I rischi cibernetici assumono progressivo rilievo tra i rischi d’impresa e sono perciò oggetto di crescente attenzione da parte del legislatore nazionale ed europeo. Tuttavia, l’assenza allo stato di criteri di misurabilità oggettivi con cui valutare economicamente il rischio, a cui si accompagna ancora poca consapevolezza degli operatori economici, induce a ritenere che i tempi non siano ancora maturi per delineare un efficiente regime di assicurabilità dei cyber risks.

SOMMARIO:

1. Il rischio cibernetico nel settore assicurativo: il problema della misurabilità del rischio - 2. Il sistema delle fonti. Il ruolo delle Autorità - 3. Lo stato dell’arte in Italia - 4. La non assicurabilità del cyber risk. Nuove prospettive - NOTE

1. Il rischio cibernetico nel settore assicurativo: il problema della misurabilità del rischio

La tecnologia, sebbene indubbiamente migliori e semplifichi lo svolgimento delle attività produttive, determina altresì nuove forme di vulnerabilità [1] che per gli operatori economici possono comportare danni irreparabili [2]. Fra questi rischi, particolarmente evidente è il cyber risk. Il rischio cibernetico rientra tra i rischi operativi e costituisce uno di quelli più temuti dalle imprese [3]. Si consideri che il danno medio derivante da un incidente cyber negli USA viene stimato intorno ai 7 milioni di euro per un massimo di 638 milioni [4]; in Italia questa cifra si riduce a 2 milioni di euro, ma esso è aumentato del 70% rispetto al 2014. Il tema del rischio cibernetico è, dunque, ampiamente discusso e costituisce oggetto di interesse, ad esempio, anche per Banca d’Italia. Nella relazione sulla stabilità del 2021, l’Autorità ha sottolineato come la diffusione delle nuove tecnologie all’interno del sistema informatico non abbia fatto emergere solamente opportunità di innovazione e benefici in termini di efficienza, ma anche rischi connessi agli attacchi informatici. Ne consegue che la consapevolezza in merito a questi nuovi rischi e la loro integrazione nel sistema di governo è fondamentale per evitare ricadute sulla stabilità dei mercati. Non è questa la sede per approfondire il tema sotto il profilo della regolamentazione del rischio cibernetico in termini di compliance, volendosi qui solo procedere ad una lettura del tema dall’angolo visuale dell’assicurabilità di questi rischi da parte delle imprese. A tal fine, considerando le peculiarità sottese al settore assicurativo, si deve in primo luogo delimitarne il perimetro di applicazione, comprendendo cosa si intende per rischio cibernetico nel settore assicurativo. L’assicurazione da cyber risk è una delle forme di prevenzione e di contenimento del rischio informatico, sebbene si tratti di un mercato ancora poco sviluppato, non tanto per la limitata disponibilità dei prodotti assicurativi – come avremo modo di vedere, infatti, numerose imprese assicurative predispongono polizze specifiche – ma in quanto i clienti non comprendono ancora pienamente il valore di una copertura assicurativa, perché non sono consapevoli della loro esposizione al rischio e dei danni che un attacco informatico, ad esempio, [continua ..]

2. Il sistema delle fonti. Il ruolo delle Autorità

L’aumento esponenziale degli attacchi informatici e la maggiore consapevolezza sulla gravità delle conseguenze a danno delle imprese e dello Stato rendono la produzione normativa in materia di cybersecurity piuttosto cospicua. In proposito, si ricordi che il 15 settembre 2022, la Commissione europea ha adottato la proposta di Regolamento relativo alle norme in materia di cybersicurezza per i prodotti digitali e i servizi ausiliari, il c.d. Cyber Resilience Act; non si dimentichi, poi, il Regolamento 2019/881 [6], volto a dare una risposta ai crescenti attacchi informatici [7]. Il 10 novembre 2022 il Parlamento Europeo ha approvato la c.d. direttiva NIS 2 (Network and Information System Security), mentre in Italia la normativa di riferimento in materia di sicurezza dei dati è rappresentata dalla legge 4 agosto 2021, n. 109 recante disposizioni urgenti in materia di cybersicurezza, definizione dell’archi­tettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale, che ha recepito la direttiva 2016/1148/UE, c.d. direttiva NIS (Network and Information Security) con la quale la Commissione aveva gettato le prime basi per disciplinare gli aspetti essenziali della cybersecurity con l’obiettivo di realizzare un ecosistema di fiducia [8]. Nello specifico, l’importanza della tecnologia dell’infor­mazione e della comunicazione è stata messa a fuoco a seguito dell’evento pandemico, che ha provocato un’accelerazione nell’uso delle tecnologie, dimostrando come esso sia terreno di sfide tra rischi e opportunità. L’obiettivo della direttiva NIS era di garantire un quadro che tenesse conto dei rischi per la sicurezza informatica prevedendo una serie di principi comuni ad esempio in materia di sicurezza dei dati, di requisiti minimi di sicurezza e di estensione del concetto di gestione del rischio. Molto più limitata è invece la normativa relativa al profilo specifico dell’as­sicurabilità da rischio informatico. Il tema dell’assicurabilità costituisce profilo di interesse del Regolamento DORA (Digital Operational Resilience Act [9]) approvato lo scorso 10 novembre dal Parlamento Europeo, dopo la direttiva NIS 2 e il Regolamento MiCA [10], che ha però un ambito di applicazione soggettivo limitato agli operatori finanziari. Vale tuttavia la pena di considerarlo nella [continua ..]

