Il rischio cyber è una minaccia globale sempre più importante. La digitalizzazione comporta da un lato una rivoluzione nei business model e un nuovo modo di vivere e lavorare, ma dall’altro lato, l’economia globale è sempre più vulnerabile a potenziali attacchi cyber dirompenti e inarrestabili. Se per le aziende grandi e piccole la copertura assicurativa contro data breach e ransomware diventa quindi una possibilità interessante, gli assicuratori tradizionali possono invece incontrare difficoltà nella comprensione e quantificazione corretta di questo “nuovo rischio”. Ne abbiamo parlato con Vittorio Scala, Rappresentante Generale in Italia per i Lloyd’s, che a livello internazionale vantano un’esperienza decennale su questo tema.
TIG. Quali evoluzioni osserva con riferimenti ai rischi cyber e quali sono oggi le sfide per il settore Insurance?
Vittorio Scala. Il nostro punto di vista è di creare awareness e puntare ad una maggiore comprensione di questo rischio, quindi l’aspetto evolutivo è quello più interessante e difficile da analizzare. Il rischio cyber si distingue per la caratteristica di essere in costante evoluzione: cambia di giorno in giorno a seguito dei nuovi trend tecnologici e dei nuovi modus operandi degli attaccanti. Anche le PMI o gli studi professionali, prima meno sofisticati negli utilizzi digitali, oggi sono molto più esposti.
TIG. Quali sono quindi le sfide per il settore Insurance e come le stanno affrontando i Lloyd’s?
Vittorio Scala. Noi analizziamo i rischi cyber e ne facciamo comprendere le caratteristiche a chi potrebbe essere l’utilizzatore di uno strumento di risk transfer. Va aggiunto che nell’evoluzione non possiamo trascurare gli aspetti legislativi, che oggi entrano nella valutazione dell’impatto di un attacco o di un incidente cyber. Il GDPR o le nuove class action hanno un impatto significativo sulla comprensione e quantificazione di questo rischio. Sostanzialmente vediamo 4 sfide principali per il settore assicurativo.
- Quantificazione e gestione dell’esposizione. Un’analisi del rischio cyber fatta 6 mesi fa, oggi va rifatta. L’esposizione di un’azienda è in continua evoluzione, anche la copertura assicurativa di conseguenza va aggiornata. Il contratto ha una certa durata, va quindi rivisto periodicamente con il cliente per gestire al meglio l’esposizione da garantire con lo strumento assicurativo.
- Corretta offerta dei limiti delle coperture. Si parla per il rischio cyber esclusivamente di un’offerta assicurativa tailor-made, con prodotti su misura. Anche considerando PMI o ditte individuali, l’investimento da fare varia notevolmente: è quindi molto difficile uscire dal mercato esclusivo delle grandi organizzazioni, arrivando anche alle piccole aziende con prodotti ritagliati sulle singole esigenze. In genere alle PMI si offrono prodotti standard, ma in questo caso è molto difficile.
- Corretta valutazione del pricing. Come conseguenza dei primi punti, con un’esposizione che non si conosce bene, è difficile fare una corretta quantificazione di un premio congruo. Oltre a questo, con l’esposizione che cambia nel tempo, e con la scarsa statistica su un mercato ancora poco maturo come quello italiano, difficile individuare il pricing corretto. Nel Nord America, dove i Lloyd’s offrono la protezione cyber da oltre 20 anni, si dispone di una statistica già più strutturata per cui è più semplice mettere sul mercato prodotti con pricing corretto.
- Quantificazione del danno nel momento in cui c’è il sinistro. Quando c’è un sinistro cyber, all’inizio può sembrare che i problemi siano limitati, ma dopo un po’ si scopre che il danno è andato oltre il perimetro iniziale, ad esempio ha coinvolto anche terze parti. Bisogna quindi lavorare con tecniche di intervento immediato subito dopo il sinistro, e quantificarlo bene dall’inizio.
TIG. Da una nostra recente survey (rivolta a un campione di aziende medio grandi) risulta che in Italia c’è un trend di adozione importante della cyber insurance, con oggi circa un 15% di adozione. Business Disruption e perdita dei dati appaiono essere le prime due aree per cui si acquistano coperture assicurative: la copertura per il ransomware è invece all’ultimo posto. Quali evoluzioni vedete sul fronte dell’adozione nel mercato italiano?
Vittorio Scala. Il Ransomware sta diventando uno dei rischi maggiori. Oggi la clientela ritiene che questi rischi riguardino le multinazionali: invece il ransomware tende a colpire soprattutto le piccole e medie imprese, che sono numericamente di più e che spesso non dispongono neanche di misure di base. Inoltre, non avendo pianificato una cyber resilience, hanno più difficoltà a ripartire dopo l’attacco. Essendo le somme richieste per il riscatto abbastanza limitate, queste aziende spesso preferiscono pagare.
