Il mercato assicurativo cyber è in una fase di hard market. I premi assicurativi erano in crescita già a fine 2021 e l’attuale contesto non fa immaginare inversioni di tendenza. L’offerta di polizze è ancora limitata ad alcune Compagnie, che cercano di limitare l’esposizione al singolo rischio
Nel panorama dei rischi globali, il cyber risk è una delle principali preoccupazioni per i leader dell’economia globale, arrivando ad occupare il primo posto nell’Allianz Risk Barometer 2022.
Preoccupazione fondata se pensiamo che nel 2021 gli attacchi informatici gravi, ovvero quelli che hanno avuto un impatto sistemico in diversi aspetti della società, della politica, dell’economia e della geopolitica sono cresciuti del 24% rispetto all’anno precedente con perdite che ammontano a 6 trilioni di dollari, incidendo ormai per una percentuale significativa del PIL mondiale, un tasso di peggioramento che viaggia sulle 2 cifre annuali e un valore pari a 3 volte il PIL italiano (dati dal Rapporto Clusit 2021).
Il finance tra i più colpiti
Tra i settori più colpiti dal rischio cyber va inserito quello finanziario: nel Rapporto Clusit si piazza al quarto posto per il numero di attacchi, che risultano tra l’altro in continua evoluzione, sia per quanto riguarda il modus operandi dei gruppi criminali, sia per la tipologia di malware utilizzati, con tecniche che variano se hanno come obiettivo il cliente finale o quello aziendale.
La frode bancaria
Particolarmente rilevante, a questo proposito, è il fenomeno del financial fraud, frode bancaria o finanziaria, che passa quasi sempre dal furto delle credenziali d’accesso ai sistemi bancari o di pagamento, riutilizzate poi per transazioni fraudolente all’insaputa del titolare. Un reato che avviene prevalentemente attraverso i seguenti vettori di attacco:
- malware per il furto di credenziali o manipolazione di una transazione (financial malware);
- hacking del dispositivo mobile tramite emulazione del software dello smartphone (SIM Swap);
- phishing per il furto di credenziali di accesso e autenticazione forte (credential theft).
In questo panorama le parole chiave diventano pianificare, prevenire e proteggere.
Serve un piano di sicurezza
È fondamentale, in primo luogo, dotarsi di un piano di sicurezza informatica che preveda un’attenta analisi tesa a individuare vulnerabilità e fragilità dei sistemi. La salvaguardia dei dati va poi garantita sia a livello fisico, con la difesa degli accessi ai luoghi e agli oggetti dove informazioni e dati sono custoditi, sia logico, monitorando, aggiornando e proteggendo software, applicazioni e sistemi essenziali per la gestione del business.
Competenze e formazione
Dal punto di vista organizzativo particolare attenzione deve essere posta alla formazione del personale e al disegno di adeguate policy per sensibilizzare e istruire i dipendenti su un utilizzo sicuro degli strumenti. Se infatti investire sulla formazione del personale è sempre una buona pratica, nel caso della cyber security diventa fondamentale: ogni individuo può costituire una breccia nella sicurezza aziendale, occorre essere formati e allenati a reagire correttamente agli stimoli, ponendosi dei dubbi e fermandosi nei casi sospetti.
Polizze per la business continuity
Per limitare i danni ad attacco avvenuto, occorre proteggersi con adeguate polizze assicurative, che offrano garanzie specifiche e un’assistenza specialistica che garantisca la Business Continuity.
Le Polizze Cyber coprono di base i danni diretti (come la perdita di dati) e indiretti (business interruption, perdite di profitto, costi di recupero, etc.) e le responsabilità civili verso terzi (fornitori, clienti, etc.) dei quali l’assicurato detiene informazioni sensibili, critiche, commerciali, che costituiscono proprietà intellettuale o personale, “protette” ai termini delle relative leggi.
Inoltre le polizze possono prevedere estensioni sempre più ampie:
- il Computer Crime, che copre la perdita finanziaria a seguito del furto di denaro o titoli per mezzo di un attacco da parte di terzi;
- il Social Engineering Fraud (SEF), che rimpiazza il valore dei fondi indebitamente trasferiti a seguito di divulgazione di informazioni o concessione di accesso a reti di dati ottenute con l’inganno;
- il Voluntary Shutdown, che copre il danno indiretto anche in caso di arresto volontario dei sistemi per motivazioni ragionevoli;
- i danni all’hardware, a tutela dei dispositivi utilizzati per archiviare e processare i dati.
Un mercato ancora all’inizio
Il mercato assicurativo presenta ad oggi un numero piuttosto limitato di Compagnie che coprono il rischio cyber, che per valutare il rischio da assicurare e fornire le coperture chiedono informazioni sempre più dettagliate e complete. In particolare viene sempre più posta attenzione ai sistemi di controllo e protezione implementati al fine di verificare la maturità difensiva dell’infrastruttura IT, la sicurezza degli accessi ai singoli device e ai sistemi critici di rete, con la richiesta di adottare sistemi di autentificazione multifattoriale (MFA).
La situazione attuale si può definire di hard market, con premi assicurativi in costante aumento, capacità assicurativa in riduzione, tempi di quotazione più lunghi e una maggiore difficoltà ad assicurare tutti i rischi.
Nel corso dell’ultimo semestre del 2021 e in occasione dei rinnovi di fine anno, ASSITECA ha rilevato aumenti medi dei costi assicurativi delle polizze cyber pari al 20%. Con picchi anche raddoppiati sia in caso di sistemi IT ritenuti poco strutturati e quindi più vulnerabili, sia in settori ad alto rischio quali il finanziario, il bancario e la sanità. Anche in relazione ai massimali offerti, è stata registrata una minore disponibilità delle Compagnie con tetti massimi di esposizione per assicuratore non superiori ai 5/7 milioni di euro per singolo rischio e l’obbligo, per le realtà che hanno necessità di assicurare massimali più ampi (ad esempio 20/30 milioni di euro), di dover frazionare il rischio su più assicuratori.
Diventa quindi sempre più importante avvalersi di consulenti esperti in grado di presentare al meglio il rischio al mercato assicurativo e che possano supportare il cliente suggerendo, già in fase di analisi, le migliorie tecniche da implementare per rendere il sistema IT più maturo e quindi più “assicurabile”.
Questo articolo è stato pubblicato sul numero di marzo 2022 di AziendaBanca ed è eccezionalmente disponibile gratuitamente anche sul sito web. Se vuoi ricevere AziendaBanca, puoi abbonarti nel nostro shop.
