AON: le sanzioni legate al cyber rivelano un divario crescente tra rischio regolamentare e protezione assicurabile

Le imprese con sede o operanti nell’area EMEA si trovano di fronte ad un’esposizione crescente a sanzioni e penalità connesse ai rischi cyber, in un contesto in cui l’attività di enforcement diventa sempre più incisiva, mentre l’assicurabilità di tali sanzioni rimane incerta e varia a seconda della giurisdizione, secondo un report congiunto del broker globale Aon e dello studio legale A&O Shearman.

Il report ha evidenziato come, con l’aumento degli incidenti cyber in tutti i settori industriali e nei diversi Paesi, stiano emergendo nuove normative volte a promuovere una maggiore resilienza informatica, con ulteriori sanzioni e penalità per le aziende, i dirigenti e i membri dei consigli di amministrazione che non garantiscono la conformità.

Il perimetro regolamentare per le sanzioni cyber si è ampliato in modo significativo. L’Unione Europea, ad esempio, ha introdotto importanti quadri normativi quali il DORA (Digital Operational Resilience Act) e la Direttiva NIS2 (Network and Information Security), mentre il Regno Unito ha recentemente pubblicato il Cyber Security and Resilience Bill. Come conseguenza di queste nuove norme, l’enforcement è diventato più incisivo, tecnico e articolato su più livelli, rendendo incerta l’assicurabilità delle sanzioni e delle penalità.

Il report ha rilevato che molte giurisdizioni limitano o vietano l’assicurazione delle sanzioni penali o delle penalità amministrative punitive per ragioni di ordine pubblico. Molte sanzioni sono assicurabili solo nella misura consentita dalla legge, lasciando le organizzazioni potenzialmente esposte a sanzioni regolamentari anche qualora dispongano di una copertura assicurativa cyber. I costi di difesa legale, indagine, notifica delle violazioni, interruzione dell’attività e ripristino sono coperti in modo più uniforme, evidenziando un divario crescente tra rischio regolamentare e protezione assicurabile.

I risultati mostrano che le sanzioni non pecuniarie possono essere altrettanto dirompenti quanto le ammende. Tali misure possono includere ordini di cessazione del trattamento dei dati, obbligo di sottoporsi ad audit, sospensione delle attività o revoca delle licenze. Inoltre, i consigli di amministrazione sono soggetti a una maggiore responsabilità, con i nuovi regimi regolamentari che innalzano le aspettative in materia di supervisione adeguata, investimenti e preparazione nella mitigazione del rischio.