di Francesco Bertolino
Le assicurazioni schivano il rischio cyber. «Negli ultimi tempi gli attacchi informatici alle imprese sono aumentati per numero e per gravità, creando squilibri nei portafogli di molte compagnie», spiega a MF-Milano Finanza Camilla Brena, head of cyber risks di Willis Towers Watson in Italia. «Oggi le assicurazioni sono perciò diventate molto selettive nel garantire la copertura e a partire dall’ultimo trimestre del 2020 hanno aumentato i premi in maniera significativa». Se fino a pochi mesi fa un’impresa poteva scegliere fra più offerte di polizza concorrenti, oggi sono le compagnie a dettare le condizioni e prima di concedere una copertura esaminano la preparazione dell’azienda contro eventuali attacchi.
«Le assicurazioni arrivano spesso anche a declinare le richieste dei clienti se non riscontrano un adeguato livello di organizzazione tecnica e di formazione del personale contro il pericolo cyber», sottolinea la manager di Willis Towers Watson, che alle imprese offre servizi per identificare le principali aree di rischio e valutare il grado di preparazione dei dipendenti. Da un’analisi delle richieste di risarcimento presentate dai clienti della società emerge che per le assicurazioni il costo medio di liquidazione del danno da attacco informatico è stato di 4,9 milioni di dollari.
In un caso su 10 la somma è stata superiore ai 2,5 milioni di dollari e una domanda su 20 ha addirittura superato i 10 milioni di dollari. L’aumento è legato soprattutto alla crescita esponenziale degli attacchi ransomware in cui un gruppo di cyber-criminali «sequestra» con la crittografia i dati di un’impresa chiedendo un riscatto per liberarli. Pochi mesi fa, per esempio, di un assalto simile è stata vittima Campari a cui sono stati chiesti 15 milioni per rendere di nuovo accessibili alcune informazioni aziendali.
Il fenomeno non riguarda però soltanto le grandi aziende e, anzi, è sempre più molto diffuso anche fra le piccole e medie imprese, di norma meno pronte ad affrontare il rischio informatico. I danni possono essere ingenti. «Se un tempo si parlava di poche decine di migliaia di euro, oggi le richieste di riscatto possono arrivare fino a 50 milioni e nei casi più gravi viene coinvolto un negoziatore per trattare con i cyber-criminali l’entità dell’importo», osserva. «Nessuno ammette mai di aver pagato un riscatto e in Europa accade in effetti più di rado che negli Stati Uniti per ragioni culturali ed etiche», conclude Brena, «a volte, tuttavia, specie se l’impresa era impreparata all’attacco, il pagamento è indispensabile per far ripartire l’attività aziendale e appare quindi il male minore: in alcuni casi le compagnie assicurative di matrice anglosassone possono rimborsare le spese per porre fine all’attacco o alla minaccia e, tra queste, il costo del riscatto. Le compagnie assicurative europee invece non forniscono copertura per questo costo». (riproduzione riservata)

Fonte: logo_mf