Allianz Risk Barometer: il rischio cyber sale tra le principali preoccupazioni delle aziende a livello globale

A seguito di grandi violazioni di dati e scandali sulla privacy, importanti interruzioni IT e l’introduzione di norme più severe in materia di protezione dei dati nell’Unione europea e in altri Paesi, il rischio cyber è diventato una delle principali preoccupazioni per le imprese  livello globale.

Secondo l’Allianz Risk Barometer 2019 realizzato da Allianz Global Corporate & Specialty (AGCS), gli Incidenti informatici e l’Interruzione di attività (BI) sono i principali rischi per le aziende a livello mondiale, indicati a pari merito dal 37% del campione.

I Cambiamenti climatici (8° posto con il 13% delle risposte) e la Carenza di manodopera qualificata (10° posto con il 9% delle risposte) sono i rischi cresciuti maggiormente a livello globale. Allo stesso tempo le aziende sono più preoccupate rispetto all’anno precedente per i Cambiamenti nello scenario legislativo e regolamentare (4° posto con il 27% delle risposte), a causa degli impatti come la Brexit, le guerre commerciali e le tariffe.

L’indagine annuale sui rischi aziendali condotta a livello mondiale da Allianz Global Corporate & Specialty (AGCS) comprende le opinioni di 2.415 esperti provenienti da 86 Paesi, tra cui CEO, risk manager, broker ed esperti assicurativi.

L’Interruzione di attività rimane per il settimo anno consecutivo la principale minaccia per le imprese di tutto il mondo e rappresenta il rischio principale in Paesi come Stati Uniti, Canada, Germania, Spagna, Italia e Cina.

I potenziali scenari di BI stanno diventando sempre più diversificati e complessi, e comprendono il guasto dei sistemi IT di base, il richiamo dei prodotti o problemi di qualità, il terrorismo o i disordini politici, l’inquinamento ambientale.

I rischi di minacce informatiche e di Interruzione di attività sono sempre più interconnessi, in quanto gli attacchi di ransomware o le interruzioni accidentali dell’IT comportano spesso un blocco delle operazioni e dei servizi che costano centinaia di milioni di dollari.

Secondo AGCS, l’indennizzo medio di un sinistro danni indiretti property ammonta a 3,1 milioni € (3,4 milioni $). Si tratta di oltre un terzo (39%) in più della corrispondente perdita media dei danni materiali diretti (2,2 milioni di €), con un totale molto superiore a quello di 5 anni fa. Le perdite derivanti dagli eventi più importanti possono essere di centinaia di milioni o superiori.

Ad esempio, dopo 4 fine settimana di proteste in Francia alla fine del 2018 i commercianti hanno perso circa 1 miliardo di € (1,1 miliardi di $).1 Nell’incertezza del panorama politico odierno, il cambiamento legislativo, come la prevista uscita del Regno Unito dall’Unione Europea (Brexit) nel 2019, rappresenta una potenziale minaccia per la BI con possibili interruzioni della supply chain.

Le aziende identificano negli incidenti cyber la principale causa di danni da interruzione delle attività (50% delle risposte), seguito da incendi (40%) e catastrofi naturali (38%). Allo stesso tempo, la BI è considerata la principale causa di perdite finanziarie per le aziende dopo un incidente informatico (69% delle risposte).

“Il rischio informatico è stato importante per molti anni, ma come ogni nuovo rischio ha dovuto confrontarsi con il basso grado di consapevolezza“, spiega Marek Stanislawski, Deputy Global Head of Cyber, AGCS. “Siamo arrivati a un punto in cui il cyber è altrettanto preoccupante per le aziende quanto le loro principali esposizioni tradizionali”.

Secondo AGCS, anche la perdita media per un incidente informatico è di poco più di 2 milioni di € 3 (2,3 milioni di $) rispetto a quasi 1,5 milioni di € per un incendio/esplosione, mentre le perdite per eventi importanti possono ammontare a centinaia di milioni o più. Sempre più spesso gli incidenti informatici provocano perdite di danni indiretti. Gli intervistati classificano il cyber come il fattore più temuto di attivazione della BI, dato che le risorse primarie di molte aziende possono spesso essere dati, piattaforme di servizi o gruppi di clienti o fornitori.

