Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Cyber insurance: cosa emerge dal confronto tra operatori

pittogramma Zerouno

Prospettive

Cyber insurance: cosa emerge dal confronto tra operatori

Il settore della cyber insurance per la gestione del rischio residuo raccoglie crescente interesse anche in Italia. Una grande azienda su tre fa ormai ricorso a pacchetti, dedicati o generalisti, che coprono il rischio cyber, ma rimangono non poche criticità a ostacolare lo sviluppo del mercato

10 Giu 2019

di Giuseppe Aliverti

Tra i new business generati dell’economia digitale più dinamici nei prossimi anni, c’è senz’altro anche quello delle polizze di cyber insurance. Con una polizza di cyber insurance si può, per esempio, coprire il mancato guadagno derivante dall’interruzione di un’attività, gli eventuali costi di consulenza nella gestione della crisi, le spese legali, i danni causati da estorsione e quelli causati a terzi a seguito di una perdita di dati.

Figura 1 – La valutazione del rischio cyberFonte: Osservatorio Security & Privacy 2019

Secondo i dati della Survey 2018 dell’Osservatorio Information Security & Privacy, promosso dalla School of Management del Politecnico di Milano, le imprese italiane che hanno già fatto ricorso a coperture assicurative di trasferimento del rischio cyber sono un terzo del campione (contro il 27% del 2017), suddivise tra chi ha optato per polizze completamente dedicate al cyber risk (18%) e chi, invece, ha scelto coperture generaliste che coprono in parte anche il rischio cyber (15%).

Figura 2 – Le polizze per trasferire il rischio cyberFonte: Osservatorio Security & Privacy 2019

Il catalogo e la valutazione dei rischi cyber

“In molte imprese – ha ricordato Alessandro De Felice Chief Risk Officer di Prysmian e presidente dell’Anra-Associazione nazionale risk manager, nel corso della presentazione della survey –, le aree di vulnerabilità o di scarsa implementazione d’investimenti e/o di formazione per la sicurezza informatica derivano spesso da una mancanza d’integrazione delle tematiche dell’IT e della cyber security in un più ampio discorso di Governance Risk and Compliance, che dovrebbe costituire un approccio integrato olistico aziendale, in cui si mettono assieme il governo e la gestione del rischio e la conformità alla normativa per raggiungere un allineamento strategico dei processi e delle tecnologie”.

I dati dell’Osservatorio in tema di cyber insurance sono piuttosto preoccupanti: non solo più della metà delle aziende non è in grado di realizzare il catalogo dei rischi e, quindi, la loro valutazione, ma anche tra quelle che sanno ipotizzare tali scenari, il 64% dichiara di non saperne quantificare l’impatto economico. “Ma anche quando leggo che circa il 33% delle aziende intervistate ha stipulato un’assicurazione specifica o parziale rispetto ai rischi cyber, mi preoccupo – ha aggiunto il manager – perché vorrei conoscere meglio la qualità, l’efficienza e l’efficacia di queste coperture assicurative in relazione alle aree di rischio ed esposizione finanziaria di quelle aziende. Se il 64% di queste aziende non si considera capace di quantificare gli impatti economici dei rischi da cyber, come fa a finanziarli e a trasferirli mediante lo strumento assicurativo? Oltretutto, a parte le dovute eccezioni, nella stragrande maggioranza il panorama assicurativo si rivela ancora piuttosto desolante sotto il profilo delle competenze tecniche specifiche, soprattutto nel caso delle PMI. Ma anche per le grandi aziende, soprattutto quei gruppi prettamente b2c attivi in ambito finanziario-bancario o nel commercio online, con una gestione dei dati della propria clientela piuttosto complessi, possono avere esposizioni che anche quando sono quantificate finanziariamente, il mercato assicurativo poi non è in grado di coprire. Per cui, anche laddove una copertura tailor made si rivelasse efficace, non ci sarebbe poi comunque la capacità finanziaria per far fronte a un rischio di natura catastrofale, laddove le aziende che hanno una gestione integrata del rischio si rivolgono al mercato assicurativo proprio per gestire la parte residuale che va al fuori della propria capacità di assunzione e di autofinanziamento del rischio”.

Servono più trasparenza nelle polizze e più competenza dei broker

Anche sul fronte dell’offerta di soluzioni emergono delle criticità: il 19% delle imprese lamenta la poca trasparenza nella definizione esatta dei danni coperti dalle polizze assicurative cyber e un altro 19% denuncia una scarsa competenza in campo tecnico da parte degli assicuratori/broker.

