La cyber insurance sta vivendo una fase di profonda evoluzione: da strumento ancora poco diffuso nel tessuto imprenditoriale italiano, sta progressivamente diventando un elemento sempre più rilevante delle strategie di gestione del rischio aziendale. A trainarne la crescita sono diversi fattori: l’aumento delle minacce informatiche, l’instabilità geopolitica, la crescente dipendenza dal digitale e, soprattutto, l’impatto delle nuove normative europee. Secondo Cesare Burei, AD Margas – Gruppo Verspieren Italia, esperto di cyber risk e cyber insurance, il mercato italiano sta attraversando una fase che ricorda da vicino quanto avvenuto alcuni anni fa con il GDPR, solo che oggi è la direttiva NIS2 a rappresentare uno dei principali acceleratori della domanda.
In un contesto caratterizzato da NIS2, Cyber Resilience Act e intelligenza artificiale, la cyber insurance non può più essere considerata soltanto uno strumento finanziario: sta diventando sempre più un elemento integrante della strategia di resilienza digitale delle organizzazioni. La vera sfida non consiste però semplicemente nel trasferire il rischio attraverso una polizza, ma nel costruire un percorso di maturazione condiviso tra aziende, assicuratori e fornitori di servizi. Nell’intervista, Cesare Burei anticipa alcuni dei temi del suo intervento nel corso del CISO PANEL MILANO, organizzato da TIG il prossimo 15 settembre a Milano.
L’effetto NIS2: la cybersecurity entra nelle agende del management
“La NIS2 ha spostato il focus sugli amministratori dell’azienda e non più soltanto sugli specialisti IT“, osserva Cesare Burei. Molte organizzazioni che fino a pochi anni fa consideravano la cybersecurity una questione esclusivamente tecnica si trovano oggi a confrontarsi con obblighi che coinvolgono direttamente governance, responsabilità e continuità operativa. Il risultato è una crescente attenzione da parte dei vertici aziendali, spesso sollecitati non soltanto dai responsabili IT, ma anche da consulenti legali, commercialisti e organismi di controllo.
Accanto alla spinta normativa, l’effetto emulazione: gli incidenti che colpiscono concorrenti, clienti o fornitori rendono il rischio cyber più concreto e percepibile.
Il vero problema rimane la cultura interna del rischio
Nonostante la crescita dell’attenzione verso la cybersecurity, il principale ostacolo rimane di natura organizzativa e culturale. “Manca spesso il processo di management per tradurre la maggiore sensibilità in misure concrete per la riduzione del rischio in azienda“, sottolinea Cesare Burei. La disponibilità di tecnologie e soluzioni è una realtà, la vera sfida consiste nell’integrare la gestione del rischio cyber nei processi decisionali aziendali, riconoscendo che la sicurezza informatica è un tema trasversale che coinvolge l’intera organizzazione. La stessa NIS2 va in questa direzione, imponendo programmi di formazione e sensibilizzazione che non riguardano soltanto gli specialisti della sicurezza, ma tutto il personale.
Sempre più spesso anche le PMI si assicurano, ma in modo superficiale
Le coperture assicurative per i rischi cyber stanno raggiungendo anche le piccole e medie imprese, tradizionalmente meno mature su questo fronte: tuttavia, permangono alcune criticità. “Le PMI cominciano a sottoscrivere polizze cyber, ma spesso si tratta di polizze malfatte, costruite su questionari insufficienti e destinate a funzionare male in caso di sinistro“, avverte Burei. Tra gli errori più frequenti vi è la tendenza a sottovalutare il rischio reale, sopravvalutando il livello di protezione esistente. Particolare attenzione meritano i sistemi legacy ancora ampiamente presenti nei contesti produttivi, basati su sistemi operativi obsoleti e non più supportati dai produttori. Un altro equivoco diffuso riguarda il cloud computing. “Molte aziende delegano tutto al cloud pensando di non essere più responsabili di nulla e che il cloud sia invulnerabile – dice Burei -. La realtà dimostra esattamente il contrario“.
