Cyber risk: il rischio informatico e le coperture assicurative

Di Fabrizio Mauceri

Da alcuni anni a questa parte è cresciuta la sensibilità degli operatori economici sul rischio informatico comunemente chiamato Cyber Risk. Questa crescita è stata tale da suscitare l’interesse delle compagnie di Assicurazione su questa tipologia di rischio. Ma a che punto siamo in Italia? Dato per scontato che sicuramente negli USA avranno già analizzato gran parte delle problematiche e che a molte di queste avranno trovato una risposta, a che punto si colloca il nostro paese su questa questione?

Ne parliamo con Cesare Burei, Amministratore di Margas. Burei lavora in stretta collaborazione con aziende del panorama ICT Security &Forensics per offrire un percorso integrato di Cyber riskanalisys, mitigation& transfer. Inoltre il dott Burei ha aderito a CLUSIT – Associazione Italiana per la Sicurezza Informatica – collaborando a redigere una parte del report Clusit 2016 sulla Cyber Insurance ed è membro del gruppo di lavoro nazionale sulla Cyber Insurance istituito dalla Associazione Italiana Infrastrutture Critiche e presentato a Roma lo scorso 8 giugno.

Dott. Burei ci può fare una sintesi tecnica del Cyber Risk? (tipologia di danni diretti, indiretti e di responsabilità)

Cesare Burei: Avvalendoci della terminologia e delle definizioni tratte dalle polizze tradizionali, per calarci nel mondo dei danni cyber, possiamo distinguere tre grandi famiglie di danni:

  • Danni materiali diretti ed indiretti

Riguardano i danni (distruzione parziale o totale, furto) subiti da beni materiali (un server, la fibra ottica, i PC, un cellulare o altro device elettronico) e direttamente causati dall’evento che sarà normalmente di natura “analogica” o tradizionale (incendio, terremoto, fulmine, furto, atto maldestro o doloso, etc.).

Proprio per la loro natura diretta e fisica queste tipologie di danni potrebbero già rientrare in una polizza Incendio a Rischi Nominati, in una All Risks o naturalmente nella Polizza storicamente definita Elettronica. Quindi non necessariamente essere oggetto di una copertura specifica sul Cyber Risk.

  • Danni immateriali diretti e indiretti

Qui invece entriamo nell’ambito proprio di una copertura Cyber.

I sinistri di tipo informatico sono caratterizzati dall’immaterialità. Colpiscono beni non tangibili, ma comunque funzionali ed indispensabili allo svolgimento di una qualsiasi attività.

L’incendio che brucia il server con il suo contenuto informativo, l’involontaria cancellazione di un database clienti o ordini per azione erronea – anche colposa – da parte di un dipendente addetto alla gestione informatica, l’azione di un virus o malware. Sono tutti eventi che compromettono l’integrità di un software e/o l’insieme logico di informazioni – ovvero rendono indisponibili i miei dati o servizi aziendali.

Il danno immateriale diretto lo possiamo tradurre, quindi, nell’Impossibilità dell’Azienda a continuare la Sua attività. Solo che, al contrario di quanto avviene in un sinistro “tradizionale”, normalmente l’interruzione è pervasiva, totale ed immediata e può colpire anche sedi remote.

Il danno immateriale indiretto, invece, lo possiamo declinare con le voci di perdita d’immagine e reputazione aziendale, nonchè di perdita di quote di mercato.

  • Richieste di risarcimento per responsabilità

Ovviamente, se sono una società di servizi informatici e subisco una problematica Cyber che interrompe quanto sto fornendo ai Clienti, subito dopo mi arriveranno le richieste di risarcimento da parte degli stessi. Questa è la terza grande famiglia di danni, anche se a livello aziendale si traduce in un extracosto da sostenere per soddisfare la richiesta di un terzo.

È possibile assicurare in Italia il rischio determinato dalla sottrazione o distruzione di dati informatici (da parte di terzi estranei e/o collaboratori)? Come viene risolto dalle compagnie il problema della determinazione del danno?

Cesare Burei: Se parliamo di sottrazione, parliamo di furto. Ed in tutte le coperture furto si deve dare un valore al bene sottratto.

La domanda da farsi e’: “quanto vale un record di un database?” La risposta è intuitiva quanto spiazzante: da qualche centinaio di Euro/dollari (un utente di Facebook vale circa 130 dollari in termini patrimonali) all’intero fatturato aziendale (nel caso mi sottraggano ad esempio la formula chimica di un composto unico).

Questa valutazione è difficilissima perchè andrebbe fatta la valutazione preventiva del record/database quale asset patrimoniale aziendale e tale valore dovrebbe essere riconosciuto dagli Assicuratori.

Se la domanda quindi è “Possiamo assicurare il VALORE della sottrazione o distruzione di un dato informatico?” la risposta, in questo momento, è no.

Alla domanda “Possiamo assicurare i COSTI a cui una Azienda va in contro per una problematica di sottrazione, distruzione di un dato informatico o malfunzionamento del sistema IT?” la risposta è sì.

I contratti sul mercato, pochi ed ognuno con le sue peculiarità, tengono indenni le Aziende dai costi sostenuti per analizzare, reagire, ripristinare e tutelare l’immagine aziendale. Tali costi sono facilmente documentabili ed a volte gran parte sono sostenuti direttamente dall’Assicuratore che mette a disposizione delle unità di crisi per la gestione del sinistro.

Stesso discorso vale per i costi derivanti dall’Interruzione di Esercizio, trasferibili all’assicuratore previa analisi del bilancio e determinazione della somma assicurata. Tra questi possiamo annoverare la perdita del margine di contribuzione e gli extracosti quali, ad esempio, l’elaborazione dati presso terzi.

Che tipo di coperture assicurative si trovano oggi in Italia?

Cesare Burei: Si nota che il comparto assicurativo ha molta esperienza in ambito di Responsabilita’ Civile. I principali riferimenti normativi per i quali è facile trovare una soluzione assicurativa sono la violazione della legge sulla privacy, superata oramai dal Regolamento Europeo sulla Privacy che entrerà in vigore nel 2017, e la RC professionale, problematiche per le quali sul mercato italiano esiste una ampia scelta di coperture specifiche per le aziende IT.

Molto diverso invece il panorama quando scendiamo nel dettaglio dei contratti che si occupano dell’attività aziendale colpita da problematiche Cyber. Molte polizze considerano solo eventi (ed i costi derivanti) da Cyber Crime (hacking, ransomware, virus, DDOS), mentre pochissimi assicuratori, più esperti, considerano gli eventi Cyber anche nell’ottica del Cyber Risk, ovvero legati a problematiche non necessariamente generate da eventi dolosi ma piuttosto da malpractice interna od eventi cosiddetti correlati (ad esempio lo smarrimento di un server spedito via aerea e sul quale erano stati precaricati i dati per far partire la filiale estera).

I contratti sono molto complessi e gli approcci degli assicuratori non omogenei, a partire dalle stesse definizioni di polizza. Questo non aiuta sicuramente nella scelta del prodotto assicurativo più idoneo all’attività aziendale ed è richiesta una elevatissima specializzazione all’intermediario che se ne occupa.

Cosa si potrebbe fare per prevenire il danno in ottica di Risk Managment?

Cesare Burei: Fa molto riflettere quanto riporto qui sotto, emerso da una indagine di Assurex Global: “Nel sondaggio, condotto da Assurex global sulle sue aziende partner in tutto il mondo, quasi la metà (49 per cento) dei broker interpellati hanno identificato i “rischi informatici e della tecnologia (Cyber and Technology risks)”, come uno dei primi tre rischi a cui sono esposti i loro Clienti.
Tuttavia, quando è stato chiesto di confrontarsi con i Clienti e limitare la loro scelta al singolo rischio più significativo, il risultato del sondaggio è risultato stravolto e solo il 9% degli intervistati hanno considerato i “Cyber and Technology Risks” tra i rischi significativi”

Quindi, anche a livello globale e non solo Italiano, non sappiamo esattamente cosa sia il Cyber e Technology risk e quale reale impatto potrebbe avere.

Bisogna prendere atto che il Cyber Risk  non è qualcosa che proviene (solo) da fuori. E’ qualcosa che abbiamo in casa, che oramai fa parte della vita di tutti i giorni, lavorativa ed aziendale. Il Cyber Risk è trasversale, e risulta correlato con tutte le attività ed i settori aziendali, da quello produttivo a quello finanziario.

Non si tratta di domandarsi “perchè dovrebbero colpire proprio me”, ma “che conseguenze avrebbe un evento Cyber che colpisse la mia attività?”

L’intermediario interpellato dovrebbe coinvolgere le figure apicali (CEO, CFO, CIO, CISO, direttori Marketing e Produzione) in un processo di analisi nel quale ci si confronti sull’impatto che una delle problematiche esposte prima possa avere sull’attività aziendale. Messi a fuoco quelli che io chiamo rischi correlati, compresa e non ultima la Interruzione d’Esercizio, si potrà pensare ad una loro gestione, mitigazione e trasferimento. Da questo percorso l’Azienda ne uscirà rafforzata nel know-how e potrà scegliere se attuare un atteggiamento aziendale reattivo o, meglio, proattivo.

In un panorama di economia sempre più digitale, la competitività di una Azienda sul mercato sarà determinata anche dall’aver o meno  affrontato questo percorso.

Conclusione
Da questa breve intervista abbiamo potuto analizzare i principali temi riguardanti il Cyber Risk. Che cos’è, che tipologia di coperture assicurative si possono trovare sul mercato e che cosa possiamo fare in tema di risk Managment per gestire e governare questa tipologia di rischio. In Italia siamo ancora indietro su questo tema e le polizze esistenti non sono ancora risolto tutti i problemi inerenti alla determinazione del danno e della sua indennizzabilità senza dubbi e senza ma. Molti passi in avanti comunque sono stati fatti. Il sentiero è tracciato e da qui in avanti sarà possibile solo migliorare.