Nella preparazione che le aziende si danno a fronte di eventuali incidenti informatici o da ransomware, la domanda di polizze cyber continua ad essere molto alta. Bisogna però fare molta attenzione: può succedere (come avvenuto in passato con l’epidemia di ransomware NotPetya) che le compagnie possano negare il rimborso. Ad esempio, oggi sono esclusi i danni derivanti da atti di guerra e terrorismo. Quindi, a cosa fare attenzione? Quali sono le condizioni di assicurabilità? Perché i premi crescono? Cosa richiedono gli assicuratori e come impostare correttamente il rapporto con la compagnia assicurativa? Ne abbiamo parlato con Cesare Burei, Co-Amministratore e Broker Senior, MARGAS – Broker e Consulente di Assicurazioni.
TIG. Gli attacchi ransomware sono in continua crescita, i riscatti sono diventati milionari. Sempre più spesso le aziende, colpite direttamente o indirettamente (l’incidente può avvenire presso un fornitore, un partner, un cliente), ricorrono a coperture assicurative (cyber insurance) per ridurre almeno in parte il danno conseguente a un incidente.
Le compagnie assicurative sono però sempre più attente e le polizze possono comprendere clausole per negare il rimborso. Un caso su tutti, quello della causa intentata da Mondelez International, produttore dei biscotti Oreos e dei Crackers Ritz, contro la sua compagnia Zurich American Insurance che non voleva rimborsare i danni causati da NotPetya nel 2017[1]. A cosa occorre fare quindi più attenzione nella sottoscrizione di una polizza cyber?
Cesare Burei. La regola generale dei contratti assicurativi è quella di escludere esplicitamente ed in modo tassativo i danni derivanti da ATTI di GUERRA o di TERRORISMO. Detto questo, nel caso citato, inizialmente la Compagnia ritenne di rifiutare qualunque copertura ai danni calcolati da Mondelez (nella misura di ben 100 milioni di dollari), anche a seguito di conferme arrivate da diversi centri di cyber security sull’origine russa dell’attacco rivolto all’Ucraina, con incredibili effetti collaterali in tutto il mondo.
L’accordo è stato trovato tra le parti giusto il mese scorso. I dettagli delle cifre non sono noti, ma è emerso che Mondelez in realtà non fosse dotata di una polizza cyber, bensì di altro contratto con alcune garanzie cyber. Diversamente è andata all’altra big, vittima di NotPetya: Merck, assicurata con la compagnia ACE questa volta con una polizza cyber. Anche qui il pagamento era stato rifiutato per lo stesso motivo, ma la compagnia assicurativa è stata chiamata in tribunale e la corte, sulla base di come l’esclusione era stata scritta nella polizza, ha dato ragione ai legali di Merck. Anche se si fosse trattato di un atto di guerra, non essendo stato sferrato in una condizione di guerra dichiarata, la copertura avrebbe dovuto operare. È questione quindi sia di conoscenza delle circostanze del “sinistro”, sia anche di come i contratti sono scritti.
Poi c’è il tema ransomware. Il tempo e l’enormità dei risarcimenti legati a questa fattispecie, stanno facendo sparire questa garanzia dai contratti assicurativi e noi lo riteniamo un bene. A nostra conoscenza, tra le compagnie con polizze cyber degne di questo nome, solo due contemplano ancora il ransomware. Di fatto il mercato assicurativo ritirandosi sta spingendo i legislatori a coprire quello che è un vero e proprio buco legislativo. Infatti, il pagamento del riscatto tradizionale è sostanzialmente vietato e normato in tutto il mondo, quello ransomware, no. Venendo alla domanda: leggete le proposte, o fatevi tradurre da un broker con esperienza in questo ramo assicurativo, in modo da scegliere il testo che fa meglio al caso vostro, con consapevolezza dei suoi limiti. Solo così potrete mitigare il rischio a monte nel miglior modo e farvi trovare preparati a reagire il meglio possibile.
TIG. A livello internazionale poi i premi per le assicurazioni cyber sono in crescita (come ha riportato di recente CNBC in “Rising premiums, more restricted cyber insurance coverage poses big risk for companies”[2]). Si osserva lo stesso trend nel nostro Paese?
Cesare Burei. Si, possiamo confermare questo trend di prezzi crescenti per i premi delle coperture cyber anche in Italia, fatto salvi alcuni casi di raccolta “massiva” di premi e, dunque, al ribasso. Questo però a fronte di un livello veramente basso di approfondimento sullo stato di rischio reale (un aspetto che da subito dovrebbe farci dubitare sul funzionamento di questi contratti al momento opportuno). Quindi sì, premi più cari, ma anche condizioni di assicurabilità più stringenti. Insomma, dobbiamo essere bravi!
TIG. Le tensioni geopolitiche e la guerra in Ucraina hanno portato le compagnie assicurative a non coprire violazioni che potrebbero essere legate ad attacchi State-sponsored?
