Secondo CyberCube, il settore assicurativo e riassicurativo sta ancora trattando l’intelligenza artificiale soprattutto come un “moltiplicatore” del rischio cyber, cioè come un fattore che amplifica dinamiche di perdita già conosciute, più che come una classe di rischio autonoma. Tuttavia, questa impostazione sta diventando sempre meno adeguata, perché l’AI non si limita ad aumentare la potenza degli attacchi: ne accelera i tempi, ne amplia la scala e ne rende più coordinata l’esecuzione, modificando in profondità il profilo del rischio.
Il punto centrale è che l’AI sta comprimendo il ciclo dell’attacco informatico. I soggetti ostili riescono a individuare vulnerabilità e a sfruttarle con maggiore rapidità, spesso riducendo il tempo tra la compromissione iniziale e il danno operativo. In questo scenario, osserva CyberCube, la capacità di recupero dell’impresa assicurata può diventare più decisiva delle sole misure preventive nella determinazione della gravità del danno, soprattutto per le perdite da interruzione di attività.
La vera preoccupazione, però, riguarda l’aggregazione e la correlazione delle perdite. Se l’AI diventa una componente strutturale delle operazioni aziendali, le dipendenze comuni da pochi fornitori di cloud, capacità di calcolo, modelli fondazionali e infrastrutture tecnologiche possono trasformarsi in punti condivisi di vulnerabilità. Un malfunzionamento, una compromissione cyber o anche un blocco operativo o geopolitico in uno di questi nodi potrebbe propagarsi simultaneamente su molti assicurati, generando perdite trasversali e correlate tra settori diversi, invece di eventi isolati.
CyberCube richiama quindi la necessità di evolvere sia l’underwriting sia i modelli di cyber catastrophe. I modelli dovrebbero incorporare nuove dinamiche di rischio legate all’AI: il modo in cui le tecnologie vengono sviluppate, controllate e distribuite nelle imprese; il modo in cui gli attaccanti le stanno già utilizzando nelle campagne reali; e soprattutto la possibilità che si creino nuovi singoli punti di fallo e concentrazioni di rischio nella supply chain tecnologica. In altre parole, non basta più valutare il singolo assicurato: occorre comprendere le dipendenze sistemiche che collegano più portafogli agli stessi fornitori critici.
L’urgenza del tema è aumentata anche alla luce dei recenti sviluppi tecnologici, come il caso del modello Claude Mythos di Anthropic, la cui diffusione è stata limitata per i timori relativi al potenziale impiego offensivo in ambito cyber. Questo episodio rafforza l’idea che i progressi dell’AI possano introdurre vettori di attacco nuovi, non ancora pienamente contemplati nei framework tradizionali di modellazione del rischio.
Per il mercato assicurativo, riassicurativo e anche per gli strumenti ILS legati al rischio cyber, il messaggio è chiaro: l’AI può aumentare la frequenza dei sinistri, intensificare la correlazione tra le esposizioni e mettere sotto stress le strutture riassicurative esistenti. Non vi è ancora certezza che questi sviluppi si traducano automaticamente in maggiori perdite economiche, ma il contesto sta cambiando rapidamente e richiede un aggiornamento delle logiche di analisi, tariffazione e gestione dell’accumulo.
In sintesi, l’AI non è più soltanto un acceleratore di minacce note, ma potrebbe diventare un fattore strutturale di rischio sistemico. Per questo, secondo CyberCube, il settore deve iniziare a modellare in modo esplicito le concentrazioni tecnologiche, le dipendenze operative e i possibili scenari di perdita correlata che derivano dalla crescente centralità dell’intelligenza artificiale nelle attività economiche.
© Riproduzione riservata