E’
interessante che in un recente articolo su The
Insurance Insider un broker assicurativo di
livello internazionale (AON) abbia dichiarato che stando ai dati da
lui raccolti per il 2019, gli incidenti informatici superino già i
totali degli interi anni 2015 e 2016.
In
effetti è quasi quotidiano per ciascuno di noi impattare
costantemente con notizie di cronaca relative a data breach,
incidenti informatici e attacchi portati contro reti e sistemi di
aziende ed enti pubblici.
Potrebbe
suonare strano, ma è noto come i soggetti più colpiti da questi
rischi siano proprio quelli che rappresentano oltre l’88% del
nostro tessuto imprenditoriale nazionale, ovvero gli imprenditori
appartenenti alla categoria delle MPMI. Spesso questa categoria ignora
o non è sufficientemente a conoscenza dei potenziali impatti a cui
la pervasività tecnologica li espone quasi a ciclo continuo. Basta
citare come esempio (alquanto evocativo) la sfortunata vicenda dei
cryptolocker –attualmente ancora in circolazione in veste
sempre più evoluta- per richiamare alla mente quanto danno alla
produttività possa fare il blocco delle basi di dati o il
danneggiamento dei sistemi aziendali o istituzionali. Si tratta di
una goccia distillata di criticità in un oceano di preoccupanti
esempi possibili, eppure ancora poco noti a chi di dovere.
Date
queste informazioni estremamente elementari e sotto gli occhi della
collettività (crescita esponenziale degli incidenti informatici da
un lato e assenza di awareness adeguata nei confronti delle
potenziali vittime, rappresentanti il fulcro dell’industria di uno
Stato) è alquanto semplice chiedersi: come fare per accrescere le
tutele dai rischi informatici?
Una
prima risposta, direi ovvia –il cui sviluppo non è oggetto di
questo sintetico intervento- è quella di prestare la massima cura
nella scelta e predisposizione di misure di sicurezza tecniche e
organizzative adeguate, dal carattere progressivo e di facile
adattabilità rispetto ai repentini cambiamenti che le tecnologie
dirompenti comportano.
In
secondo luogo, è sempre bene sottolineare l’assoluta importanza di
una corretta formazione all’interno delle realtà di lavoro. E’
impossibile prevedere infatti il verificarsi del c.d. “errore
umano”, ma la valorizzazione proprio di questo fattore costituisce
un caposaldo imprescindibile nell’implementazione di una corretta
gestione dei rischi, di qualsivoglia natura.
Il
terzo punto da considerare per una corretta gestione dei rischi, qui
oggetto di breve approfondimento, sono le cyber insurance.
Infatti,
al netto delle prime due considerazioni (che non rappresentano
un’alternativa a quest’ultima) una copertura assicurativa
adeguata costituisce senza dubbio un valido sostegno per l’Ente
pubblico o privato che ha preso coscienza al suo interno del
potenziale rischio che realmente corre.
Di
cosa parliamo quando parliamo di cyber insurance?
In
poche parole, parliamo di pacchetti assicurativi –solitamente
proposti dai grandi gruppi - che mirano a tutelare il sottoscrivente
dalle conseguenze dei possibili danni subiti a causa dell’avverarsi
di una minaccia informatica.
Si
tratta di un mercato percepito come in forte crescita. Secondo una
recente ricerca di Insurance Post, il 78% dei broker inglesi ritiene
che il mercato delle polizze cyber rivesta un enorme potenziale di
sviluppo, e sino ad oggi il 72% di loro ha già venduto una polizza
sui rischi cyber.
Il
mercato italiano, come di consueto, non ha ancora una sua definizione
e non ha sviluppato un piano consolidato di massimali o premi; molti
broker sembra abbiano scelto di esplorare questo mercato con molta,
molta cautela.
Le
uniche stime condivise, non certo incoraggianti, identificano
un mercato da più o meno 100 milioni l’anno, cifra
bassa ma proporzionata alla scarsa consapevolezza degli imprenditori
e del settore pubblico, come poc’anzi ricordato.
Senza
volersi impelagare in analisi di mercato, è comunque evidente che si
tratta di una porzione di attività assicurativa destinata ad una
rapida crescita. Proprio per questa ragione è piuttosto alta la
possibilità che un affrettato sottoscrivente possa ricorrere –nella
sua folle corsa verso un effetto palliativo del rischio informatico o
per assenza di informazioni precise e nozioni sul tema- a prodotti
assicurativi che non sempre rispecchiano le sue aspettative.
Da
qui occorre allora farsi un’ultima domanda: quali rischi deve
coprire (e garanzie legali deve fornire) una polizza sul rischio
cibernetico, al fine di poter essere ritenuta valida?
Posto
che i casi variano molto a seconda della specificità delle
tecnologie utilizzate e dell’impatto che esse possiedono rispetto
alla precisa attività che viene svolta dall’Ente o dall’azienda,
ci sono alcuni punti che devono sicuramente essere presenti per poter
valutare l’idoneità del prodotto assicurativo. In particolare la
polizza deve ricomprendere tutele su:
- Intrusione informatica da parte di terzi (basata sia su attacchi di rete che fisici);
- Furto, divulgazione o cancellazione dei dati (sia colposa che dolosa)
- Rischio reputazionale, familiare e d’immagine (dovuto a divulgazione di informazioni riservate vertenti sia su dipendenti che sull’azienda o l’ente stesso)
- Furto d’identità e usurpazione di Social Media
- Blocco dei sistemi produttivi automatizzati
- Danni di sistema o al corretto funzionamento della rete
- Furto di proprietà intellettuale digitalizzata
Una polizza ottimale
potrebbe infine ricomprendere anche specifiche previsioni legate ai
software aziendali utilizzati (o alla sottrazione delle licenze),
valutandone le eventuali certificazioni, fornitori coinvolti, livello
di rischio e impatto di eventuali system integrator agenti.
In assenza di uno o
più di questi elementi, una valutazione legale del carnet di offerte
proposte potrebbe essere un valido affiancamento per una corretta
scelta, data la portata dell’investimento.
Anche se alcuni di
questi elementi possono sembrare scontati ad un lettore formato su
questi temi, in realtà per molti si tratta di argomenti a dir poco
ostici, che avranno bisogno di essere masticati e digeriti non solo
dal settore assicurativo ma anche da quello legale, amministrativo e
istituzionale che troppo spesso rincorrono la tecnologia come in una
folle gara il cui esito è quasi sempre ai danni del cittadino.
Avv. Andrea Puligheddu
Nessun commento:
Posta un commento