L’INVIATO SPECIALE
Impatti assicurativi e nuove responsabilità dopo le ultime decisioni europee
Autore: Ugo Ottavian
ASSINEWS 384 – Aprile
Negli ultimi mesi, milioni di utenti – privati e aziende – hanno ricevuto notifiche dai propri browser o gestori di password con un messaggio inequivocabile: “Questa password è stata rilevata in una fuga di dati. È consigliabile sostituirla immediatamente.”
Non si tratta di un avvertimento generico. È la conseguenza diretta dell’incrocio tra i database pubblici delle violazioni (come Have I Been Pwned) e i sistemi di sicurezza integrati nei browser. Il punto è che questo alert, se ignorato, può trasformarsi in responsabilità civile, amministrativa e – in casi estremi – penale.
Il tema è esploso dopo alcune decisioni europee che hanno stabilito un principio chiaro: se un’azienda continua a utilizzare credenziali compromesse sta violando il proprio dovere di protezione dei dati e può essere ritenuta responsabile dei danni derivanti da un attacco.
Il quadro normativo: il “duty of care” digitale si è alzato
Tre normative stanno convergendo verso un’unica direzione:
• GDPR: l’art. 32 impone misure tecniche adeguate, tra cui la gestione delle credenziali.
• NIS2: introduce obblighi stringenti per la sicurezza delle reti e dei sistemi informativi, con responsabilità diretta del top management. La NIS2 è la nuova direttiva europea, impone requisiti molto più severi di cybersicurezza a imprese e PA in 18 settori critici. In Italia è in vigore dal 16 ottobre 2024 tramite il d.lgs. 138/2024.
• DORA (che è il regolamento europeo che dal 17 gennaio 2025 impone a banche, assicurazioni, intermediari finanziari e fornitori ICT requisiti obbligatori di resilienza operativa digitale, molto più stringenti rispetto al passato): richiede procedure documentate per la gestione delle vulnerabilità, incluse le credenziali. In questo contesto, una password compromessa non è più un incidente: è una vulnerabilità nota e non mitigata.
Le decisioni europee che cambiano lo scenario
Negli ultimi 18 mesi, diverse autorità e tribunali hanno stabilito che:
• Germania, Tribunale di Berlino (2024): un’azienda è stata ritenuta responsabile per un data breach perché utilizzava credenziali già presenti in un database di password rubate.
La mancata sostituzione è stata qualificata come negligenza grave.
• CNIL francese (2023): sanzione a un operatore sanitario per non aver implementato sistemi di controllo sulle password compromesse.
• Autorità olandese (2024): multa a un’azienda di e commerce per non aver forzato la rotazione delle password dopo una fuga di dati nota. Il principio che emerge è netto: se la compromissione è nota e l’azienda non interviene, la responsabilità è piena.
Impatti assicurativi: cosa cambia davvero
Il tema delle password compromesse tocca almeno quattro linee di business:
Cyber Risk
• Aumento dei sinistri legati a credential stuffing e accessi non autorizzati.
• Possibile esclusione per “mancata adozione di misure minime di sicurezza”.
• Necessità di riscrivere le clausole relative alla gestione delle credenziali.
RC Professionale
• Professionisti IT, consulenti e MSP possono essere chiamati in causa se non implementano sistemi di alert o rotazione delle password.
• Cresce il rischio di contenzioso per “omessa segnalazione”.
D&O
• NIS2 introduce responsabilità diretta degli amministratori per la mancata gestione delle vulnerabilità note.
• Una password compromessa ignorata può diventare un caso di mala gestio.
Property/Business Interruption
• Sempre più attacchi ransomware iniziano da credenziali rubate.
• Le compagnie stanno valutando se richiedere obbligatoriamente sistemi di password monitoring.
Le conseguenze operative
La gestione delle credenziali, se non lo è già, diventerà una necessità di controllo da introdurre quantomeno attraverso questionari più tecnici ed aggiornati sulla gestione delle credenziali.
• Possibile richiesta di strumenti come: – password manager aziendali certificati – sistemi di controllo automatico delle password compromesse – MFA obbligatoria ossia: La misura di sicurezza che impone l’uso dell’autenticazione a più fattori per accedere a un servizio, così da ridurre drasticamente il rischio di furto dell’account.
• In assicurazione poi si impone una verifica ed un’eventuale revisione delle clausole rispetto alle “misure minime di sicurezza”.
Per gli addetti ai la vori
• Offrire audit preliminari sulla sicurezza delle credenziali diventerà maggiormente che ora un’opportunità di incrementare il lavoro di controllo.
• Dal punto di vista assicurativo la possibilità di proporre polizze cyber con servizi integrati di: – monitoraggio delle password – formazione del personale – simulazioni di attacco (phishing, credential stuffing)
Per i risk manager
• Obbligo di documentare la gestione delle credenziali come parte del risk assessment.
• Necessità di dimostrare che gli alert di compromissione vengono: – registrati – valutati – risolti entro tempi definiti
L’opportunità: dal rischio alla consulenza evoluta
Il tema delle password compromesse apre un nuovo mercato per il settore assicurativo:
• Servizi di prevenzione integrati nelle polizze
• Modelli pay per risk basati sul livello di sicurezza reale dell’azienda
• Partnership tra compagnie e provider di cybersecurity
• Nuovi prodotti per PMI che non hanno competenze interne In altre parole: la password violata non è solo un rischio, ma un’occasione per ripensare l’offerta assicurativa in chiave di servizio.
In conclusione
La gestione delle password compromesse è diventata un indicatore diretto della diligenza aziendale. Ignorare un alert significa esporsi a responsabilità crescenti e, per il settore assicurativo, potrà significare il dover affrontare sinistri sempre più frequenti e complessi.
© Riproduzione riservata