home / Archivio / Fascicolo / L'assicurabilità del rischio cibernetico
indietro stampa articolo indice fascicolo leggi articolo leggi fascicolo
L'assicurabilità del rischio cibernetico
Maddalena Rabitti, Ordinario di Diritto dell’economia presso l’Università degli Studi Roma Tre – Susanna Sandulli, Ricercatrice in Diritto privato presso l’Università degli Studi Roma Tre
I rischi cibernetici assumono progressivo rilievo tra i rischi d’impresa e sono perciò oggetto di crescente attenzione da parte del legislatore nazionale ed europeo. Tuttavia, l’assenza allo stato di criteri di misurabilità oggettivi con cui valutare economicamente il rischio, a cui si accompagna ancora poca consapevolezza degli operatori economici, induce a ritenere che i tempi non siano ancora maturi per delineare un efficiente regime di assicurabilità dei cyber risks.
Cyber risks are becoming increasingly important among business risks and are therefore receiving increasing attention by national and European legislators. However, the absence of objective measurability criteria in order to assess the risk economically, which is still accompanied by little awareness of economic operators, suggests that the time is not yet ripe to develop an efficient cyber risk insurance regime.
Keywords: Insurability – business risk – ICT – cybersecurity.
Articoli Correlati: coperture assicurative rischio cybernetico - rischio cybernetico nel regolamento gdp - cyber risk - rischio di impresa
Sommario:
1. Il rischio cibernetico nel settore assicurativo: il problema della misurabilità del rischio - 2. Il sistema delle fonti. Il ruolo delle Autorità - 3. Lo stato dell’arte in Italia - 4. La non assicurabilità del cyber risk. Nuove prospettive - NOTE
1. Il rischio cibernetico nel settore assicurativo: il problema della misurabilità del rischio
La tecnologia, sebbene indubbiamente migliori e semplifichi lo svolgimento delle attività produttive, determina altresì nuove forme di vulnerabilità [1] che per gli operatori economici possono comportare danni irreparabili [2]. Fra questi rischi, particolarmente evidente è il cyber risk. Il rischio cibernetico rientra tra i rischi operativi e costituisce uno di quelli più temuti dalle imprese [3]. Si consideri che il danno medio derivante da un incidente cyber negli USA viene stimato intorno ai 7 milioni di euro per un massimo di 638 milioni [4]; in Italia questa cifra si riduce a 2 milioni di euro, ma esso è aumentato del 70% rispetto al 2014. Il tema del rischio cibernetico è, dunque, ampiamente discusso e costituisce oggetto di interesse, ad esempio, anche per Banca d’Italia. Nella relazione sulla stabilità del 2021, l’Autorità ha sottolineato come la diffusione delle nuove tecnologie all’interno del sistema informatico non abbia fatto emergere solamente opportunità di innovazione e benefici in termini di efficienza, ma anche rischi connessi agli attacchi informatici. Ne consegue che la consapevolezza in merito a questi nuovi rischi e la loro integrazione nel sistema di governo è fondamentale per evitare ricadute sulla stabilità dei mercati. Non è questa la sede per approfondire il tema sotto il profilo della regolamentazione del rischio [continua ..]
» Per l'intero contenuto effettuare il login inizio
2. Il sistema delle fonti. Il ruolo delle Autorità
L’aumento esponenziale degli attacchi informatici e la maggiore consapevolezza sulla gravità delle conseguenze a danno delle imprese e dello Stato rendono la produzione normativa in materia di cybersecurity piuttosto cospicua. In proposito, si ricordi che il 15 settembre 2022, la Commissione europea ha adottato la proposta di Regolamento relativo alle norme in materia di cybersicurezza per i prodotti digitali e i servizi ausiliari, il c.d. Cyber Resilience Act; non si dimentichi, poi, il Regolamento 2019/881 [6], volto a dare una risposta ai crescenti attacchi informatici [7]. Il 10 novembre 2022 il Parlamento Europeo ha approvato la c.d. direttiva NIS 2 (Network and Information System Security), mentre in Italia la normativa di riferimento in materia di sicurezza dei dati è rappresentata dalla legge 4 agosto 2021, n. 109 recante disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale, che ha recepito la direttiva 2016/1148/UE, c.d. direttiva NIS (Network and Information Security) con la quale la Commissione aveva gettato le prime basi per disciplinare gli aspetti essenziali della cybersecurity con l’obiettivo di realizzare un ecosistema di fiducia [8]. Nello specifico, l’importanza della tecnologia dell’informazione e della comunicazione è stata messa a fuoco a seguito [continua ..]
