violazioni della sicurezza informatica e allora si parla di Cyber Security;
– l’indennizzo dell’assicurato stesso quando questo sia stato vittima di attacchi informatici, Cyber Attack, per i quali abbia riportato dei danni;
– un servizio di assistenza continuo per la gestione delle eventuali emergenze.
Assicurazione cyber risk: a chi si rivolge
Fondamentalmente possono stipulare una polizza di questo tipo, tutte le imprese (micro, piccole e medie) che svolgano attività commerciale di servizio o attività produttiva, così come possono stipulare questa polizza tutti i professionisti, gli studi e le associazioni professionali.
Assicurazione cyber risk: rischi coperti
Diversi sono i rischi che copre questo tipo di polizza, li abbiamo in effetti già in parte delineati nella definizione della polizza stessa. Nello specifico una polizza cyber risk va a coprire la responsabilità civile che derivi da violazione della rete o dalla normativa in materia di protezione dei dati personali.
Sono altresì oggetto di copertura, anche tutte le spese che la violazione di queste norme comportano.
Questa assicurazione copre anche la responsabilità civile che si genera a seguito della raccolta non autorizzata di dati non seguito dall’invio dell’adeguata informativa; copre le spese che si devono sostenere per poter rispristinare i dati elettronici e l’accesso al sistema informatico a seguito della violazione avvvenuta, infine ovviamente, va a risarcire tutti i danni all’assicurato stesso.
Queste sono tutte le cosiddette coperture standard di questa polizza cui si possono sempre aggiungere altre coperture di tipo opzionali connesse a differenti situazioni.
Assicurazione cyber crime: garanzie opzionali
Ci sono garanzie opzionali che si ricollegano all’attività multimediale, ai danni da interruzione di attività, all’indisponibilità del sistema, ai danni reputazionali, al crimine informatico e al telephone hacking, al Payment Card Industry, PCI, e al Data Security Standard, DSS.
In relazione all’attività multimediale, se c’è stata divulgazione di testi o di immagini video o audio tramite pagine web, social media, oppure tramite e-mail da parte dell’assicurato, le garanzie accessorie comprendono diversi tipi di risarcimento danni a terzi, che possono essere per diffamazione, per violazione della proprietà intellettuale e per violazione o interferenza nel diritto alla privacy.
Se a seguito di un attacco informatico si è avuta invece, una interruzione dell’attività, la garanzia accessoria si sostanzia nel pagamento di un indennizzo all’assicurato che avviene come diaria giornaliera, corrisposta per ogni giorno di inattività totale o parziale.
Se dall’attacco informatico sia derivata invece un’indisponibilità del sistema informatico, la garanzia accessoria è rappresentata dal rimborso di tutte le spese che si rendono necessarie per recuperare o sostituire i dati elettronici e del software che sono andati persi o danneggiati, oltre ovviamente al risarcimento dei danni per l’assicurata a seguito del danno economico che questa situazione gli ha comportato.
Da un crimine informatico però, possono derivare anche danni reputazionali e questo accade quando qualcuno pubblica un evento assicurato su i mezzi di informazione con finalità denigratorie, diffamatorie verso l’assicurato.
In tal caso la garanzia accessoria ovviamente, prevede il risarcimento dei danni causati per questo all’assicurato, ivi compreso il rimborso di tutte le spese che lo stesso sostiene per proteggere la sua immagine e reputazione.
Se poi attraverso l’attacco informatico siano stati sottratti in modo illegale e con trasferimento elettronico dei dati all’assicurato, questo ovviamente riceverà un congruo indennizzo.
Nello specifico il trasferimento elettronico comporta che questi dati vengano hackerati con l’accesso non consentito a conti bancari dell’assicurato, oppure che ci sia stata un’alterazione dei dati elettronici dell’assicurato in quanto si è riusciti ad entrare nel suo sistema informatico.
Infine si ha un crimine informatico a seguito del trasferimento elettronico dei dati, quando l’assicurato abbia avuto degli addebiti non autorizzati sulla propria bolletta perché qualcuno ha utilizzato in modo illecito, la sua banda larga.
In ultima analisi, ci possono essere tutta una serie di garanzie accessorie quando l’attacco informatico abbia provocato all’azienda una la violazione dello standard PCI-DSS.
In tal caso rientrano nelle garanzie accessorie tutte le indagini che sono compiute dagli esperti per comprendere queste violazioni su dati di carte di credito, debito o prepagate, così come rientra la nuova certificazione PCI-DSS e la relativa nuova emissione delle relative carte.
Assicurazione cyber risk: costo
Alla luce di quanto detto dunque, quantificare il danno e quindi, il relativo costo (premio) di una polizza cyber risk, non è molto semplice e immediato, perché abbiamo visto, comprende la valutazione del costo della copertura base, più il costo delle eventuali coperture accessorie, infine a questo bisogna sempre aggiungere l’aspetto normativo che comprende tutte le questioni relative alla gestione dei dati sia di clienti che di fornitori.
Ovvio che più alto sarà l’impatto di questi aspetti aggiuntivi, tanto maggiore sarà il costo di questa polizza.