Francia: cyber risk, le PMI non sono tutelate contro gli attacchi

Un recente studio dell’Amrae (l’Associazione francese dei risk manager) mette in evidenza le attuali difficoltà nel mercato dell’assicurazione cyber per le aziende: da un lato al mercato assicurativo manca strutturazione e dall’altro le aziende non sono pronte.

Condotta in collaborazione con otto grandi broker specializzati in rischi aziendali e Planète CSCA (l’Associazione dei broker), l’indagine di Amrae mostra un aumento del volume dei premi del 49%, da 87 milioni di euro nel 2019 a 130 milioni di euro nel 2020. Ma questa crescita è molto inferiore a quella dell’importo dei risarcimenti pagati, che è triplicato, da 73 milioni di euro nel 2019 a 217 milioni di euro nel 2020. Per gli assicuratori, il loss ratio (S/P) è quindi passato dall’84% al 167%. Questa esplosione del loss ratio spiegherebbe l’aumento delle tariffe.

Tuttavia, secondo Amrae “questa inflazione è dovuta solo a 4 sinistri di grande entità (tra 10 e 40 M€ di risarcimento ciascuno) presentati da grandi aziende. “Così, escludendo queste 4 rivendicazioni, i risultati tecnici dell’intera linea cyber sarebbero stati identici a quelli del 2019.

Il lavoro di Amrae con i grandi broker mette in evidenza una disuguaglianza di copertura all’interno del tessuto economico francese. Infatti, mentre l’87% delle grandi aziende sono coperte da una polizza di assicurazione informatica, solo l’8% delle piccole e medie imprese sono assicurate per una copertura media di 8 milioni di euro. Infine, anche se il tasso di copertura per le PMI è certamente aumentato del 16,3% tra il 2019 e il 2020, “rimane troppo basso rispetto al potenziale impatto del rischio informatico su una catena di valore”. Bisogna andare alla terza cifra dopo la virgola per misurare il loro attuale tasso di copertura: 0,0026%”, sostiene Amrae. Secondo queste cifre, le grandi aziende rappresentano l’82% del volume dei premi sul mercato della cyber assicurazione.

La cyber assicurazione ha quindi spazio per svilupparsi e può rivelarsi un motore di crescita sia per gli assicuratori che per i broker. Tuttavia, l’esplosione dei sinistri è un freno per i portatori di rischio. Inoltre, secondo Amrae, l’offerta non è adatta alle esigenze delle aziende. Le grandi imprese sono poco coperte perché il settore assicurativo non offre capacità adatte alle loro esigenze. “Hanno bisogno che l’offerta assicurativa si sviluppi per aumentare le loro capacità. Ma gli assicuratori rimarranno riluttanti fino a quando il volume complessivo dei premi non permetterà loro di far fronte a sinistri di alta intensità”.

Così, per uscire da questo circolo vizioso, il settore assicurativo dovrebbe penetrare negli altri segmenti di mercato, cioè quello delle piccole e medie imprese.

La crescita del volume dei premi di assicurazione cyber è guidata dall’aumento dei tassi di premio. Per le PMI, il tasso di premio medio è aumentato dallo 0,34% nel 2019 allo 0,45% nel 2020. L’aumento può sembrare significativo. Ma le piccole imprese stanno ancora pagando più della metà per la loro copertura rispetto alle grandi aziende, il cui tasso di premio medio è aumentato dallo 0,93% nel 2019 all’1,03% nel 2020. Questa differenza da 1 a 2 può essere spiegata: da un lato, perché il perimetro dei rischi delle piccole imprese sembra essere meglio controllato di quello delle multinazionali perché è più limitato. D’altra parte, a differenza delle grandi imprese, che cercano molta capacità, c’è una grande offerta di capacità di medie dimensioni, il che rende il mercato più competitivo.

Inoltre, nel 2020, il volume complessivo dei premi assicurativi pagati dalle aziende francesi per la copertura del rischio informatico ha rappresentato 129,6 milioni di euro. Era solo €87,2M nel 2019, una crescita di oltre il 48%. Questa crescita è dovuta soprattutto al miglioramento del tasso di copertura, poiché il numero di imprese assicurate è aumentato in media del 35% (+22,2% per i grandi gruppi e +43,6% per le ETI).

Per Amrae, “la politica di gestione del rischio dell’organizzazione, sia privata che pubblica, è la priorità. Prendere coscienza della propria dipendenza dal digitale e quindi della propria esposizione, misurarla, sviluppare una politica di prevenzione e trasferire il rischio residuo attraverso un’efficace strategia assicurativa è assolutamente essenziale per tutte le aziende private o pubbliche, indipendentemente dalle loro dimensioni e attività”. Raccomanda quindi la gestione e l’identificazione dei rischi informatici che permetterebbero di impiegare meccanismi di prevenzione al fine di “trasferire solo i rischi residui all’assicuratore” e di sviluppare un’offerta assicurativa “che soddisfi le esigenze delle grandi imprese e l’accesso alla mutualizzazione che consentirà di affrontare i reclami di intensità molto elevata e renderà i risultati tecnici meno volatili. Ma soprattutto, sensibilizzare, formare e informare le piccole e medie imprese, le piccolissime imprese e le autorità pubbliche sulla realtà del rischio informatico. L’idea è di incoraggiarli a implementare una politica di gestione del rischio informatico che includa l’assicurazione”.

cyber