In molti casi poi, nelle PMI la sottoscrizione della polizza nasce da richieste provenienti dal proprio mercato (per la sicurezza di ampie supply chain), più che da una reale consapevolezza del rischio. “Si fa la polizza perché il grande cliente la chiede oppure perché c’è un obbligo, ma questo non porta necessariamente a una copertura efficace” dice Burei.
Dalle polizze tradizionali a modelli basati sui servizi
Se lato aziende cresce la domanda di polizze, lato offerta si osserva una continua trasformazione: ad esempio, le compagnie assicurative spesso integrano nelle coperture servizi di prevenzione, monitoraggio e risposta agli incidenti, con l’obiettivo di ridurre concretamente il rischio dell’assicurato. L’approccio tradizionale, basato esclusivamente sul trasferimento del rischio, lascia progressivamente spazio a modelli più collaborativi, nei quali assicuratore e assicurato condividono l’obiettivo di migliorare la postura di sicurezza dell’organizzazione. Secondo Cesare Burei, questa evoluzione dovrebbe però procedere con una velocità maggiore: le minacce informatiche cambiano continuamente e i prodotti assicurativi dovrebbero aggiornarsi di conseguenza. “Essendo un mercato molto veloce, i prodotti assicurativi dovrebbero evolvere almeno annualmente. Purtroppo, non sempre accade” dice Burei.
Un ulteriore elemento critico riguarda la forte eterogeneità delle coperture disponibili sul mercato. Sebbene esistano standard e framework di riferimento, il loro livello di adozione appare ancora limitato. Burei richiama in particolare l’attenzione sulla norma ISO 27102, che fornisce indicazioni per la strutturazione delle polizze cyber. La conseguenza è un mercato caratterizzato da testi contrattuali molto differenti tra loro, spesso difficili da confrontare e valutare in modo oggettivo da parte delle aziende.
L’intelligenza artificiale apre nuovi scenari assicurativi
Se la cyber insurance è destinata a evolvere, l’arrivo dell’intelligenza artificiale potrebbe rappresentare un cambiamento ancora più radicale. Paradossalmente, secondo Burei, gli impatti maggiori non riguarderanno tanto le coperture cyber quanto le tradizionali polizze di responsabilità civile. La diffusione degli agenti AI introduce infatti un nuovo soggetto operativo che agisce autonomamente per conto dell’utente o dell’organizzazione: questo genera interrogativi completamente nuovi in materia di responsabilità. “L’azione di un agente AI ricade sotto la responsabilità di qualcuno. La domanda è: di chi?” dice Burei.
A questo si aggiunga che oggi – per i prodotti digitali – sono in arrivo regolamenti europei come il Cyber Resilience Act (CRA, che introduce requisiti obbligatori di sicurezza informatica per tutti i prodotti con hardware e software) e la nuova Direttiva UE sulla responsabilità da prodotto difettoso (Direttiva UE 2024/2853, che rivoluziona la storica normativa del 1985 (85/374/CEE), introducendo responsabilità oggettiva anche per software, intelligenza artificiale e per gli operatori economici della catena logistica e digitale). In questo nuovo quadro regolatorio, il software viene equiparato a un prodotto e, di conseguenza, i produttori possono essere chiamati a rispondere dei danni causati. “L’intelligenza artificiale è software e nel momento in cui viene fornita all’utente finale, chi la sviluppa o la commercializza può essere responsabile dei danni che provoca” afferma Burei. Per le aziende che sviluppano prodotti intelligenti, dispositivi connessi o soluzioni basate su AI si apre quindi una nuova stagione di obblighi, controlli e responsabilità.
A cura di: Elena Vaciago, Research Manager, TIG – The Innovation Group
Cesare Burei parteciperà come Keynote Speaker al CISO PANEL del prossimo 15 settembre a Milano, con un intervento sul tema “SIETE SICURI CHE LA POLIZZA CYBER VI SERVA?”. Per partecipare al CISO Panel, evento ristretto a responsabili cybersecurity, informazioni sul sito:
