A fronte dell’inarrestabile estensione della dimensione digitale nella vita privata e nelle organizzazioni, e gli ingenti danni e costi inferti da incidenti cyber sempre più frequenti, l’IVASS – Istituto per la Vigilanza sulle Assicurazioni – ha pubblicato lo scorso ottobre l’esito di un’indagine sullo stato dell’arte delle polizze assicurative contro il rischio cyber, c.d. “polizze cyber”, offerte dalle compagnie di assicurazione a protezione dei singoli individui/famiglie (clienti retail) e delle Piccole e Medie Imprese (PMI).
L’analisi ha riguardato 50 diversi contratti assicurativi per la protezione cyber in commercio al 30 luglio 2023, sia “stand alone” (ossia polizze espressamente disegnate per la copertura del rischio cyber) che “multirischio” (ovvero pensate per coprire diverse tipologie di rischi, incluso quello cyber). Per effettuare l’analisi sono stati esaminati i set informativi dei contratti presenti sui siti web delle compagnie. Con Cesare Burei, CEO di Margas, broker assicurativo, che su questi temi interverrà nel corso del CYBERSECURITY SUMMIT 2024 il prossimo 28 e 29 febbraio a Milano, abbiamo approfondito i risultati dello studio per quanto riguarda l’offerta assicurativa rivolta alle PMI.
TIG. Quali sono le principali caratteristiche delle polizze cyber rivolte alle PMI, così come appare dal report Ivass?
Cesare Burei. Le polizze cyber per le PMI hanno tipicamente due macrosezioni al proprio l’interno. La prima parla di responsabilità civile verso terzi (in inglese third party liability) e risponde in presenza di una richiesta danni da parte di terzi a seguito di una violazione privacy o dell’utilizzo dei propri sistemi per attaccare quelli di altri. Questa sezione, che è presente in tutte le polizze cyber, diventa più o meno importante a seconda che l’azienda tratti tanti o pochi dati personali o particolari, e sia più o meno interconnessa digitalmente con altre organizzazioni.
La seconda parte è, invece, quella relativa alla copertura per danni propri: considera quindi i costi che emergono dopo un sinistro (un incidente cyber), costi vivi sostenuti per la reazione all’incidente, piuttosto che per la ripresa dell’attività aziendale. Una garanzia che questa sezione non sempre prevede, ma che a mio parere è molto importante, è quella riguardante i danni da interruzione dell’attività, che possono essere impattanti per le aziende. In genere ci si riferisce non tanto alla perdita di fatturato, ma piuttosto alla perdita di profitto lordo. Per calcolare il danno il perito metterà a confronto il profitto lordo del periodo del sinistro con quello di un periodo normale e l’eventuale perdita dovrà essere indennizzata dall’assicuratore sempre che, in fase di analisi del rischio, si siano concordati massimali adeguati.
TIG. I testi delle coperture cyber, come emerge dall’indagine Ivass, sono abbastanza standardizzati. Potrebbe servire maggiore flessibilità, per andare incontro a singole esigenze?
Cesare Burei. I testi sono in effetti abbastanza standardizzati: fare modifiche al di fuori delle condizioni previste dall’assicuratore è molto difficile. Molti assicuratori, infatti, rivendono prodotti che sono proposti loro chiavi in mano da riassicuratori.
La mia esperienza conferma che, a differenza di un contratto ormai storico come quello incendio, per la polizza cyber le condizioni sono predefinite e con la Compagnia non c’è modo di discutere. Questo implica operare scelte consapevoli e il più possibili aderenti alle nostre specifiche esigenze.
Come rileva anche Ivass, bisognerebbe cioè concentrarsi su una accurata analisi della specificità del rischio aziendale e dello stato dell’arte della gestione degli asset digitali, della cybersecurity e della compliance. E, in generale, sento di poter affermare che il processo di avvicinamento e di sottoscrizione di una polizza sia oggi invece assolutamente debole. Si passa sempre attraverso un assessment, ma questo è per lo più basato solo su uno o più questionari, che a volte contengono poche domande, altre volte fin troppe. Ad ogni modo, la loro compilazione potrebbe non rappresentare bene il rischio effettivamente corso dall’azienda. Dare poche informazioni all’assicuratore o informazioni non corrette e in linea con il rischio reale, può portare a cattive sorprese dopo, cioè quando un sinistro mette alla prova dei fatti la polizza.
