Cyber Insurance: evoluzioni nel mercato italiano

Cyber Insurance: evoluzioni nel mercato italiano

Cyber Insurance: evoluzioni nel mercato italiano

Quali evoluzioni della Cyber Insurance, ossia delle coperture assicurative per il rischio cyber, si osservano nel mercato italiano ed europeo? Quali sono i fattori che fanno crescere la domanda per l’insurance abbinata alla cybersecurity? Quali invece gli elementi che ancora limitano questo investimento, soprattutto se confrontiamo il nostro mercato rispetto a quello del Nord America?
Ne parliamo in questa intervista con Cesare Burei, Cyber Risk Insurance Broker di Margas, che su questi temi interverrà anche nel corso del CYBERSECURITY SUMMIT 2018, edizione di Milano, il prossimo 31 maggio 2018.

Cesare Burei. Il panorama italiano dell’offerta è presidiato da non più di 5, 6 player con prodotti assicurativi abbastanza evoluti per far fronte ad un’utenza business di tipo enterprise e altrettanti specificatamente tarati su target medio/piccoli.

Certo è che i prodotti sono in continua, anche se lenta, evoluzione, sulla spinta del GDPR e dell’evoluzione dei rischi percepiti o reali, e chi non era sul mercato fino a poco tempo fa con un prodotto dedicato, sta arrivando ora.

I dati più rappresentativi sullo status quo del mercato, sull’entità dei sinistri e la loro tipologia, provengono essenzialmente dal mercato anglosassone, dove da anni vige l’obbligo di notifica da parte delle imprese colpite da incidenti di tipo cyber, cosa che spiega la maggiore diffusione di questo tipo di contratti in quell’area.

Che il settore sia in crescita in Europa e in Italia però è indubbio. Il GDPR e il suo focus sulla gestione del rischio e delle responsabilità, le misure incentivanti l’industria 4.0 e l’IIoT, la continua copertura mediatica degli attacchi o dei disservizi (con le conseguenti sottrazioni di dati sensibili o perdite economiche da fermo d’attività e perdita di reputazione) sono certamente fra le cause più importanti di questa crescita. Non spingono solo sul fronte delle cosiddette polizze cyber, ma anche in modo più ampio sulla revisione o introduzione di coperture collegate per la copertura del rischio: la D&O (Responsabilità di amministratori e dirigenti) e la Responsabilità Civile Professionale ICT propria o dei fornitori critici.

I fattori che invece – dal nostro punto di vista di broker specializzati – ostacolano una diffusione più consistente, ci sembrano essenzialmente i seguenti 3:

  • Una ancora bassa competenza del canale assicurativo (siamo stati chiamati proprio quest’anno a condurre alcuni Top Training sia da AIBA, la nostra associazione, sia da CINEAS o dalle stesse compagnie).
  • Scarsa diffusione di cultura assicurativa in ottica di Cyber Risk management nelle imprese.
  • Consistente difficoltà di comparazione tra le polizze, soprattutto per la disomogeneità in fatto di definizioni.

TIG. Da una nostra recente survey (rivolta a un campione di aziende medio grandi) risulta che in Italia c’è una domanda crescente di coperture assicurative per il cyber risk. Business Disruption e perdita dei dati appaiono essere le prime due aree per cui si acquistano coperture assicurative: la copertura per il ransomware è invece all’ultimo posto. Vi ritrovate con questo risultato? Qual è la vostra percezione?

Cesare Burei. Possiamo confermare l’aumento di interesse per la ricognizione delle proposte sul mercato. Per quanto riguarda il Ransomware come ultimo driver di assicurazione: il Ransomware in realtà sta colpendo trasversalmente causando potenzialmente fermo d’attività, costi di recupero, interventi di specialisti. Un impatto economico che però si cerca di minimizzare nella maggior parte dei casi procedendo rapidamente al pagamento del riscatto senza neanche considerare l’opzione assicurativa.

TIG. Dai risultati della nostra survey emerge che oggi il 90% delle aziende dichiara di essere stata oggetto nel 2017 di almeno una, ma spesso più di una, minaccia informatica che ha messo a rischio la propria azienda. Quali dovrebbero essere secondo voi le priorità di un’azienda nella valutazione della propria esposizione ai rischi cyber? A cosa fare più attenzione? In che modo l’assicurazione può aiutare a migliorare le strategie di prevenzione di impatti gravi legati agli incidenti informatici sempre più frequenti?

Cesare Burei. Sarete d’accordo con me che allocare correttamente azioni di mitigazione e budget (anche per le assicurazioni naturalmente) e identificare un ordine di grandezza del potenziale rischio economico-finanziario è molto importante.  Le azioni prioritarie sul fronte assicurativo che consentano di trasferire la parte preponderante di un eventuale danno economico e di abilitare una rapida e spesso migliore ripartenza post crisi, a nostro avviso sono queste:

  • Valutare il proprio rischio complessivamente effettuando una Business Impact Analysis (BIA).
  • Leggere i contratti assicurativi in essere in ottica cyber risk.
  • Analizzare il bilancio per una corretta calibrazione delle aree di polizza, specialmente della BI.
  • Analizzare la resilienza assicurativa dei fornitori critici ICT.

In questo modo l’azienda e il suo partner assicurativo dovrebbero essere in grado di avere tutte le informazioni per dotarsi di una soluzione o un insieme di soluzioni efficaci.

Last but not least: per le aziende che non attuano politiche di risk management o non hanno ancora un risk manager preparato a leggere i rischi nella pervasiva chiave cyber, occuparsi di assicurazioni con la dovuta attenzione può avere grandi vantaggi. Leggere i contratti assicurativi e cercare di rispondere ai famosi (talvolta anche contestabili) questionari, è un modo diverso, ma interessante ed efficace, per accrescere la consapevolezza del rischio e dunque per abbassarne la soglia; farlo bene richiede un lavoro in team e dunque la condivisione di informazioni e dei punti deboli di processi e tecnologie che è necessario siano patrimonio condiviso e approfondito per una serie evidente di ragioni, anche assicurative.

INTERVISTA A:

CESARE BUREI, Cyber Risk Insurance Broker di Margas

A cura di: Elena Vaciago, @evaciago

———————————————————

È oggi vitale per ogni organizzazione rimanere aggiornata sugli ultimi trend della Cybersecurity.

Conoscere le sfide più recenti in tema di evoluzione del Cyber Crime in Italia e quali sono le nuove tecniche di attacco utilizzate dagli Hacker. Confrontarsi con il tema della GDPR e Data protection. Comprendere gli impatti delle Fake News sulla Reputazione online, la Cybersecurity per l’IIoT e l’Industria 4.0, l’impatto economico del Cyber Risk e l’opportunità Cyber insurance.

Tutto questo e molto di più sarà presentato durante il CYBERSECURITY SUMMIT 2018 di The Innovation Group, il prossimo 30 e 31 maggio a Milano: registrati subito, le iscrizioni sono aperte!

Cyber Insurance