I sinistri di interruzione dell’attività sono stati la conseguenza degli attacchi malware WannaCry e NotPetya nel 2017, che hanno colpito le aziende di spedizione, logistica e produzione. Le Compagnie assicurative hanno visto aumentare le richieste di risarcimento per danni indiretti a seguito di incidenti informatici per importi superiori a 100 milioni di $. Molti danni sono il risultato di errori tecnici o umani piuttosto che di atti dolosi – l’analisi condotta dall’autorità di regolamentazione dei servizi finanziari del Regno Unito ha rivelato un aumento del 138% dei guasti tecnologici in un anno, ma solo il 18% degli incidenti segnalati sono stati attacchi informatici.

I black out informatici rappresentano un rischio significativo. Gli sbalzi di tensione o i problemi di migrazioni di piattaforme IT possono costare centinaia di milioni di euro. La dipendenza dai fornitori di servizi IT – come i servizi cloud, le piattaforme di prenotazione online e i sistemi legati alla supply chain – comporta anche potenziali esposizioni a interruzioni per motivi indiretti (CBI). Un’anomalia software che ha colpito nel 2018 il fornitore di apparecchiature di rete Ericsson, ha interrotto i servizi per milioni di clienti di telefonia mobile in Europa e in Giappone. Nel 2017, un’interruzione di quattro ore della divisione di cloud computing AWS di Amazon, ha avuto un impatto sui servizi internet, siti web e altre attività commerciali. Come risultato le aziende hanno perso circa 150 milioni di dollari. Le interruzioni più lunghe potrebbero portare a perdite molto più vicine al miliardo di dollari.

La criminalità informatica costa circa 600 miliardi di $ all’anno rispetto a 445 miliardi di $ del 2014. A fronte di una perdita economica media decennale per catastrofi naturali di circa 200 miliardi di $, il triplo. Esiste anche una crescente minaccia da parte degli Stati sovrani, che utilizzano la tecnologia per sottrarre dati preziosi e segreti commerciali, con implicazioni per le imprese.

Mentre l’attività criminale utilizza metodi sempre più innovativi per entrare in possesso di dati, commettere frodi o estorcere denaro, c’è anche una minaccia informatica crescente da parte di stati sovrani e gruppi di hacker che prendono di mira i fornitori di infrastrutture sensibili o sottraggono dati preziosi o segreti commerciali alle aziende.

L’impatto delle violazioni dei mega dati, degli scandali sulla privacy e l’introduzione del regolamento generale dell’Unione europea sulla protezione dei dati – che ha anche ispirato norme più severe in materia di privacy e la minaccia di pesanti sanzioni pecuniarie altrove – sono anch’essi fonte di preoccupazione per le imprese.

È sempre più probabile che gli incidenti cyber scatenino cause legali, comprese le “class action”. Ogni azienda deve assumere una posizione di sicurezza informatica adeguata alle dimensioni, alle operazioni e al profilo di rischio, e investire in soluzioni tecnologiche di sicurezza, meccanismi di backup adeguati e formazione del personale. Quest’ultimo aspetto è altrettanto importante, soprattutto per le piccole e medie imprese, per le quali la consapevolezza della crescente minaccia informatica e del suo legame con la perdita di reputazione è una preoccupazione crescente.

In Italia, per questa edizione, i principali rischi aziendali percepiti sono l’Interruzione di attività (al 1° posto con il 47% delle risposte), i Rischi Cyber e le Catastrofi naturali (entrambi al 2° con il 38% delle risposte).

La Mancanza di qualità, difetti seriali, richiamo di prodotti entra quest’anno in classifica a livello locale, posizionandosi direttamente al 4° posto.

“Dopo un recente aumento del numero di ritiri di prodotti alimentari, il richiamo dei prodotti diventa un’importante novità nella classifica italiana (4° posto)“, commenta Nicola Mancino, CEO di AGCS Italia.

