Assicurazione per i casi di ransomware: divieto o obbligo?

Gli attacchi di ransomware stanno diventando sempre più pervasivi e dirompenti. L’analisi di Kyle D. LOGUE e Adam B. SHNIDERMAN (University of Michigan Law & Econ Research Paper No. 21-040)

Gli attacchi di ransomware, non solo stanno “bloccando” imprese e amministrazioni locali, ma stanno danneggiando le istituzioni in molti settori dell’economia statunitense – dai sistemi scolastici, alle strutture sanitarie, agli elementi critici delle infrastrutture energetiche e della catena di approvvigionamento alimentare.

Anche i riscatti conseguenti agli attacchi di ransomware stanno diventando più consistenti e i relativi pagamenti sono sempre più frequentemente coperti da assicurazione. Tale assicurazione offre una copertura per una serie di perdite legate al rischio cyber, inclusi molti dei costi derivanti da attacchi di ransomware, come quelli per l’assunzione di negoziatori esperti, per il recupero dei dati dai backup, le responsabilità legali per l’esposizione di informazioni sensibili sui clienti e il pagamento del riscatto stesso.

La preoccupazione sugli sviluppi della copertura ransomware

Alcuni commentatori hanno espresso preoccupazione per questi sviluppi di mercato. In particolare, la preoccupazione è che la presenza di un’assicurazione stia peggiorando il problema del ransomware, e ciò sulla base del presupposto che, poiché esiste un’assicurazione che copre i pagamenti del riscatto e perché il pagamento è spesso molto più economico rispetto al sostenimento dei costi di ripristino e dei costi di interruzione dell’attività coperti dalla polizza, c’è una tendenza a pagare il riscatto e una disponibilità a pagare importi anche molto elevati. Questo fatto, ben noto ai criminali, aumenta il loro incentivo a impegnarsi in attacchi ransomware.

Nell’articolo gli autori, Kyle D. Logue e Adam B. Shniderman (University of Michigan Law School), sottolineano che il quadro non è così semplice come spesso si immagina. L’assicurazione offre una varietà di servizi pre-violazione e post-violazione volti a ridurre la probabilità e la gravità di un attacco di ransomware. Pertanto, a lungo termine, l’assicurazione informatica ha il potenziale per ridurre i costi degli eventi criminosi. Ma – affermano gli Autori – non si è ancora giunti a tale punto.

L’articolo discute le modalità per garantire che l’assicurazione contro il ransomware rappresenti un fattore positivo. Tra i suggerimenti vi è un divieto limitato di indennizzo per i pagamenti, con eccezioni per i casi che comportano minacce alla vita e all’incolumità fisica, insieme al mandato che gli assicuratori forniscano copertura per gli altri costi degli attacchi di ransomware. Si descrive anche come un Regolatore governativo potrebbe svolgere una funzione di coordinamento per aiutare gli assicuratori informatici a interiorizzare le esternalità associate alle decisioni di rimborsare i pagamenti del ransomware, un ruolo svolto in genere dai riassicuratori nel contesto dell’assicurazione per i casi di rapimento e riscatto.

ransomware