Marsh, nel suo Europe Cyber Claims Report 2025 , rileva un calo delle notifiche di sinistri cyber in Europa rispetto al 2024, dovuto soprattutto alla minore incidenza di eventi di massa e alla maturazione delle difese di sicurezza informatica. La riduzione dei casi non si traduce però in una riduzione della gravità: pochi incidenti possono ancora generare perdite materiali molto elevate per le imprese assicurate.
Il tratto più caratteristico del profilo europeo è la centralità dei temi privacy: il 73% delle notifiche presenta un componente di violazione dei dati o di non conformità nella gestione delle informazioni personali, una quota superiore ai media globali. Ciò riflette un contesto normativo stringente (GDPR, regole UE in evoluzione) e accentua il rischio di azioni delle autorità e contenziosi, seppur presenti solo in una minoranza dei casi.
Sul fronte delle tipologie di evento, estorsione (inclusi ransomware e minacce di furto/“leak” dei dati) e social engineering restano tra i principali driver di costo, grazie anche a tecniche sempre più raffinate di attacco, spesso supportate dall’intelligenza artificiale. I casi di compromissione delle email aziendali e trasferimenti fraudolenti sono numericamente limitati ma con l’importazione di una singola perdita molto elevata.
Dal punto di vista settoriale, il rapporto segnala un aumento del peso delle notifiche provenienti da manifatturiero (circa il 20% del totale europeo) e alimentari/bevande, comparti esposti alla complessa interazione tra IT e OT e sistemi legacy. Comunicazione, media e tecnologia restano tra i settori con il maggior numero di casi, anche per l’effetto moltiplicatore che un incidente presso un fornitore può avere su numerosi clienti; le istituzioni finanziarie vedono invece un calo delle notifiche, grazie a livelli di maturità cyber più elevati e franchigie di polizia mediamente più alte.
Un elemento trasversale è la crescita del ruolo di terze parti e supply chain digitale: nel 2025 il 14% delle notifiche europee è collegato a fornitori esterni (cloud, SaaS, MSP, piattaforme HR, processori di pagamento), con impatti spesso multi-entità. In questo scenario si assume rilievo la nuova direttiva NIS2, che introduce obblighi più stringenti di resilienza e di reporting (allerta entro 24 ore, notifica dettagliata entro 72 ore, relazione finale entro un mese) per gli operatori essenziali e importanti.
Dal report emerge che anche in presenza di un numero inferiore di sinistri, la severità potenziale e la complessità regolatoria richiedono a imprese e risk manager un salto di qualità in preparazione, coordinamento interfunzionale e progettazione dei programmi assicurativi (limiti, aggregazioni, gestione del rischio di terzi). Solo attraverso un approccio integrato – che combina governance dei dati, gestione dei fornitori, formazione del personale e piani di risposta agli incidenti allineati alle nuove regole NIS2 – sarà possibile affrontare i futuri eventi cyber con maggiore resilienza e contenere l’impatto economico e reputazionale delle perdite.
© Riproduzione riservata