3. Lo stato dell’arte in Italia

A questo punto della ricognizione, può essere interessante verificare come le imprese affrontano il problema della assicurabilità dei rischi cibernetici. Lo stato dell’arte dimostra che sono davvero poche le imprese che hanno stipulato polizze assicurative che riguardino questa tipologia di rischio: si pensi che soltanto il 5-10% delle piccole-medie imprese ha polizze di questo tipo. Sebbene, infatti, l’interesse verso il cyber risk sia notevolmente aumentato negli ultimi anni, a questa crescita non si è accompagnata in realtà una vera e propria regolamentazione [18]. Il rischio cibernetico, invero, è ancora sottovalutato e l’intento delle compagnie assicurative al momento sembra essere quello di realizzare una polizza completamente nuova, priva di qualsiasi elemento che tradizionalmente caratterizza le assicurazioni. È indubbio che la realizzazione di una polizza assicurativa che tenga conto delle esigenze dei clienti e dei repentini mutamenti che contraddistinguono l’evoluzione tecnologica non sia affatto semplice; anche perché la materia richiede, inevitabilmente, delle conoscenze specialistiche rispetto alle quali è estremamente difficile ricorrere a una casistica di riferimento. L’esigenza di far fronte alle diverse necessità dei clienti costituisce un tratto saliente della politica di Zurich Insurance, la cui offerta muove da un’assicu­razione generale per far poi fronte ad eventuali esigenze specifiche. L’assicura­zione generale si basa su tre elementi essenziali: a) le richieste di risarcimento da parte dei terzi quando, ad esempio, dati personali o aziendali vengono pubblicati o vanno persi; b) una forma di responsabilità civile, che riguarda anche i fornitori di servizi esterni; c) l’assunzione di spese processuali e di difesa. È inclusa inoltre la copertura delle spese per le notifiche scritte previste ai clienti, per gli oneri derivanti dalla ricostruzione di dati persi o danneggiati e delle perdite di fatturato [19]. L’impostazione è dunque “classica”, ma la possibilità di incrementare la protezione con coperture cyber ritagliate sulle specificità dell’impresa assicurata è in via di definizione. Anche l’assicurazione fornita da Allianz prevede una copertura assicurativa per il caso di perdite derivanti dalla business interruption e una [continua ..]

4. La non assicurabilità del cyber risk. Nuove prospettive

In merito all’assicurabilità del cyber risk, di particolare interesse appaiono le parole recentemente formulate dal Direttore esecutivo di EIOPA [28], il quale ha sottolineato l’importanza dei dati e del modo in cui essi vengono trattati, considerando che il settore assicurativo si basa proprio sul loro trattamento. I dati personali consentono all’impresa assicurativa di offrire al consumatore ciò di cui egli ha bisogno ad un prezzo corretto, garantendo un vantaggio per entrambi; ne consegue che più ampia sarà la scelta, minori saranno i costi e maggiore sarà la propensione del consumatore a condividere i dati. Il fatto che il settore assicurativo sia alimentato dai dati personali può però comportare conseguenze negative, non solo nel momento in cui dati non vengono utilizzati in modo corretto o etico, ma quando, proprio in virtù della profilazione effettuata sui dati, le persone si trovano escluse dall’assicurazione, venendo considerate non assicurabili. Ma questa “non assicurabilità” può derivare anche da un altro fattore. Sebbene, infatti, le imprese assicurative stiano facendo il possibile per tutelare gli operatori economici dal cyber risk, un monito preoccupante arriva dal CEO di Zurich Insurance, il quale avverte che i cyberattacchi potrebbero rivelarsi non assicurabili [29]. Le considerazioni da fare non riguardano, infatti, soltanto l’utilizzo improprio di dati personali: il data breach può determinare per le infrastrutture danni ben più gravi. Si pensi ad un attacco hacker che mandi in tilt un ospedale [30]. Gli attacchi informatici sono sempre più gravi e sofisticati, gli hacker utilizzano tecniche ogni giorno più evolute; a ciò si aggiunga la diffusione dei ransomware, che ha abbassato le barriere di ingresso per i criminali informatici: la crescente digitalizzazione delle infrastrutture le rende vulnerabili, considerando le potenziali interruzioni di servizi essenziali come fornitura di acqua, energia o connessione ad Internet. Secondo il manager di Zurich, il problema risiede nel fatto che, proprio in virtù dell’aumento degli attacchi informatici, le imprese assicuratrici hanno modificato le loro polizze in modo da spostare sui clienti il maggior rischio. Anche lo studio svolto da Swiss Re evidenzia la necessità di un nuovo approccio da parte delle imprese [continua ..]

NOTE