Cesare Burei. A integrazione di quanto già spiegato nella prima risposta, possiamo dire che si sta diffondendo tra le Compagnie una gara a chi dettaglia meglio e di più la fattispecie “Atto di guerra” oltre che la sua eventuale esclusione. Il più importante assicuratore al mondo, Lloyds, ha declinato il tema in ben quattro esclusioni diverse. In queste si parla di Stato impattato più che di Stato target: “Le uniche perdite escluse saranno quelle sostenute all’interno di una zona di guerra o all’interno dello Stato in cui l’infrastruttura nazionale critica sia stata gravemente danneggiata. Le perdite subite in altri paesi, dove le infrastrutture critiche nazionali (CNI) rimangono operative e dove non esista lo stato di guerra, saranno coperte”. […]
Per capire meglio, vediamo il parere che ha dato Craig Dunn di AON. “Se una società attiva sia all’interno sia all’esterno dell’Ucraina viene attaccata oggi dai russi, e nella sua polizza di assicurazione informatica ha questa versione sull’esclusione dalla guerra, allora tutte le perdite subite dall’infrastruttura IT in Ucraina, che è in stato di guerra e in quanto tale è uno “stato colpito”, saranno escluse. Tuttavia, se saranno interessate anche le operazioni negli Stati Uniti o nel Regno Unito della stessa società, eventuali perdite derivanti da ciò potranno essere coperte, poiché gli Stati Uniti e il Regno Unito si trovano al di fuori della zona di guerra e non hanno subito attacchi contro le infrastrutture critiche”.
Ciascuno deve fare qui le sue valutazioni, in particolare, la possibilità o necessità di diversificare geograficamente le operazioni IT, almeno quelle di backup.
TIG. Le condizioni richieste dagli assicuratori stanno diventando sempre più ampie e abbracciano oggi quasi ogni fase di una corretta Cyber Hygiene: assessment, patching, protezione delle credenziali, MFA, compliance a norme, ricorso a framework e best practice. Questo significa che stipulare una polizza cyber può essere oggi da stimolo a rivedere processi, tecnologie e ruoli interni nella mitigazione e nella risposta alle minacce di cybersecurity?
Cesare Burei. Ricordiamoci sempre che una polizza cyber ci sosterrà finanziariamente nell’affrontare i costi e i danni derivanti da specifici eventi digitali, ovvero, i costi sostenuti per analizzare l’incidente, sostituire e ripristinare i sistemi, anche affrontare le richieste di danni di terzi in caso di conclamato data breach, pagare i legali e, infine, se lo abbiamo ben calcolato, anche tutti i costi legati alla mancata operatività dell’azienda finché resterà ferma.
Più che di un “trasferimento del rischio” dovremmo considerarlo un “finanziamento del rischio”. Quello che la polizza non ci può restituire è invece il dato perso (qualora non fossimo in grado di recuperarlo) o il valore economico di quelle informazioni, e qui va inteso, non ultimo, il know how, l’intellectual property aziendale.
Dunque, sì, se un’azienda si vuole assicurare bene deve aver implementato le misure minime (sempre in crescita) e/o assicurare alla Compagnia di avere un preciso piano di investimenti in tecnologia, organizzazione e formazione del personale, da implementare in un certo arco di tempo. Laddove questa cultura della prevenzione non esista, certamente l’assicurazione può essere di stimolo. È un discorso che in realtà rientra nel più ampio tema della gestione del rischio, che oggi è a ben vedere molto digital-centrico, ma non solo, e di cui le polizze assicurative, in generale, sono il tassello finale, ma non per questo meno importante, specialmente se adeguate.
TIG. La domanda per queste polizze continua comunque ad essere molto alta (come leggiamo in “More companies buying cyber coverage: Zurich, Advisen”[3]). Quali sono quindi le tue raccomandazioni su come impostare correttamente il rapporto con la compagnia assicurativa? Una terza parte come un consulente specializzato o un broker può aiutare a fornire le informazioni corrette nella scrittura della copertura assicurativa?
Cesare Burei. Bisogna diffidare di una compagnia che si preoccupi poco di capire come abbiamo strutturato digitalmente la nostra azienda e come siamo organizzati per la difesa e la reazione, o che dimostri di non capirci. Da broker ovviamente non possiamo che consigliare di usare figure come le nostre, che lavorano su mandato del cliente e non delle compagnie, che abbiano anche in particolare la capacità di tradurre le specificità del digitale e quelle assicurative tra l’una e l’altra parte. Raramente potremo mettere mano e modificare o adattare un testo assicurativo, per cui bisogna comprenderlo bene e scegliere il meglio per la nostra realtà aziendale, e certamente occorre fare a monte delle scelte migliorative. Infine, nulla è scritto nella pietra: come evolverà la nostra azienda, così dovrà nel tempo evolvere il nostro profilo assicurativo.
A cura di: Elena Vaciago, @evaciago
[1] https://www.darkreading.com/attacks-breaches/oreo-giant-mondelez-settles-notpetya-act-of-war-insurance-suit
[2] https://www.cnbc.com/2022/10/11/companies-are-finding-it-harder-to-get-cyber-insurance-.html
[3] https://www.businessinsurance.com/article/20221026/NEWS06/912353349/More-companies-buying-cyber-coverage-Zurich-Advisen-Information-Security-and-Cy