I Lloyd’s – il mercato assicurativo e riassicurativo per i rischi speciali- hanno promosso un‘indagine ‘Facing the Cyber Risk Challenge’ per verificare come le aziende europee stanno affrontando la sfida dei rischi informatici, tema sempre più attuale per la diffusione delle tecnologie digitali e oggi reso ancora più urgente in vista della nuova normativa europea.
La ricerca ha coinvolto circa 350 fra le più grandi aziende europee con un fatturato di oltre 250 milioni di euro e le interviste sono state rivolte ai vertici aziendali.
Il dato principale che emerge è l’estensione delle violazioni informatiche: il 92% delle aziende del campione infatti ha dichiarato di aver subito una violazione della sicurezza informatica e in alcuni casi la perdita dei dati anche relativi alla clientela. Per ben il 54% delle aziende è il Ceo ad avere diretta responsabilità della sicurezza informatica dell’azienda, a riprova della crescente rilevanza del tema. Tuttavia solo il 42% del campione intervistato ritiene probabile che si possa ripetere una violazione informatica in futuro e solo il 13% delle aziende intervistate ritiene di poter avere una perdita di clientela a causa di questo, sottovalutando il potenziale impatto di un attacco informatico.
Tra le minacce interne identificate quali possibili cause di una violazione dei dati vi sono: perdita fisica di documenti o di altri strumenti non elettronici (42%), un dipendente interno che viola intenzionalmente le informazioni (42%), errore umano o rivelazioni non intenzionali (41%), perdita, furto o scarto di un’apparecchiatura (41%).
“E’ rassicurante sapere che la responsabilità per il rischio cyber è nelle mani dei vertici aziendali ma risulta chiaro che troppe aziende sottovalutano i pericoli derivanti da una violazione informatica che potrebbero avere gravi conseguenze. Purtroppo non viviamo più in un mondo nel quale è possibile prevedere questo genere di rischi; quello che importa è come questi rischi vengono gestiti e come ci si prepara ad affrontarli per proteggere l’attività aziendale e soprattutto i dati dei vostri clienti. Come dimostrato da eventi recenti, ottime reputazioni guadagnate con il lavoro di anni possono svanire in un secondo se non sono stati implementati piani adeguati di protezione” ha dichiarato Inga Beale, AD dei Lloyd’s.
Tra le minacce esterne identificate quali possibili cause di una violazione dei dati vi sono: attività di hackers a scopo di lucro (51%), attività di hackers per ragioni politiche (46%), attività di hackers concorrenti (41%), truffe online (39%), richieste di riscatto (37%), software per la diffusione di virus (32%).
Con il recepimento del Regolamento Generale per la Protezione dei Dati (GDPR)[1], le organizzazioni che gestiscono dati di cittadini europei dovranno adeguarsi entro il 2018 alla normativa altrimenti potrebbero incorrere in multe fino al 4% del giro d’affari o €20 milioni, qualora non si adoperino per attivare sistemi di protezione dei dati.
A questo proposito è importante notare che:
- sebbene il 97% degli intervistati abbia sentito parlare del GDPR , il 57% delle aziende conferma di saperne “poco” o “nulla”
- solo il 7% del campione dichiara di conoscere bene tutte le implicazioni
- solo il 42% degli intervistati teme una nuova violazione in futuro e circa il 50% delle aziende ritiene che la nuova normativa potrebbe avere conseguenze in termini di controlli da parte degli enti preposti (64%), sanzioni finanziarie (58%), impatto sul valore azionario (57%) e reputazione (52%).
- solo il 13% delle aziende ritiene di poter perdere clienti in caso di una violazione
Nell’era digitale il rischio di violazioni informatiche è aumentato sensibilmente ed è trasversale a tutti i settori di business. Dall’indagine emerge che, tra i settori esaminati, il settore healthcare ha una percezione inferiore dei rischi cyber (32%) rispetto al settore bancario e finanziario (46%) e retail (42%). Questo probabilmente perché nei tre settori le aziende che hanno avuto precedenti esperienze di gestione di violazione dei dati ritengono di avere meno probabilità di incorrere in nuove violazioni.
“La nuova regolamentazione europea prevede che le aziende siano più reattive, rispetto al passato, rispetto ai tema dei rischi informatici e alla protezione dei dati. Le compagnie di assicurazione mettono a disposizione molto di più che la sola copertura assicurativa; offrono un servizio completo che può indirizzare le aziende verso i nuovi obblighi di regolamentazione per proteggere i loro clienti ed il loro brand” ha spiegato Inga Beale.
Addirittura il 23% delle aziende italiane non sa che esistono prodotti assicurativi cyber che forniscono copertura e servizi alle compagnie che subiscono una violazione dei dati.
[1] Fonte: Regolamento Generale per la Protezione dei Dati – GDPR – Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/46/CE (Regolamento generale sulla protezione dei dati). (Testo rilevante ai fini del SEE)