TIG. E qui veniamo al tema di quanto siano effettivamente efficaci queste coperture. Lo studio Ivass rileva la questione della varietà dei prerequisiti minimi che l’organizzazione deve rispettare, a seconda del contratto assicurativo, e delle esclusioni e franchigie che ne riducono ampiezza e applicabilità, oltretutto con ampi margini di ambiguità. Ad esempio, la clausola di esclusione in caso di “guerra”, presente nella maggior parte dei contratti esaminati, non esplicita se il termine “guerra” includa anche la “guerra informatica”, tema di particolare attualità.
A tuo giudizio, quanto possono pesare le limitazioni ed esclusioni indicate nella ricerca sulla possibilità di ottenere il risarcimento dell’assicuratore in caso di incidente?
Cesare Burei. Le esclusioni e limitazioni delle polizze cyber sono motivate dal fatto che gli assicuratori rivedono i testi di polizza nel tempo e alla luce dei rischi e danni emergenti. Più di dieci anni fa si è partiti con polizze All Risks Cyber indicando dei rischi nominati; nel tempo sono state escluse alcune fattispecie di sinistro via via che si manifestavano. I testi sono diventati via via sempre più complessi da leggere, con esclusioni sempre più estese e particolari. Questo rende faticoso simularne il funzionamento in caso di sinistro. Dove non ci sono esclusioni, poi, devo andare a considerare le limitazioni di massimale. Tutto questo rende la proposizione della polizza al cliente finale piuttosto ostica.
Il contratto di cyber insurance è uno dei più difficili da capire e da proporre. Tornando all’esempio di guerra. Nell’accezione tradizionale, una guerra tra stati viene dichiarata. Non mi risulta che nessuna guerra informatica sia stata dichiarata, tantomeno tra stati, mentre spesso sono stati rivendicati attacchi informatici da organizzazioni pseudo-indipendenti. L’esclusione di cui sopra lascia margini troppo ampi di indeterminazione, se applicata al mondo digitale.
TIG. Questo comporta che alcuni clienti rinuncino ad assicurare il rischio cyber? Quale impatto ha sul mercato?
Cesare Burei. La domanda c’è, i sinistri ci sono, come vediamo anche dalle notizie sui giornali. L’incidente Westpole, ad esempio, ha impattato moltissime pubbliche amministrazioni, appoggiatisi a questo cloud provider (Ndr: tra i clienti di Westpole c’è PA Digitale, azienda che produce il software URBI, una piattaforma di soluzioni applicative gestionali per la PA usata da centinaia tra amministrazioni comunali, provinciali e centrali, aziende pubbliche locali, utility, gestori di pubblici servizi, enti).
I sinistri accadono con frequenza giornaliera e l’imprenditore oggi questo problema se lo pone eccome, però manca la giusta mentalità per avvicinarsi correttamente ed efficacemente alla sottoscrizione. La polizza arriva a volte con un questionario precompilato e questo genera una falsa aspettativa nei confronti del rimborso: se non sono preparato a farla funzionare, funzionerà male per forza. Una corretta sottoscrizione dovrebbe invece partire dall’asset inventory, l’inventario digitale dell’azienda, cosa che oggi fanno in pochissimi. Fare (periodicamente) una fotografia del digitale che ho in utilizzo dovrebbe essere obbligatorio. Ma sono gli assicuratori stessi a non richiederla.
La crescita tumultuosa della trasformazione digitale e dell’Industria 4.0 nelle organizzazioni è arrivata ad avere impatti pesanti; nell’impresa moderna abbiamo raggiunto una maturità digitale senza che ad essa corrispondessero una governance del digitale e una protezione adeguata dai rischi che contemporaneamente aumentavano e si diffondevano. Il risultato è che dietro ad una apparente efficienza del sistema, si celino tra le pieghe della sua versione digitale ridondanze o lacune, macchine vecchie che fanno bene il loro lavoro, ma sono molto insicure e personale poco consapevole della importanza e della qualità della propria interazione digitale. Gli attaccanti sfruttano esattamente questa debolezza intrinseca e il sinistro arriva e, se anche sono assicurato, far funzionare correttamente la polizza può essere molto complicato.
