Continuità aziendale: viene data per scontata... finché qualcosa non si inceppa

di Paolo Lionetti - Risk&Insurance Manager, Socio ANRA - Associazione Nazionale Responsabili Assicurazioni Aziendali

La capacità di garantire la continuità delle attività è la parte del processo che, come sempre accade quando tutto funziona, risulta “trasparente” all’utilizzatore finale. Proprio questa trasparenza ne caratterizza il valore: se tutto va bene, non ci si accorge nemmeno che c’è un processo incredibilmente complesso dietro ad ogni singola attività. Ma quando un qualche ingranaggio si inceppa, le conseguenze possono essere pesanti.

Le catene di approvvigionamento sono i connettori dell’economia reale e dei servizi. La loro continuità è alla base del funzionamento di ogni attività. Le infrastrutture di sicurezza informatica e cibernetica hanno quindi l’obiettivo di migliorare sia la propria che la comune resilienza, al fine di garantire la continuità nella produzione e nell’erogazione dei servizi, dunque la continuità aziendale.

Piani di continuità

Uno degli strumenti per ottenere questo obiettivo, uno strumento chiave in verità, è quello di elaborare piani di continuità. Sono ancora poco diffusi tra le PMI, ma sono tra i migliori investimenti a livello aziendale. Si tratta di immaginare cosa si dovrà fare e come organizzarsi quando un evento – anche connesso alla sicurezza fisica e cibernetica - possa eventualmente impedire di utilizzare i propri asset. Sapere cosa serve, come ottenerlo e in quanto tempo. Addestrare manager che sappiano cosa monitorare e come trattare le informazioni per guidare le decisioni. Comunicare correttamente. Avere procedure e check list di attività da svolgere nel tempo più contenuto possibile. Nulla di scontato, quindi: questo processo necessita di un commitment importante, partecipato profondamente da tutta l’azienda.

Conosci il tuo nemico

La dipendenza dai sistemi informativi è una realtà alla quale non è possibile trovare alternative. Break down, data breach, cyber attack e simili possono avere conseguenze devastanti. Una corretta analisi del rischio cibernetico che porti a procedure di prevenzione e protezione può ridurre le probabilità di evento avverso e le sue conseguenze, ma sarebbe gravemente sbagliato dire che non esista comunque possibilità di crisi. Credere che il rischio zero esista non è una strategia vincente.

Protezione finanziaria

Arrivati alla fine di questo percorso logico, rimangono le soluzioni assicurative, ultimo livello di protezione che permette di trasferire le conseguenze economico finanziarie dell’avverarsi di un evento avverso. Ma a quali elementi occorre prestare attenzione nella progettazione della copertura? Per prima cosa occorre distinguere tra danni propri e danni a terzi, operando un’accurata analisi delle specificità tecnologiche, operative, organizzative ed economiche della realtà oggetto dell’analisi da assicurare.

Danni propri (First party damage)

Si tratta dei costi sostenuti per la gestione della crisi; dei danni materiali e diretti alle cose assicurate (inclusi IOT e SCADA); del costo di ricostruzione dati elettronici e software; delle perdite patrimoniali da interruzione o sospensione totale o parziale di esercizio dell’attività dovute al blocco, totale o parziale, dei sistemi informatici dell’assicurato. E ancora: parliamo di perdite dovute alla riduzione del fatturato e all’aumento dei costi derivante da un’interruzione dell’attività causata da un evento di cyber crime che abbia provocato un blocco del sistema. E infine ci riferiamo ai maggiori costi per la prosecuzione dell’attività assicurata e all’interdipendenza interna.

Danni a terzi (Third party liability)

In questa categoria si annoverano i danni materiali, i danni alla persona e le perdite patrimoniali cagionate a terzi in ragione della detenzione di dati e informazioni personali o commerciali. E ancora: danni materiali, danni alla persona e perdite patrimoniali cagionati a terzi per i quali l’assicurato sia civilmente responsabile in ragione  di un evento cyber; danni materiali e perdite patrimoniali conseguenti alla trasmissione di malware; perdite patrimoniali e danni alla persona subiti da terzi in ragione della pubblicazione e diffusione di contenuti digitali; perdite patrimoniali cagionate a terzi per la detenzione di informazioni/dati relativi a carte di pagamento; danni da interruzione o sospensione dell’attività.

Altri rischi che possono generare danni

Pensiamo ad una minaccia al sistema informatico (cyber extortion): compensi, costi e spese per assicurare il funzionamento del sistema informatico in presenza di una minaccia estorsiva o per far cessare la stessa. E ancora: interdipendenza fornitori (conseguenza di un danno cyber ad un fornitore che si riflette sull’attività dell’azienda e/o sui clienti della stessa). Oppure PCI-DSS (Payment Card Industry – Data Security Standard), ossia danni per violazione dei dati delle carte di pagamento sul circuito di pagamento.