Il Blog di Know How

Soluzioni per imprese e privati
Blog / Polizze assicurative per i reati informatici a danno delle aziende

Polizze assicurative per i reati informatici a danno delle aziende

Polizze assicurative per i reati informatici a danno delle aziende

Se per la tua azienda temi la possibilità di un attacco o vorresti comunque predisporre degli adeguati strumenti di prevenzione, questo articolo ti illustrerà in dettaglio il funzionamento delle polizze cyber-risk.



In un mondo sempre più interconnesso grazie alle piattaforme digitali, i rischi che le aziende devono affrontare nel campo della cyber security sono sempre più urgenti. È per questo che, ora più che in passato, è diventato centralissimo il fenomeno delle polizze assicurative che coprono i danni derivanti da reati informatici o altre tipologie di cyber rischi.  

Reati informatici e aziende: il così detto Cyber risk

Sono di un certo effetto le parole di Robert Mueller, ex direttore dell’FBI e noto alla cronaca per lo scandalo Russiagate: secondo le sue dichiarazioni "Ci sono solo due tipi di aziende: quelle che sono state attaccate e quelle che devono ancora esserlo". In effetti, il fenomeno dell’invasione informatica e del furto di dati è ormai ampiamente conosciuto dalle imprese e dagli stessi Stati, che sempre più spesso approntano strumenti di difesa per interessi pubblici, aziendali e privati.

Leggi anche >>> Il framework nazionale per la cyber sicurezza delle aziende

Reati informatici preoccupano più di quelli tradizionali

Ciò si deve essenzialmente all’aumento delle minacce cibernetiche da parte di nazioni straniere o da gruppi di hacker, eventi che hanno come conseguenza un gran numero di danni potenziali sulla stabilità finanziaria delle imprese e sulla loro immagine nei confronti del pubblico. Tutto ciò si rivela anche dalle indagini statistiche compiute su campioni di imprenditori italiani, che hanno rivelato di essere, ad oggi, più preoccupati dai rischi informatici che da quelli tradizionali, come incendi e catastrofi naturali.

Il ruolo delle compagnie assicurative

È in questo frangente che si spiega agevolmente la nascita delle polizze assicurative per i reati informatici a danno delle aziende: se si verificano cyber rischi, infatti, le conseguenze sull’impresa sono molto pesanti. Si va dalla diffusione di dati sensibili ai problemi con i clienti, soprattutto per quanto concerne la privacy, senza contare il furto di brevetti e prodotti coperti da copyright e una vera e propria interruzione dell’attività. Il problema, non è tanto se la tua azienda subirà un attacco, ma quando: con conseguenze solo in parte immaginabili e che ti espongono ad ulteriori spese, per contattare esperti informatici al fine di capire la situazione, per ripristinare i dati violati e per gestire la crisi.

Ma quanto valgono i dati?

Ecco che, in questo terreno, gli assicuratori hanno trovato terreno fertile per introdurre un nuovo modello di business, trasformando le tradizionali polizze RC professionali in prodotti per la gestione del cyber-risk, realizzati su misura per le imprese. Senza che, tuttavia, si possano ignorare attualmente alcune criticità che rendono molto difficile applicare il tradizionale modello di gestione del rischio alla sicurezza informatica. Sono ancora una volta i dati, infatti, ad evidenziare come la rapida evoluzione dei fenomeni concernenti i reati informatici in danno alle aziende rappresentino un ostacolo alla concreta assicurabilità dei rischi cyber. Senza contare il fatto che è molto difficile quantificare il valore dei dati infettati in seguito ad un attacco, cosa che rende complessa la stima del rischio da assicurare.

Maggior prevenzione, minor premio

È per questo che i prodotti più evoluti per la copertura dei rischi informatici aziendali prevedono un modello binario, in cui, accanto alla definizione di un’accurata mappatura dei rischi aziendali e all’introduzione di apposite misure di contenimento del cyber-risk, si individuano i così detti "rischi residui", che permettono di ridurre il premio in misura proporzionale alla riduzione del rischio dovuta all’adozione di quelle specifiche misure di prevenzione.

Facciamo un esempio

Per chiarire, immagina che la tua azienda voglia assicurare il proprio patrimonio di dati concernenti clienti e fornitori: come si quantificherebbe il valore di questo bene e come, di conseguenza, verrebbe ad essere calcolato il rischio da assicurare e il premio da versare alla compagnia? Grazie alle innovative polizze assicurative per la gestione del cyber-risk, si individuano insieme all’assicuratore tutte le misure che possono costituire argine al rischio informatico, riducendo in misura proporzionale il "valore" del rischio e addebitando alla compagnia solo l’eventuale intervento ulteriore (che, naturalmente, sconterai attraverso il pagamento di un certo premio assicurativo).

Polizze per la gestione del cyber risk

Come abbiamo visto, i contratti di assicurazione possono rappresentare una duplice risposta all’esigenza di protezione delle aziende rispetto ai reati informatici: da un lato, infatti, si propone una tradizionale copertura assicurativa in grado di far fronte al danno economico subito; dall’altro, si affiancano strumenti di gestione del rischio e l’implementazione di sistemi di prevenzione.

Mappare il cyber risk

Ciò si rende necessario, come già anticipato, perché il rischio cibernetico – in considerazione delle sue peculiari caratteristiche – non può essere valorizzato nel momento in cui ha prodotto un danno concreto: ciò anche perché, spesso, un attacco dà luogo ad una catena ulteriore di danni e perdite per l’azienda. Ecco perché la semplice compensazione pecuniaria, tipica dell’indennizzo assicurativo nei prodotti tradizionali (come le polizze sulla responsabilità professionale), deve essere accompagnata da specifiche misure di mappatura del cyber risk e di individuazione delle misure di contenimento e prevenzione più adeguate alla specifica realtà aziendale.