TIG. Parliamo di condizioni minime di assicurabilità o prerequisiti. Come riporta lo studio Ivass, nei contratti analizzati i principali sono:
- la presenza di idonei presidi informatici per prevenire/fronteggiare gli attacchi;
- l’installazione e l’aggiornamento frequente di adeguati sistemi antivirus e firewall;
- lo svolgimento di backup dei sistemi informatici;
- adeguata connessione a Internet per consentire le riparazioni tecniche da remoto;
- adeguate misure organizzative per la corretta e la consapevole gestione dei rischi informatici, ovvero procedure e strutture dedicate interne o esterne per il presidio delle funzioni IT, formazione digitale continua del personale, ecc.;
- la sottoscrizione e il mantenimento per tutto il periodo di vigenza della polizza di un contratto di assistenza tecnica e di manutenzione sia per l’hardware che per il software.
Sono effettivamente queste quelle che servono per una buona copertura cyber?
Cesare Burei. In un mondo ideale, sì; nelle organizzazioni dovrebbero sussistere tutte queste condizioni di assicurabilità, ma è il come a fare la differenza e questo nei contratti non è chiarito. Ad esempio prendiamo l’antivirus: un concetto obsoleto da almeno dieci anni e non più sufficiente neanche nelle strutture medio piccole. Oggi si deve parlare di endpoint protection, cioè di soluzioni in grado di prendere il controllo del comportamento della macchina. Sistemi di supervisione del comportamento della rete. Questa richiesta, quindi, è un punto debole della copertura cyber, perché spinge molti a pensare di essere a posto con l’antivirus, mentre i tecnici ci dicono da anni che, come misura basilare, non è più sufficiente.
In aggiunta, se ho “idonei presidi informatici” non è detto che abbia le prove di cosa succede quando avviene il sinistro, prove che invece sono necessarie per ingaggiare l’assicuratore, a cui devo dimostrare cosa è successo. Questo l’antivirus non lo fa.
Passiamo all’aggiornamento frequente di antivirus e firewall: cosa vuol dire frequente? Conosco casi in cui un ritardo di aggiornamento di tre mesi ha comportato una debolezza lato apparecchiatura, e quindi a un attacco perpetrato nei confronti dell’azienda. Bisogna intendersi quindi su cosa vuol dire “frequente”: in una grande azienda, il deployment di un aggiornamento in tutta l’infrastruttura richiede tempo, anche di verifica. Quindi, anche questa voce è vaga e discutibile.
Consideriamo poi il tema dello svolgimento di periodici e frequenti backup informatici. Quali backup servono in realtà? Dobbiamo specificare meglio cosa vuol dire “fare backup”. Per me vale la regola del 3-2-1: 3 copie su 2 supporti diversi, fisici o in cloud, di cui 1 disconnesso dalla rete, anche su nastro, come backup di ultima istanza. Una regola base che troppo spesso non è rispettata, mentre potrebbe permettere di rimettersi in piedi da un attacco devastante. Infine: adeguata connessione a Internet? In realtà, in caso di attacco, una delle prime cose da fare è isolarsi e disconnettersi dal mondo esterno, per capire bene cosa è successo nella mia infrastruttura.
TIG. Quindi in sostanza le condizioni di assicurabilità risultano generiche e poco utili. Questo si riflette sul fatto che, al momento del sinistro, potrebbero non essere operative?
Cesare Burei. Per essere più sicuri sia dagli attacchi che poi per discutere con gli assicuratori in fase di sinistro, bisognerebbe effettuare un digital inventory e un vulnerability assessment interno prima della copertura, insomma fare la “stima digitale preventiva” ai fini assicurativi. Questo ci permette di capire come siamo messi, se le condizioni sono rispettate oppure no, e in questo caso, di migliorare la mia postura. Perché altrimenti la copertura assicurativa funzionerà malissimo, con delusioni clamorose lato cliente. E questo non fa bene né al cliente, né al mercato di queste polizze.
TIG. In ultima analisi, ritieni che le polizze cyber per le PMI, così come emergono dalla ricerca Ivass, siano un utile ausilio nella prevenzione di forti impatti economici legati agli incidenti cyber?
