L’assicurazione di responsabilità civile nasce per navigare in un’area di rischio sempre più complessa e negli ultimi anni la popolarità della cyber assicurazione è indubbiamente aumentata.

cyber assicurazione

I cyberattacchi di alto profilo si susseguono a ritmo costante, la maggior parte con potenziali gravi conseguenze finanziarie e reputazionali. Per questo sono sempre più numerose le organizzazioni che si rivolgono agli assicuratori per essere supportate ad affrontare le ricadute. Le stime prevedono che il mercato globale della cyber assicurazione, del valore di 5,95 miliardi di dollari nel 2019, possa arrivare a crescere fino a 32,5 miliardi di dollari entro il 2027.

Ma paradossalmente, questo aumento di polizze di cyber assicurazione ha creato un problema unico per il settore: negli Stati Uniti, i cyber premi sono cresciuti del 22% nel 2020, e così anche i costi diretti legati alle perdite e il rapporto DCC (tra difesa e contenimento dei costi)- cifra che si riferisce alla quota del reddito di una compagnia di assicurazione che viene pagata ai ricorrenti.

Quando il rapporto DCC raggiunge l’80%, le compagnie di assicurazione iniziano a perdere denaro: lo scorso anno ha raggiunto il 73%, in forte crescita rispetto al 47% dei dodici mesi precedenti.

Man mano che i cyberattacchi crescono in numero e notorietà, aumenta anche la richiesta di polizze di cyber assicurazione, ma allo stesso tempo, con ogni risoluzione di sinistro, l’attuale modello di assicurazione informatica diventa meno praticabile, ponendo gli assicuratori di cybersecurity di fronte a una scelta. Abbandonare una parte significativa del loro business, redditizia fino a poco tempo fa? Innalzare semplicemente i premi per bilanciare il rischio crescente? O ancora, cercare di gestire e contenere quest’ultimo, insistendo sull’implementazione delle migliori pratiche di cybersecurity come condizione dell’assicurazione?

Tutte queste opzioni hanno un impatto significativo su molti settori e organizzazioni, ma l’ultima metterebbe di fatto gli assicuratori in prima linea nella definizione degli standard di cybersecurity.

Perché il rischio informatico è diverso?
Il fatto che i risarcimenti incidano sui profitti dell’assicuratore è risaputo, e si applica a tutte le tipologie di assicurazioni, dalle auto ai viaggi. Tuttavia, in questi settori, la situazione può essere facilmente mitigata assegnando un livello di rischio e un tasso di premio appropriato a ogni assicurato, di cui la maggior parte valutata attraverso lo storico dei dati. Ad esempio, le persone più giovani hanno statisticamente più probabilità di essere coinvolte in incidenti d’auto e, pertanto, le polizze automobilistiche tendono a essere più alte per questa categoria.

Questa metodologia di quantificazione del rischio è stata alla base del settore assicurativo per anni. Tuttavia, pochi dei principi utilizzati per valutare il rischio in altre aree possono essere facilmente trasferiti per determinare quello informatico e stipulare polizze di cyber assicurazione adeguate.

Un assicuratore può misurare il rischio relativo a una casa danneggiata da un uragano in base a diversi fattori, come i dati storici e la posizione e può anche garantirsi che qualsiasi pagamento sarà limitato al costo della riparazione dell’edificio e della sostituzione degli elementi danneggiati. I rischi informatici, tuttavia, sono nuovi, dinamici e difficili da circoscrivere e molti di quelli relativi alla cyber assicurazione si basano sulla probabilità di un evento casuale, non su una minaccia intenzionalmente dolosa che si abbini alle crescenti capacità e portata del cyber crimine. Aggiungendo i diversi livelli di consapevolezza della sicurezza e delle difese nelle organizzazioni, la quantificazione coerente dei livelli di rischio diventa estremamente difficile.

Poi c’è la questione del rischio sistemico. Le ripercussioni di un edificio distrutto da un uragano, infatti, di solito si fermano qui. Ma se un’azienda viene colpita da una grave violazione informatica, la successiva perdita finanziaria e il danno reputazionale possono avere ripercussioni anche su fornitori, clienti, azionisti, banche e ulteriori terze parti.