L’importanza del questionario

Sotto questo profilo, più di quanto avviene nei contratti di assicurazione tradizionali, un momento fondamentale è quello della compilazione del questionario sottoposto all’azienda dall’assicuratore. Infatti, tenendo conto della particolarità dei rischi informatici e della loro difficile classificazione (a causa, anche, della diversa incidenza sulle differenti peculiarità dell’impresa interessata), è il momento delle informazioni pre-contrattuali quello in cui andare a definire in concreto l’ambito di copertura della polizza per reati informatici.

Coperture assicurative del cyber-risk

Finora ci siamo mossi su un terreno pressoché astratto, utile per farti comprendere il contesto in cui può sorgere la necessità di sottoscrivere una polizza assicurativa aziendale per la protezione contro il rischio cibernetico. Ma, in concreto, quali possono essere i rischi che corre la tua azienda e, di conseguenza, quali coperture è in grado di offrire una polizza del genere?

L'anello debole

Volendo esemplificare per chiarire il discorso, possiamo individuare gli ambiti aziendali che più frequentemente possono essere colpiti a causa di un attacco informatico:

-       la violazione dei dati personali o delle informazioni riservate di terzi che gestisce e possiede l’azienda (cd. privacy liability), o, più in generale, la violazione involontaria delle norme concernenti la privacy;

-       la violazione della rete aziendale e l’infiltrazione all’interno dei software di gestione della stessa per captare dati patrimoniali e simili (cd. network security liability);

-       la violazione del copyright nell’ambito della protezione dei servizi multimediali connessi all’impresa (cd. media liability);

-       la diffamazione, l’oltraggio e il plagio consumati su Internet;

-       le estorsioni informatiche e ogni altra forma di cyber extortion;

-       il furto di denaro, valori, merci e di altri beni tramite frodi informatiche effettuate all’interno o all’esterno dell’azienda (cd. cyber crime);

-       per finire con gli eventi più gravi, come la completa e irrimediabile perdita dei dati gestionali e patrimoniali dell’azienda (data asset loss) o l’interruzione dell’attività a causa del blocco degli strumenti di controllo dei macchinari e simili.

Leggi anche >>> Web scraping e privacy: due diverse sentenze per fare chiarezza

L’offerta assicurativa

Se questi sono i rischi, le offerte assicurative possono modularsi essenzialmente i due differenti vesti:

-       tramite coperture assicurative che coprono il rischio del danno patrimoniale dipendente dalla responsabilità civile (in questo caso, dunque, la copertura può includere la previsione di un indennizzo per il "danno residuo" e/o attività di assistenza nel caso di attacco informatico, come l’intervento di un perito per ripristinare il sistema in caso di violazione);

-       tramite coperture tradizionali (quali polizze danni e incendio o di business interruption, rc professionale o per prodotti difettosi, polizze per la responsabilità di amministratori e dirigenti) all’interno delle cui condizioni si prevedono clausole specifiche relative alla copertura del cyber-risk.

I servizi di prevenzione sul rischio informatico

Come più volte ribadito, la copertura assicurativa per reati informatici a danno delle aziende non può limitarsi alla previsione di una compensazione economica per il danno occorso, posto che non soltanto può esserne difficile la quantificazione, ma anche perché andare ad individuare lo specifico sinistro e le sue conseguenze può essere complicato.

L’obbligo di una consulenza specifica

Per questo, le polizze assicurative sul cyber-risk solitamente prevedono sia l’onere, in capo all’azienda, di predisporre apposite misure di prevenzione per il rischio informatico, sia un obbligo di assistenza e fornitura di consulenza specifica in capo alla compagnia assicurativa. Sotto questo profilo, la prevenzione di violazioni nel cyberspazio avviene essenzialmente in due passaggi:

-       la verifica preventiva della sicurezza tecnico-informatica, che consiste nel test della vulnerabilità dei sistemi informatici attraverso la ricerca dei punti deboli o degli elementi più appetibili in caso di attacco o tentativo di intrusione, fino ad arrivare a vere e propri simulazioni di attacco nei confronti del sito aziendale o di un’applicazione software in uso presso l’impresa;

-       la programmazione e la pianificazione delle azioni che occorre intraprendere per eliminare tutti i fattori di rischio evidenziati.

Redigere il codice di condotta

Da questo punto di vista, gli interventi di prevenzione possono passare anche attraverso la redazione di codici di condotta per il personale, nonché per la formazione specifica dei dipendenti (tenendo conto delle effettive esigenze della tua azienda), nonché tramite il monitoraggio sul rispetto delle linee guida e sugli strumenti di protezione adottati. L’installazione di questi sistemi (fisici o digitali che siano) permette di ridurre il rischio: ecco dunque che il "rischio residuo", non eliminabile attraverso la diligenza dell’impresa o l’assistenza fornita dall’assicuratore, sarà oggetto di copertura (con conseguente riduzione del premio.

Hai altro da chiedere?

Se desideri altre informazioni o un chiarimento sull'argomento di questo articolo, clicca su FAI LA TUA DOMANDA per inviare un tuo quesito. Non è richiesta alcuna registrazione. Riceverai la tua risposta, personalizzata, direttamente nella casella di posta.





L'autore
  • NicolaDAlleva.jpg
    Consulente Assicurativo  Reply

    Soluzioni assicurative su misura, per supportare imprese e privati attraverso un approccio personalizzato e strutturato sulle specifiche esigenze, con lo scopo di aiutare i clienti nella gestione dei rischi.

Fai la tua domanda