Come costruire una polizza cyber efficace

E’ stato pubblicato da FERMA (Federation of European Risk Management Associations), che riunisce Risk e Insurance Manager a livello europeo e di cui ANRA è il membro per l’Italia, in collaborazione con BIPAR (International Bureau of Insurance and Reinsurance Producers, che raggruppa gli intermediari di assicurazione di diversi paesi europei) e Insurance Europe il report Prepararsi per la Cyber Insurance”, una fotografia sullo stato delle polizze cyber a livello europeo e un utile strumento per le aziende nel definire gli obiettivi nel processo di assicurazione di questi rischi.

Lo studio è stato redatto da un gruppo di esperti del settore assicurativo e aziendale e presentato in occasione del FERMA Seminar, tenutosi in ottobre 2018 ad Anversa, Belgio.

Il report prende le mosse dai dati della società di consulenza EY, secondo cui solo il 35% delle aziende ha un’assicurazione contro il rischio cyber veramente efficace e calibrata sulle reali esigenze. La guida, pensata per supportare gli insurance buyer nel dialogo con assicuratori e broker, è la prima nel suo genere a proporre un modus operandi che coinvolge tutte le parti in causa nel processo sottoscrittivo (compagnie, intermediari, aziende).

Il modello proposto si articola nello specifico in due momenti: il primo sottolinea come la cyber security sia una questione interfunzionale, indipendentemente dalle dimensioni dell’azienda. Vale a dire che l’insurance manager – per quanto faticoso questo processo possa essere – deve necessariamente coinvolgere nella fase di analisi dei requisiti di polizza un gran numero di funzioni: dal Finance, per capire come e quanto i rischi informatici impattano sul business, al Legal, per comprendere i possibili risvolti giuridici, anche alla luce delle nuove norme (si pensi al GDPR), fino alle Risorse Umane, dal momento che gli errori del personale sono responsabili di molti attacchi cyber, e ovviamente al reparto IT, per accertarsi di avere adeguate tecnologie e filtri difensivi.

“Quello del Risk Manager non può essere un lavoro solitario” conferma Alessandro De Felice, Presidente ANRA e Chief Risk Officer Prysmian Group“ ha un ruolo di trait d’union, dev’essere cioè capace di parlare linguaggi diversi e di comunicare in maniera capillare con tutte le funzioni aziendali. Solo così può creare una robusta struttura per la governance del rischio informatico, che migliori i processi decisionali dell’impresa e garantisca che i rischi vengano identificati, quantificati, gestiti – in modo più efficiente e ad un costo inferiore – e mitigati”.

Il secondo momento individuato dal modello proposto da FERMA riguarda la valutazione della polizza cyber, che secondo il report dovrebbe basarsi sul punteggio ottenuto in quattro aree: Prevenzione, Assistenza, Operations e Liability, ponderabili in base ad una checklist da utilizzare nel dialogo con l’assicuratore.

Questo modello nasce con l’obiettivo di aiutare tutte le parti in gioco: gli insurance/risk manager e gli insurance buyer riusciranno a valutare più efficacemente le esigenze della propria azienda, gli assicuratori riceveranno informazioni più precise e tecniche sul rischio da coprire e sulle misure di prevenzione e protezione messe in atto, gli intermediari potranno basare la loro ricerca e contrattazione su informazioni più chiare e puntuali.

Oltre a promuovere il dialogo e la trasparenza, lo studio vorrebbe scoraggiare interventi regolatori non necessari. Nel 2017 infatti, un report della European Union Agency for Network and Information Security ha proposto un’armonizzazione dei questionari sulla cyber insurance e sulle coperture. FERMA, al contrario, crede che la risposta sia un aumento del dialogo e dello scambio di informazioni tra le parti in gioco, piuttosto che altre regolamentazioni e lungaggini burocratiche.

Il report completo può essere consultato a questo indirizzo: http://bit.ly/2DXrbsn