Polizze assicurative per la cybersecurity in crescita

sicurezza

Una delle risposte al cyber crimine potrebbe risiedere in polizze assicurative ad hoc: negli USA quasi un’azienda su tre ne possiede una.

Emerge da un report di BDO, network globale di revisione contabile e consulenza alle imprese, per il quale prevenire totalmente un cyber attacco non è possibile, mentre le coperture assicurative possono servire proprio a tutelarsi nei confronti di accadimenti che non possono essere in alcun modo previsti con anticipo.

È l’azienda stessa a dover stabilire quali siano questi eventi e a negoziare coperture assicurative personalizzate.

Secondo i dati del network BDO, il costo medio annuale delle violazioni dei dati aziendali negli USA ammonta a 4 milioni di dollari.

Nel quantificare il danno cyber occorre valutare diversi elementi: il costo di riparazione e messa in sicurezza del sistema e dei dati; il danno reputazionale, inteso come le somme investite in attività di relazione pubblica e comunicazione e il mancato guadagno derivato dal danno; le eventuali somme pagate a riscatto dei dati, cosa che accade ad esempio con i ransomware, oppure somme di denaro rubate dagli autori dell’attacco.

A tutto ciò va sommato anche il fattore normativo: sempre più giurisdizioni nazionali e internazionali stanno introducendo multe e sanzioni per le aziende che si dimostrano non adeguatamente preparate al cyber rischio.

Il GDPR che entrerà in vigore il 25 maggio 2018 in tutti gli stati membri dell’Unione Europea sanzionerà le aziende che non comunicheranno tempestivamente un’avvenuta fuga di dati con una multa che potrà arrivare fino al 4% annuo del fatturato dell’azienda stessa o a 20 milioni di euro.

Negli USA il 28% dei leader aziendali intervistati dal BDO USA Board Survey 2016 (condotto su un campione di 160 direttori di CdA di aziende quotate) dichiara che nella propria azienda è stata acquistata una polizza assicurativa che protegge dai reati informatici.

La percentuale è triplicata rispetto al 2014, in cui solo 1 intervistato su 10 rispondeva affermativamente. E gli investimenti in cybersecurity Oltreoceano stanno aumentando di anno in anno: 8 rispondenti su 10 dichiarano di aver investito una somma più alta in cyber security rispetto all’anno precedente.

Compagnie assicurative in fase di studio

Rispetto alle altre polizze assicurative per la protezione dal rischio, nel settore della cybersecurity non sono ancora stati elaborati standard definiti.

Ciò significa che le compagnie di assicurazioni offrono al momento una certa flessibilità e margine di negoziazione sui termini delle polizze al momento della stipula.

È molto importante comprendere, tuttavia, che proprio la mancanza di uno standard con cui confrontarsi può costituire un rischio per l’azienda.

Le polizze possono garantire copertura a costi di ripristino del sistema e connessi costi legati alla necessaria investigazione; danno reputazionale; mancati introiti; estorsione o furto economico legato al cyber attacco.

Oltre alla copertura aziendale, si possono stipulare coperture assicurative anche in relazione alle cosiddette terze parti, ovvero tutte le aziende con cui l’impresa opera in quanto fornitori, clienti o partner.

In questi casi ci si può assicurare dal rischio di contaminazione dell’attacco cyber proveniente dalla parte terza, dal rischio di violazione di informazioni confidenziali o proprietà intellettuale, dalle multe e sanzioni potenzialmente derivanti da un attacco a terzi.

Quello della copertura dal cyber rischio derivante dai rapporti con terze parti, tuttavia, è un segmento ancora trascurato anche negli stessi Stati Uniti e contemplato, secondo i dati di BDO, da solo 4 rispondenti su 10, nella mera forma della conduzione di un risk assessment nei loro confronti.

Come negoziare una polizza

La difficoltà di stimare i costi totali di un potenziale attacco cyber rende limitata la possibilità delle compagnie assicurative di sviluppare dei solidi modelli di rischio per le polizze correlate. Le compagnie, perciò, tendono a mitigare il rischio stabilendo termini molto stringenti alle loro polizze.

Ciò significa che per le aziende scegliere la corretta polizza assicurativa può diventare difficile. Occorre valutare attentamente il rischio cyber della propria azienda e disegnare le polizze su tutti quegli avvenimenti che non possono essere altrimenti prevenuti. Ciò significa anche controllare i termini e le clausole di esclusione, testandoli su scenari concreti basati sul proprio livello di rischio.

Quali sono gli elementi da valutare al momento della stipula di una copertura assicurativa contro il rischio cibernetico?

Identificare gli asset aziendali critici e il rischio cyber a loro associato. Il primo elemento da cui partire è proprio il rischio cyber intrinseco alla propria azienda: quali e quanti sono i dati sensibili detenuti? Dove vengono custoditi? Chi sarebbe interessato a venirne in possesso? Si tratta, fondamentalmente, della messa in atto di un’attività di risk assessment, che deve includere una valutazione delle soluzioni messe in campo per prevenire e proteggere i dati sensibili
Valutare l’esposizione al rischio e quantificarlo. È importante, poi, quantificare la potenziale perdita economica causata da una violazione di dati e la percentuale di impatto sulle entrate dell’azienda stessa.
Decidere se l’attuale livello di protezione è sufficiente. A questo punto si potrà valutare l’opportunità di stipulare una copertura assicurativa ad hoc, che bilanci la probabilità di violazione dei sistemi e l’esborso economico previsto in caso di attacco. Solo in questo modo è possibile capire se valga la pena prevenire il rischio con il pagamento di un premio in denaro a una compagnia di assicurazioni.
Implementare un programma di emergenza per colmare le lacune identificate a livello di rischio cyber. La copertura, quindi, deve essere definita in base alle reali esigenze della singola azienda, delegando all’assicurazione solo ed esclusivamente quel rischio che l’impresa non può evitare dotandosi di particolari attrezzature o approntando particolari accorgimenti. Insomma: l’inevitabile.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.
CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here