Figura 3 – Gli ostacoli allo sviluppo del mercato assicurativo Fonte: Osservatorio Security & Privacy 2019

“La copertura dei rischi cyber in campo assicurativo ha messo in moto un mercato molto dinamico – ha confermato Andrea Bonerba, senior manager di Spike Reply –, sia sul fronte della domanda da parte delle aziende sia su quello dell’offerta di nuovi prodotti da parte dei gruppi assicurativi: serve, in tal senso, una forte collaborazione tra il mondo IT, quello della cyber security e quelli della risk governance e delle assicurazioni. Le grandi imprese, le PMI e le società assicurative stesse si stanno avvicinando a questo mercato in maniera molto diversa. Nelle PMI il problema può essere quello di arrivare a considerare la copertura assicurativa come la panacea di tutti i mali. Per le corporate più strutturate, invece, risulta ancora difficile capire la quantificazione economica di questo genere di rischi, ed emerge la richiesta alle società di consulenza di portare il problema della sicurezza e del rischio IT al livello del board, in collaborazione con chi si occupa di risk management in azienda. Nelle società d’assicurazione, infine, si sta lavorando alla definizione dei possibili rischi e dei pacchetti assicurativi: il livello di copertura non può essere paragonato a quello che può essere l’effettivo rischio, perciò bisogna andare a definire nei dettagli cosa copre e cosa no una polizza d’assicurazione, al di là che offra una copertura dedicata o aggiuntiva all’interno di una più ampia e generica. Le società d’assicurazione, quindi, stanno cercando di approcciare il tema non solo sulla copertura economica dei rischi, dai data breach al furto dei dati aziendali e/o personali, ma anche sulla fornitura di servizi e di supporto tecnico che possono offrire alle aziende in caso di un eventuale incidente.

Uno strumento di mitigazione del rischio

“Un prodotto assicurativo cyber – ha precisato Niccolò Magnani, cyber team leader financial & professional risks-Finpro di Marsh – poggia su tre pilastri: confidenzialità, integrità e disponibilità del sistema informatico. Sul fronte della gestione e della quantificazione, si tratta di un rischio nuovo e diverso rispetto alle tipologie più classiche: va quindi gestito in maniera differente, e trasversalmente in relazione alla grandezza dell’azienda, alla sua tipologia e al settore in cui opera. Oggi l’intermediario assicurativo arriva a valutare insieme al cliente il trasferimento del rischio: ma prima va fatto un lavoro importante di analisi di risk assessment volto alla mitigazione del rischio, per poi andare a strutturare un prodotto assicurativo ben diverso rispetto all’assicurazione a cui fino ad oggi siamo abituati. Né, poi, l’assicurazione del rischio cyber va messa nel cassetto senza neppure sapere cosa va a coprire, ma va proceduralizzata all’interno dei processi e delle attività di gestione del rischio in azienda. Se un’impresa utilizza l’assicurazione nel momento più corretto di risk management, può diventare un ulteriore strumento di mitigazione del rischio, che le evita di arrivare alla massima esposizione in caso di evento cyber. Va cambiato, insomma, l’approccio nei confronti dell’assicurazione e del suo utilizzo: e difatti sono sempre di più le aziende arrivate a stipulare polizze assicurative, sia a livello globale che europeo e italiano, anche in termini di raccolta dei premi che sottoscrivono per questo tipo di copertura. Nel caso delle PMI, che costituiscono una parte preponderante dell’economia italiana, bisogna infine passare da una visione della polizza cyber come mero strumento di trasferimento del rischio a una di mitigazione: un buon prodotto assicurativo va strutturato anche con una serie di consulenti esterni precontrattualizzati in polizza, che la piccola azienda può contattare nel momento in cui avviene l’evento cyber e nel successivo processo di gestione”.

Giuseppe Aliverti

Giornalista

Giornalista professionista dal 1991, è entrato nel mondo dei computer nel 1983 per colpa di un Commodore 64. Da allora non ha smesso di smanettare su tastiere e mouse per occuparsi degli universi paralleli del marketing, delle indagini e rilevazioni dei consumi nel mass market e delle nuove frontiere dell'economia, della produzione industriale e della comunicazione digitale.

Argomenti trattati

Approfondimenti

D
Data Protection
D
data security
Cyber insurance: cosa emerge dal confronto tra operatori

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 4