Indagine ANIA: per le compagnie impatto negativo dello smart working sul rischio cyber

Nel mese di novembre ANIA ha condotto un’indagine conoscitiva allo scopo di analizzare l’impatto del rischio Cyber sul settore assicurativo.

Le compagnie di assicurazione sono interessate dal rischio Cyber su due fronti: sul piano assuntivo, dato che alcune compagnie includono nella loro offerta commerciale per imprese e famiglie prodotti assicurativi a copertura di questa tipologia di rischio, e sul piano operativo, in quanto le assicurazioni, depositarie di grandi quantità di dati sensibili e/o
confidenziali, risultano essere un bersaglio ideale per gli attacchi informatici.

ANIA

Con questa iniziativa l’ANIA intende accrescere la conoscenza sulle pratiche applicate dalle compagnie di assicurazione per mitigare l’impatto sui propri rischi operativi derivanti dalla minaccia Cyber e, al contempo, sulle caratteristiche del mercato delle coperture assicurative relative a tale classe di rischio.

La Survey si compone di due sezioni.

La prima ha l’obiettivo di fornire una rappresentazione del mercato dal lato dell’offerta, descrivendo i prodotti, le pratiche assuntive, i rischi coperti e gli eventuali servizi offerti e, dal lato della domanda, illustrando i principali driver, la tipologia di cliente e, nel caso di clienti corporate, i comparti industriali più interessati, tenendo in considerazione il nuovo assetto logistico conseguente alle misure di contenimento del contagio Covid-19 recentemente adottate.

La seconda è dedicata alle modalità di gestione delle imprese di assicurazione del rischio Cyber nella loro veste di operativo interno.

Hanno risposto al questionario 35 imprese, pari a circa il 40% dei premi raccolti nel 2019 in entrambi i settori.
Riguardo l’aspetto assuntivo, il sondaggio rileva che delle 35 imprese che hanno aderito all’indagine rispondenti 10 (il 28,6%) hanno dichiarato di offrire già prodotti Cyber, 3 (8,6%) hanno risposto che non lo fanno ora, ma hanno in programma di farlo in futuro.

Alla prima parte dell’indagine, quella dedicata alla gestione del rischio Cyber dal punto di vista assuntivo hanno dunque fornito risposte 13 imprese che, con una quota di mercato in termini di premi nei rami danni del 35%. La grande maggioranza di queste compagnie considerano la minaccia Cyber in forte evoluzione.

La crisi Covid-19 ha incentivato l’adozione di modalità di lavorative a distanza, il cosiddetto smartworking, attraverso l’uso di piattaforme digitali. Secondo molti esperti il passaggio da
infrastrutture di tipo professionale a dotazioni tecnologiche di uso privato potrebbe aver aumentato la vulnerabilità del sistema rispetto alla minaccia Cyber, con il conseguente incremento di attacchi.

Alle compagnie è stato chiesto quale fosse la loro percezione in merito e un’ampia maggioranza di loro considerano l’aumento dell’uso dello smartworking un driver importante per la crescita dell’esposizione agli attacchi informatici, sia attualmente sia in prospettiva. Nove imprese su dieci considerano che lo smartworking inciderà in senso negativo sul rischio Cyber moderatamente o molto.

Il rischio informatico è per sua natura complesso e interessa l’attività assuntiva dell’impresa di assicurazione attraverso vari canali. Il danno da attacco informatico, infatti, può essere di tipo diretto, che provoca cioè perdite economiche all’entità attaccata, come nel caso dell’interruzione dell’attività produttiva indotta dal cessato funzionamento dei sistemi informatici, ovvero di tipo indiretto, come nel caso della responsabilità civile della vittima dell’attacco se questo consiste nel furto di dati sensibili di terzi, che possono successivamente rivalersi sulla vittima.

Vi è infine un’altra tipologia di copertura, afferente al ramo assistenza, che offre servizi di vario tipo, pre-evento, come la valutazione della vulnerabilità e post-evento come il ripristino della funzionalità dei presidi informatici, la messa in sicurezza del sistema, la mitigazione del danno reputazionale.

Queste coperture possono essere commercializzate in isolamento o in pacchetti multirischio.
Infine, l’offerta commerciale Cyber in Italia è prevalentemente rivolta a clienti corporate. Da questo lato, si osserva una concentrazione dell’offerta nel segmento di mercato delle piccole e medie imprese (PMI), seguite a distanza dalle imprese non quotate e da quelle quotate. È interessante la presenza, pur minoritaria, della pubblica amministrazione.