Rischio cyber: valutare e prevenire per (assi)curare

di Paolo Lionetti - Risk&Insurance Manager, Socio ANRA - Associazione Nazionale Responsabili Assicurazioni Aziendali

Il Rapporto Clusit (Associazione italiana per la sicurezza inforrmatica), pubblicato a marzo 2022, ha evidenziato come gli attacchi cyber nel mondo siano aumentati del 10% rispetto all’anno precedente. La quantità non stupisce, mentre fonte di esplicita preoccupazione è il fattore di incremento della gravità – in termini di magnitudo dell’impatto sul business – dei singoli attacchi. Il rapporto certifica anche, semmai ce ne fosse stato bisogno, che le aziende italiane sottovalutano le attività di prevenzione, trattamento e trasferimento delle conseguenze economico finanziarie del rischio cyber. Sarebbe necessaria da parte delle imprese l’applicazione strutturale e strutturata di una strategia integrata, progettata in funzione delle specificità del singolo business.

Esiste una criticità molto importante che permea il nostro tessuto produttivo delle PMI: la sicurezza informatica in quasi la metà delle nostre aziende (che osservo possono far parte di catene di approvvigionamento anche molto lunghe e complesse) non può essere garantita neppure ad un livello minimo a causa del fatto che i sistemi utilizzati non sono aggiornati/presidiati/monitorati. Da questa criticità deriva anche l’impossibilità di trovare sul mercato Compagnie disposte ad acquisire tali rischi. Rammento che le Compagnie scommettono con l’Assicurato che un certo evento non avverrà in funzione della sua probabilità di accadimento. Più l’evento è probabile meno le compagnie sono disposte accettare il fatto di “comprare” il rischio economico finanziario che l’azienda vorrebbe trasferire.

Prevenire per (assi)curare

In Italia l’andamento dei premi nel 2021, a fronte di un numero sostanzialmente immutato di aziende assicurate sul rischio cyber, vede un sostanziale incremento. Non aumenta la platea di assicurati, aumenta il numero di attacchi e aumenta, come abbiamo visto, la loro magnitudo. Per far sì che le coperture siano sostenibili dal punto di vista delle Compagnie, ovvero che l’equilibrio tecnico (premi incassati vs sinistri liquidati) sia positivo, è necessario che il profilo di rischio delle aziende migliori sostanzialmente. Capacità di prevenzione e piani di continuità saranno sempre più elementi necessari per poter accedere ai servizi assicurativi con costi sostenibili.

Cambiano le aree da coprire

I rischi cyber non sono sottovalutati: secondo l’Allianz Risk Barometer 2022 il rischio di attacchi informatici è, in questo momento storico, la prima fonte di preoccupazione per le aziende. In particolare, la perdita di confidenzialità, integrità o disponibilità delle informazioni conservate in sistemi digitali, che possano avere ripercussioni negative sul normale svolgimento delle operazioni di un’azienda.I danni informatici possono toccare diversi gangli nervosi di un’azienda, portando anche a conseguenze intangibili e difficilmente quantificabili. Proprio a causa dell’eterogeneità della materia trattata, le assicurazioni cyber possono coprire, potenzialmente, le aree di rischio operativo, strategico, organizzativo, di pianificazione aziendale e reporting. Dico potenzialmente perché è indispensabile che l’Assicurato sappia su quali elementi concentrarsi e che la traduzione assicurativa sia adeguata nei valori economici selezionati e nella coerenza del testo di polizza adottato.

Cambia l’alea di rischio

La crescita dell’Internet of Things5 (IoT), così come le infrastrutture immateriali (banche dati trasversali e piattaforme condivise), sono esempi della necessità di sviluppare integrazioni ai modelli operativi e tecnologici delle imprese. I tradizionali modelli di gestione del rischio non possono completamente far fronte a queste premesse: essi si fondano sull’idea che le imprese siano proprietarie della totalità dei dati che transitano nei loro sistemi e quindi che siano caratterizzate da un ecosistema ben definito. L’area aziendale da proteggere è molto più difficile di un tempo e richiede alla cyber security aziendale un approccio dinamico e predittivo con una forte capacità di adattamento ai cambiamenti.

Cambiano la tipologia di rischio

L’aumento significativo degli eventi mostra come la criminalità si stia muovendo verso la dimensione cyber: questo grazie soprattutto alla facilità di monetizzazione, la quasi certa impunità e la facilità tecnica della attuazione del crimine. Per le imprese guardare al tema della cybersecurity con ottimismo non è oggettivamente facile: i rischi legati al rischio informatico non possono essere ritenuti transeunti e poco significativi, ma all’opposto, in crescita e massiccia. A tal proposito non devono essere sottovalutate neppure le conseguenze delle violazioni della sicurezza che potrebbero dover affrontare Chief Executive Officer (CEO) e Chief Information Officer (CIO), che si trovano quindi maggiormente a rischio sia dal punto di vista professionale che del patrimonio personale. E’ indispensabile, rimandando agli articoli precedenti, progettare il percorso di gestione del rischio fino ad arrivare ad trasferimento assicurativo equilibrato e consapevole. Farlo - e farlo bene - implica dedicare risorse significative a questa attività, sapendo da subito che essa necessiterà di aggiustamenti continui. 

In conclusione

Si conclude questo breve excursus in tre puntate sui rischi cyber avendoli osservati dal punto di vista del trasferimento assicurativo. Come avrete avuto modo di desumere, lo scenario generale non è ottimale. A chi avrà avuto la pazienza e l’interesse a leggere, mi permetto di suggerire di farsi supportare nella definizione di un progetto di risk transfer che integri tutti gli aspetti di specifico interesse da consulenti o intermediari davvero preparatisu questi argomenti. Ce ne sono molti ma non così tanti: cercateli. Sarà tempo ben impiegato.