“Le aziende devono prevedere un’ampia gamma di possibili fattori di crisi, operando in un contesto sempre più informatizzato”, afferma Chris Fischer Hirs, CEO di AGCS. “I danni che hanno come conseguenza una crisi aziendale possono essere fisici, come incendi o tempeste, o virtuali, come un’interruzione dell’IT, e possono essere dolosi o accidentali. Possono derivare sia dalle proprie attività, sia da quelle di fornitori, anche di servizi IT, e clienti. Qualunque sia il fattore scatenante, la perdita finanziaria per le aziende a seguito di un blocco può essere enorme. Nuove soluzioni di gestione del rischio, strumenti analitici e partnership innovative possono aiutare a comprendere meglio e mitigare la moderna miriade di rischi di interruzione dell’attività e prevenire le perdite prima che si verifichino“.

Per quanto riguarda gli altri rischi, le Catastrofi naturali (28% delle risposte) si confermano al terzo posto nella classifica dei primi 10 rischi di quest’anno: rispetto all’anno precedente, il 2018 è comunque un anno più positivo, anche se le perdite economiche sono ancora vicine ai 150 miliardi di $.

Le continue incertezze sulla Brexit, le guerre commerciali globali e le tariffe alimentano le preoccupazioni delle imprese in merito ai Cambiamenti nello scenario legislativo e regolamentare (4° posto con il 27% delle risposte).

I Cambiamenti climatici (8° posto con il 13% delle risposte) e la Carenza di manodopera qualificata (10° posto con il 9% delle risposte) hanno registrato quest’anno la maggiore crescita. I Cambiamenti climatici potrebbero non solo essere causa di crescenti perdite e disagi causati da eventi meteorologici estremi e catastrofi naturali, ma è anche probabile che abbiano grandi implicazioni per la regolamentazione e la responsabilità considerando i rigidi obiettivi nelle emissioni o i nuovi obblighi di comunicazione e divulgazione in molti settori.

La Carenza di manodopera qualificata appare per la prima volta tra i 10 principali rischi aziendali a livello mondiale, confermato anche in molti Paesi più piccoli dell’Europa Centrale e Orientale, del Regno Unito, degli Stati Uniti, del Canada e dell’Australia. Una paura, quella manifestata dalle imprese, dovuta all’evoluzione demografica, all’incertezza della Brexit e a una debole presenza di talenti nell’economia digitale.

L’impatto dei danni derivanti da Incendi ed esplosioni (6° 19%) è una preoccupazione costante. Secondo AGCS, negli ultimi cinque anni gli incendi (esclusi quelli boschivi) hanno causato perdite assicurative per oltre 14 miliardi di € (15,9 miliardi di $), rendendoli la principale causa di perdite per le imprese.

Le nuove tecnologie (7° 19%) offrono alle imprese grandi opportunità, compresi nuovi modi per gestire il rischio. Tuttavia, con l’aumento del numero di macchine connesse, si pongono anche domande sulla sicurezza, la protezione dei dati, la continuità operativa e la responsabilità civile, nonché il rischio di guasti alle infrastrutture critiche. Conseguenze inaspettate continuano a materializzarsi, come ad esempio i droni che hanno provocato la cancellazione di circa 1.000 voli all’aeroporto britannico di Gatwick nel dicembre 2018.

Nel frattempo, i richiami di prodotti, gli incidenti informatici e la condotta dei dirigenti hanno contaminato la reputazione delle società negli ultimi anni, colpendo compagnie aeree, case automobilistiche, banche e organizzazioni di beneficenza; ciò significa che la protezione dal Danno reputazione o d’immagine (9° 13%) diventa sempre più importante, soprattutto nell’era dei social media in cui le crisi si diffondono rapidamente. .

“Nell’economia digitale la forza lavoro qualificata – e più in generale il capitale umano – è sempre più una risorsa carente”, afferma Ludovic Subran, Deputy Chief Economist di Allianz. “La concorrenza tra le aziende per assumere figure con competenze specifiche in intelligenza artificiale, data science o gestione del rischio informatico o reputazionale è molto alta, dato che la maggior parte di questi lavori fino a 10 anni fa non esisteva. Non sono sufficienti neanche gli stipendi allettanti, poiché il numero di dipendenti con le competenze necessarie è limitato, e la necessità di doverli assumere con urgenza non consente una formazione sul posto di lavoro”.