» Per l'intero contenuto effettuare il login inizio
3. Lo stato dell’arte in Italia
A questo punto della ricognizione, può essere interessante verificare come le imprese affrontano il problema della assicurabilità dei rischi cibernetici. Lo stato dell’arte dimostra che sono davvero poche le imprese che hanno stipulato polizze assicurative che riguardino questa tipologia di rischio: si pensi che soltanto il 5-10% delle piccole-medie imprese ha polizze di questo tipo. Sebbene, infatti, l’interesse verso il cyber risk sia notevolmente aumentato negli ultimi anni, a questa crescita non si è accompagnata in realtà una vera e propria regolamentazione [18]. Il rischio cibernetico, invero, è ancora sottovalutato e l’intento delle compagnie assicurative al momento sembra essere quello di realizzare una polizza completamente nuova, priva di qualsiasi elemento che tradizionalmente caratterizza le assicurazioni. È indubbio che la realizzazione di una polizza assicurativa che tenga conto delle esigenze dei clienti e dei repentini mutamenti che contraddistinguono l’evoluzione tecnologica non sia affatto semplice; anche perché la materia richiede, inevitabilmente, delle conoscenze specialistiche rispetto alle quali è estremamente difficile ricorrere a una casistica di riferimento. L’esigenza di far fronte alle diverse necessità dei clienti costituisce un tratto saliente della politica di Zurich Insurance, la cui offerta muove da un’assicurazione generale per far [continua ..]
» Per l'intero contenuto effettuare il login inizio
4. La non assicurabilità del cyber risk. Nuove prospettive
In merito all’assicurabilità del cyber risk, di particolare interesse appaiono le parole recentemente formulate dal Direttore esecutivo di EIOPA [28], il quale ha sottolineato l’importanza dei dati e del modo in cui essi vengono trattati, considerando che il settore assicurativo si basa proprio sul loro trattamento. I dati personali consentono all’impresa assicurativa di offrire al consumatore ciò di cui egli ha bisogno ad un prezzo corretto, garantendo un vantaggio per entrambi; ne consegue che più ampia sarà la scelta, minori saranno i costi e maggiore sarà la propensione del consumatore a condividere i dati. Il fatto che il settore assicurativo sia alimentato dai dati personali può però comportare conseguenze negative, non solo nel momento in cui dati non vengono utilizzati in modo corretto o etico, ma quando, proprio in virtù della profilazione effettuata sui dati, le persone si trovano escluse dall’assicurazione, venendo considerate non assicurabili. Ma questa “non assicurabilità” può derivare anche da un altro fattore. Sebbene, infatti, le imprese assicurative stiano facendo il possibile per tutelare gli operatori economici dal cyber risk, un monito preoccupante arriva dal CEO di Zurich Insurance, il quale avverte che i cyberattacchi potrebbero rivelarsi non assicurabili [29]. Le considerazioni da fare non riguardano, infatti, soltanto l’utilizzo [continua ..]
» Per l'intero contenuto effettuare il login inizio
NOTE
[1] Sulla vulnerabilità si rinvia al volume a cura di Corrias, I soggetti vulnerabili nella disciplina comune e nei mercati regolamentati, Napoli, 2022. [2] Si pensi al WannaCry, ossia all’attacco informatico più grande avvenuto il 12 maggio 2017 che, diffondendosi in poche ore, ha riguardato (si stima) circa 100 paesi e oltre 200.000 macchine, causando danni incredibilmente ingenti. [3] Dai dati forniti da Allianz è emerso come il 38% delle imprese italiane nel 2018 abbia timore di attacchi informatici, timore che ricopre il secondo posto subito dopo i danni da business interruption. [4] Sigma 1/2017, Swiss RE. [5] Per la gestione del rischio si faccia riferimento alla CIPA (Convenzione interbancaria per i problemi dell’automazione) nella quale il rischio informatico viene articolato in quattro fasi distinte: 1) identificazione del rischio; 2) individuazione delle minacce; 3) individuazione dei danni derivanti dalle minacce e loro valutazione; 4) identificazione delle contromisure per fronteggiare le minacce alle risorse informatiche. [6] Relativo all’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cybersicurezza»). [7] Non dimentichiamo, ad esempio, che il 25 maggio 2018 è entrato [continua ..]