Oggi è possibile dotarsi di una copertura assicurativa per il ransomware. Normalmente non comprende il pagamento della richiesta di riscatto, ma ripaga invece l’intervento per sbloccare e far scappare l’hacker, fornendo una copertura sui costi di intervento e ripristino. Pensiamo al GDPR: comporterà sanzioni importanti (che per legge in Italia non possono essere assicurate) ma le spese per la notifica del data breach, che possono essere importanti, potranno invece essere assicurate.
Un altro elemento da considerare quando si procede ad una copertura assicurativa è quello relativo dell’acquisto o alla riprogrammazione di tutto il sistema e al recupero dei dati dopo un incidente informatico. Normalmente le aziende ritengono che questi aspetti siano compresi nella Copertura Danni indiretti, mentre questa di solito copre solo i danni da fermo delle attività, non invece i costi legati al ripristino dei sistemi. Altri aspetti non coperti dalla Danni indiretti sono il danno alla reputazione, i costi per responsabilità civile (danni a terzi), per negligenza, o le spese legali, spesso molto importanti. Ci sono oggi casi in cui un cliente intenta una causa di richiesta danni perché non ha potuto accedere ai propri dati (per data breach, ransomware o altro).
TIG. Come stimate l’impatto economico delle minacce cyber?
Vittorio Scala. Ai Lloyd’s abbiamo un Team specializzato in queste analisi e periodicamente pubblichiamo nuovi studi (come l’Emerging Risks Report 2017 “Counting the cost, Cyber exposure decoded”, e l’Emerging Risk Report 2018 “Cloud Down. Impacts on the US economy”) per aiutare tutto il mercato assicurativo a quantificare al meglio le esposizioni e le evoluzioni del rischio cyber.
TIG. Sono confrontabili le diverse offerte di cyber insurance sul mercato?
Vittorio Scala. Oggi si osservano forti disparità: gli assicuratori tradizionali tendono a limitare la copertura al danno indiretto: spesso si tratta solo di estensioni al rischio cyber della polizza danni indiretti. Arriviamo fino alle polizze cyber vere e proprie, che possono coprire più aspetti o essere limitative nel tipo di copertura.
Un aspetto importante, che fa la vera differenza dell’attuale offerta, è quello dei servizi collegati alla copertura cyber. I nostri prodotti, oltre alla polizza cyber, mettono a disposizione non solo l’intervento d’emergenza nel momento del sinistro (con un numero verde pronto e disponibile che fornisce indicazioni su cosa fare), ma anche servizi di pre-sinistro, di assessment e valutazione della cybersecurity della singola azienda, per capire il livello di sicurezza attuale e quali sono tutte le soluzioni per migliorare, indipendentemente dalla copertura assicurativa. In ogni caso, la valutazione finale è sempre molto soggettiva, su misura per la singola azienda.
TIG. Quali possono essere oggi i valori raggiunti dal massimale di una copertura cyber?
Vittorio Scala. Oggi purtroppo un’azienda può stipulare una copertura con 500.000 euro – 1M euro di massimale. Tutto porta ad aumentare in modo esponenziale la necessità di massimali elevati: guardiamo anche soltanto all’evoluzione delle class action, oggi è inevitabile considerarle (per lo meno in alcuni settori).
TIG. Con riferimento all’adozione di Cyber Insurance, oggi alcuni mercati, pensiamo a quello Bancario, sono più maturi: dove risiedono le opportunità?
Vittorio Scala. Vedo grandi opportunità di sviluppo della cyber insurance nell’ambito delle PMI e degli studi professionali. Se faremo bene il nostro lavoro nel creare consapevolezza del rischio, anche a seguito del GDPR ci sarà sempre di più questa necessità.
INTERVISTA A:
VITTORIO SCALA,
Rappresentante Generale per l’Italia dei Lloyd’s.
A cura di: Elena Vaciago
Associate Research Manager, The Innovation Group
I temi della misurazione del Rischio Cyber, dei costi a cui vanno incontro le aziende, dell’impatto anche economico di un Data Breach saranno al centro dei lavori del prossimo
CYBERSECURITY SUMMIT MILANO 2018
The Future of Cybersecurity in the Age of Digital Transformation
30 e 31 maggio 2018 – Enterprise Hotel – Milano
Giunto alla sua sesta edizione, il “CYBERSECURITY SUMMIT 2018” si terrà il prossimo 30 e 31 maggio 2018 a Milano con la partecipazione di Keynote Speaker e dei migliori Esperti italiani e internazionali. Il Cybersecurity Summit di The Innovation Groupcrea un’occasione unica di scambio di esperienze e di networking, di discussione ed approfondimento, per comprendere come stanno evolvendo le esigenze di sicurezza ICT, quali sono le contromisure più attuali da adottare, come progettare e sviluppare soluzioni innovative di Cyber Risk management. (Iscriviti subito! posti limitati, soggetti ad autorizzazione della Segreteria Organizzativa).