Cesare Burei. Assolutamente sì. Certamente perché rappresentano una risorsa economica in tempo di crisi, ma anche perché nei casi di maggiore inconsapevolezza grazie anche al solo questionario si viene, magari per la prima volta, costretti a “guardarsi dentro”. E’ un inizio. Le difficoltà che poi questi questionari rappresentano renderebbero necessario un accompagnamento alle aziende che gli assicuratori non danno. Soprattutto nelle PMI.
Potrei fare molti esempi in cui le coperture assicurative si sono rivelate molto utili quando l’azienda era pronta a reagire in una settimana pur subendo le conseguenze del sinistro ancora per svariate altre settimane. Il supporto finanziario della polizza cyber è quindi fondamentale e nessun’altra polizza lo fornisce: la polizza cyber è del tutto complementare ad altre coperture e costituisce uno strumento necessario di risk financing. Aiuta l’azienda con le spese inevitabili in caso di incidente e fornisce anche esperti su aspetti di Incident management dove questi non ci sono. Le polizze cyber, quindi, possono essere molto utili, ma vanno approcciate in modo corretto e certamente non vendendo e acquistando la polizza “un tanto al chilo”.
TIG. Dallo studio Ivass emerge anche che in Italia operano compagnie, estere, che propongono polizze che coprono il costo dell’estorsione da ransomware. Cosa ne pensi?
Cesare Burei. Premetto che pagare il riscatto, pur non essendo per ora un reato in questo ambito, di fatto finanzia un’attività illecita. C’è tuttavia un problema di radicamento del reato in sé: faccio il pagamento a un conto bitcoin sovranazionale, quale legislazione applico? Poi, chi fa concretamente il pagamento? Poiché serve un conto in bitcoin da aprire e su cui versare, si aprono scenari interessanti.
A livello internazionale si sta discutendo se eliminare questa possibilità. Nel frattempo, alcuni assicuratori (per lo più anglosassoni) propongono, pragmaticamente, di rimborsare questi pagamenti. Il motivo sostanziale è che dovendo rimborsare il fermo attività, devono tener conto di quanto possa costare NON giocarsi la carta del pagamento e dunque di un rapido ripristino di sistemi e dati (per quanto senza certezza di riuscita). Questo infatti allunga di fatto il fermo e dunque il costo per la compagnia. L’assicurato può e deve prendere una decisione in merito nel momento in cui vuole assicurarsi tenendo presente che nello scenario peggiore potrebbe stare fermo con le vendite anche per diversi mesi. Me lo posso permettere? come mitigare il danno e riprendere l’attività? Gli assicuratori italiani in ogni modo preferiscono evitare queste diatribe limitandosi ad assistere l’assicurato nella trattativa con l’attaccante senza risarcire il pagamento.
TIG. Quali sono le tue proposte per far crescere meglio e di più il mercato della cyber insurance in Italia?
Cesare Burei. Come riportano anche le conclusioni del report Ivass, c’è una raccomandazione in particolare che mi sta a cuore e che ho portato personalmente al tavolo di lavoro di cui ho avuto l’onore di far parte come associato e membro del CTS di AIBA – Associazione Italiana dei Broker Assicurativi-, il suo presidente Fabio Sestili e le redattrici della ricerca Ivass: è necessario che le Compagnie si mettano d’accordo su linguaggio tecnico da utilizzare! Non è possibile che ancora oggi le coperture cyber riportino definizioni tra loro diverse. Abbiamo a disposizione un linguaggio comune, un glossario come il Cyber Lexicon del FSB – Financial Stability Board, per esempio, con definizioni consolidate e accettate dalla comunità digitale, che Ivass ha fatto suo. Andrebbero utilizzate queste definizioni: sarebbe un buon punto di partenza, per evitare tanta fatica nella proposizione al cliente e malintesi che alla fine costano cari a lui, ma anche alla reputazione del mondo assicurativo.
A cura di:
Elena Vaciago, Research Manager, The Innovation Group
Il tema sarà discusso durante il CYBERSECURITY SUMMIT 2024, il prossimo 29 febbraio a Milano.
Consulta l’Agenda e iscriviti!
(La partecipazione è soggetta ad approvazione della Segreteria organizzativa del Summit).
