La capacità di gestire gli attacchi informatici determina il premio della polizza cyber.
Il rischio informatico costa caro alle aziende che cercano polizze assicurative per proteggersi dagli attacchi cyber perché, per determinare i premi, le assicurazioni oggi devono valutare due fattori: l’esposizione al rischio dell’azienda e, naturalmente, il più ampio contesto di crescita delle violazioni informatiche a livello globale.
Gli attacchi cyber crescono in tutto il mondo
I dati delle violazioni cyber sono infatti in costante crescita: a livello globale, gli attacchi ransomware sono aumentati del 25% lo scorso anno (dati S&P Global Ratings, NdR).
Le aziende hanno quindi innalzato i budget medi dedicati alla sicurezza informatica (+26%) ma il costo globale del crimine cibernetico dovrebbe superare entro il 2025 i 10,5 mila miliardi di dollari, praticamente tre quarti del PIL annuo della Cina.
Con un impatto anche sull’andamento dei prezzi dei premi assicurativi, che aumenteranno di circa un quarto fino alla fine del 2025.
I costi economici di un attacco informatico fanno impallidire qualsiasi altro rischio, persino fenomeni come le catastrofi naturali. Per le compagnie si prospetta dunque un mercato enorme, soprattutto se guardiamo all’Italia, da sempre un paese sotto-assicurato.
La preparazione informatica dell’azienda
Ma il costo dei premi, come detto inizialmente, è un elemento variabile, determinato da vari indicatori, tra cui anche la preparazione informatica del cliente da assicurare.
Le assicurazioni hanno quindi bisogno di sapere se le aziende hanno implementato iniziative contro il phishing, software per filtrare le mail contro possibili attacchi malware e per bloccare domini sospetti, sandboxing per la connessione remota e sistemi di autenticazione forte a più fattori.
La gestione del rischio passa soprattutto dai dipendenti, perché, è ormai noto, l’elemento umano è l’anello debole della sicurezza.
Elementi tecnici e infrastrutturali per la valutazione
Ci sono poi altri elementi su cui si basa la valutazione del premio delle polizze cyber, più tecnici e infrastrutturali: riguardano la sicurezza degli endpoint, le attività di testing in ambito sicurezza e compliance, la capacità di contenere gli incidenti, di garantire la business continuity con sistemi di backup e disaster recovery e testare la propria resilienza agli attacchi.
Il costo del premio cresce di anno in anno
I modelli di pricing, sempre più, terranno quindi conto di due fattori precisi: da una parte l’esposizione agli attacchi cyber dell’azienda da assicurare e, dall’altro, la parabola ascendente delle minacce informatiche che ha già portato a un aumento del costo dei premi assicurativi (tra il 30 e il 50% ogni anno, secondo S&P Global Ratings).
Il rischio informatico rientra nell’analisi del credito
Il cyber risk diventa un fattore di valutazione nell’analisi del credito per S&P Global Ratings, che ha integrato i rischi legati a eventi informatici all’interno delle sue analisi.
La cybersecurity è considerata un fattore di governance per valutare la gestione del rischio e la cultura aziendale in tema di sicurezza e può influenzare quindi il rating di un’azienda.
Questo articolo è stato pubblicato sul numero di marzo 2023 di AziendaBanca ed è eccezionalmente disponibile gratuitamente anche sul sito web. Se vuoi ricevere AziendaBanca, puoi abbonarti nel nostro shop.