Inoltre, poiché il crimine informatico non ha confini geografici, ci si aspetta che gli assicuratori, nella stipula della cyber assicurazione, tengano conto di questo effetto domino nel momento in cui offrono copertura. Sulla scia dell’attacco SolarWinds, il New York State Department of Financial Services ha notato che gli assicuratori devono tenere conto del rischio sistemico che si verifica “…quando un incidente informatico diffuso danneggia molti assicurati allo stesso tempo“. Questo può portare a massicci picchi di richieste di risarcimento, minando ulteriormente la capacità del settore assicurativo di pianificare, riassicurare e rimanere solvente.

Come risponderanno gli assicuratori?
È improbabile che la domanda di polizze di cyber assicurazione diminuisca presto. Mentre il mondo diventa sempre più connesso e maggiormente dipendente dal software, aziende di tutti i settori hanno bisogno di copertura da interruzioni, violazioni e qualsiasi altro incidente informatico che potrebbe bloccare o danneggiare le operazioni.

Eppure, per soddisfare questa domanda verso la cyber assicurazione, gli assicuratori avranno bisogno di una forma di protezione dal costo crescente dei sinistri. In molti stanno già aumentando i premi per aiutare a coprire questo rischio, ma non è una tendenza che può continuare in modo esponenziale.

Proprio per questo, le compagnie di assicurazione stanno iniziando a ripensare le loro politiche e i modelli di business, dando vita a un processo che nella maggior parte dei casi ha implicato la limitazione della portata della copertura. AXA è stato uno dei primi grandi assicuratori a fare questo passo veros la cyber assicurazione, ritirando la copertura per gli attacchi ransomware in Francia e forse, come ritorsione all’interruzione di un flusso di entrate redditizie, i criminali informatici hanno preso di mira la società con un attacco ransomware giorni dopo.

Per evitare queste due misure draconiane, gli assicuratori hanno dunque iniziato a stipulare condizioni di copertura di cyber assicurazione più stringenti o a offrire sconti a chi ha determinate protezioni in atto, similmente agli sconti sulle polizze auto offerti ai conducenti che hanno accettato di installare scatole nere GPS.

Un bivio decisivo per i cyber assicuratori
Stipulare condizioni di questo tipo è un concetto tutt’altro che nuovo. Un famoso esempio di tali tattiche risale ai primi anni del 1900. In risposta a un forte aumento delle esplosioni di caldaie a vapore, la Hartford Steam and Boiler Inspection and Insurance Company (HSB) impose l’uso di una speciale configurazione di tubature per chiunque volesse stipulare una polizza assicurativa per le caldaie: le esplosioni di caldaie, e le conseguenti richieste di risarcimento, diminuirono significativamente. Non c’è dubbio che HSB abbia cambiato le regole del gioco. La speciale configurazione delle tubature, divenuta rapidamente nota come Hartford Loop, è in uso ancora oggi, e definendo lo standard minimo accettabile per la copertura, la società ha aumentato la sua redditività e migliorato la sicurezza dell’intero settore.

Le compagnie di assicurazione informatica hanno ora l’opportunità di guidare il settore della cyber assicurazione nella stessa direzione. Se fatto in modo efficace, potrebbero trasformare l’intera industria e consentire un aumento degli standard di protezione di organizzazioni grandi e piccole, con best practice di sicurezza ben definite e obbligatorie, che non solo aiuterebbero a mantenere tutti più sicuri, ma anche a risolvere un problema crescente per i CISO: come valutare accuratamente il rischio di terze parti, siano essi fornitori, partner o appaltatori.

Se fatto in modo errato, potrebbero invece presto scoprire come un’offerta un tempo redditizia possa diventare economicamente disastrosa, proprio mentre il mercato della cyber assicurazione sta esplodendo. Al tempo stesso, potrebbero potenzialmente esporre aziende e individui a conseguenze finanziarie enormi e non assicurabili.

Naturalmente, il problema che devono affrontare i cyber assicuratori è più intricato di quello affrontato allora da HSB. Non si tratta di una semplice installazione di tubature: le sfide e le complessità per la cyber assicurazione saranno diffuse; gli autori delle minacce in costante evoluzione e innovazione per restare efficaci e di impatto. Tuttavia, non significa che il problema non debba essere risolto solo perché non sarà semplice.

Anzi, qualcosa deve cambiare, e velocemente.

Di Andrew Rose, Resident CISO EMEA, Proofpoint