IVASS ha pubblicato l’indagine sulle polizze assicurative a copertura del rischio cyber, per approfondire l’offerta delle compagnie di assicurazione a protezione dei singoli individui/famiglie (clienti retail) e delle Piccole e Medie Imprese (PMI).

L’indagine trae spunto dalla crescente esposizione al rischio cyber riconducibile a più fattori, tra cui: diffusione di nuove tecnologie e crescente interconnessione digitale tra cose, persone, processi e dati; utilizzo della rete Internet a scopi relazionali o per acquisti e vendite online o per usufruire di servizi Home banking; aumento di attacchi informatici anche a seguito di tensioni geopolitiche legate al conflitto in Ucraina. Fattori che rendono gli utenti – famiglie, imprese, enti pubblici – sempre più vulnerabili sotto il profilo della sicurezza informatica.

L’indagine si è basata sull’analisi dei contratti e non entra nella valutazione sulla bontà o convenienza delle polizze e prescinde dal successo commerciale delle medesime e dal livello della raccolta premi a esse associato.

Per incidente cyber si intende una violazione della sicurezza informatica di un sistema informativo o delle informazioni che il sistema elabora, memorizza o trasmette indipendentemente dal fatto che sia frutto di un’attività dolosa o meno.
In particolare, il cyber risk può derivare da incidenti che comportano la violazione, la perdita o la diffusione di dati sensibili, di natura personale ma anche finanziaria, truffe ed estorsioni, cyberbullismo/cyberstalking, furto di identità, lesioni alla reputazione o all’immagine, frodi su acquisti/vendite e-commerce, clonazione di carte di credito/debito, ecc.

Per le imprese, inoltre, il cyber risk può a sua volta generare rischi operativi e legali per interruzione dell’attività, violazioni della normativa, richieste estorsive (ransomware), ecc.

Dall’indagine emerge la crescente diffusione di polizze cyber, destinate in particolare alle PMI e, in misura al momento minore, ad individui e famiglie.

Le coperture per le PMI sono piuttosto articolate, con garanzie che mirano a coprire le aziende sia dai danni dovuti ad attacchi informatici, sia dai danni causati a terzi per effetto degli attacchi, sia le spese legali. Diverse polizze offrono servizi accessori prima del verificarsi di un attacco informatico (identificazione di vulnerabilità, implementazione di presidi di protezione) e nella gestione post-evento (ristabilimento dell’operatività informatica, gestione danno reputazionale, ecc.).

Le coperture sono al momento per lo più standardizzate: a tendere potrebbero beneficiare di una maggiore flessibilità, in modo da calibrare e personalizzare maggiormente le garanzie in funzione della specifica operatività ed esigenza di copertura delle aziende.

Nell’ambito delle polizze destinate a individui e famiglie sono coperti i danni conseguenti a furto o clonazione di carte di credito/debito e carte prepagate, furto di identità digitale, acquisti fraudolenti online. Spesso viene fornita all’individuo e al suo nucleo familiare assistenza telefonica e digitale, attraverso un servizio di monitoraggio online che, in caso di sospetto attacco informatico sui device dell’assicurato, consente alla compagnia di contattare un tecnico specializzato per attivare tutte le procedure di analisi e ripristino.

Sono presenti coperture anche nella forma della consulenza psicologica a seguito di eventi traumatici legati all’attacco cyber quali cyberbullismo e cyberstalking e dell’assistenza prestata in occasione di frodi nella prenotazione online di un viaggio all’estero.

Per entrambe le tipologie si tratta di un mercato destinato a crescere rapidamente, in parallelo al rafforzamento della cultura della sicurezza informatica presso aziende ed individui. L’assistenza di intermediari assicurativi professionisti, adeguatamente aggiornati sui rischi cyber e sugli aspetti molto tecnici di queste polizze, è cruciale per lo sviluppo ulteriore dell’offerta.

Dall’analisi è emerso inoltre che:

  • alcune compagnie richiedono specifiche condizioni di operatività della persona o dell’azienda da assicurare, come prerequisiti o condizioni per rendere il rischio assicurabile e, di conseguenza, la copertura efficacemente operativa;
  • sono presenti a volte esclusioni e franchigie che ne riducono ampiezza e applicabilità, anche con margini di ambiguità. Ad esempio, la clausola di esclusione in caso di “guerra”, presente nella maggior parte dei contratti esaminati, non esplicita se il termine “guerra” include anche la “guerra informatica”, di particolare attualità, posto che gli attuali conflitti bellici si svolgono anche attraverso attacchi informatici;
  • i glossari presentano margini di miglioramento per quanto concerne esaustività e
    ed univocità dei termini utilizzati.

Clicca qui per leggere l’indagine.