Secondo un report di BDO, network globale di revisione contabile e consulenza alle imprese, la risposta al cyber crimine potrebbe risiedere in polizze assicurative ad hoc: negli USA, lo stato senz’altro più all’avanguardia nel mondo nella lotta ai reati informatici, quasi un’azienda su 3 ne possiede una. Il report sottolinea che prevenire totalmente un cyber attacco non è possibile e le coperture assicurative possono servire proprio a tutelarsi nei confronti di accadimenti che non possono essere in alcun modo previsti con anticipo. È l’azienda stessa a dover stabilire quali siano questi eventi e a negoziare coperture assicurative personalizzate.
Una polizza per mitigare i rischi economico-finanziari
Secondo i dati del network BDO, il costo medio annuale delle violazioni dei dati aziendali negli USA ammonta a 4 milioni di dollari. Nel quantificare il danno cyber, occorre valutare diversi elementi: il costo di riparazione e messa in sicurezza del sistema e dei dati; il danno reputazionale, inteso come le somme investite in attività di PR e comunicazione e il mancato guadagno derivato dal danno; le eventuali somme pagate a riscatto dei dati, cosa che accade ad esempio con i ransomware, oppure somme di denaro rubate dagli autori dell’attacco. A tutto ciò, inoltre, va sommato anche il fattore normativo: sempre più giurisdizioni nazionali e internazionali stanno introducendo multe e sanzioni per le aziende che si dimostrano non adeguatamente preparate al cyber rischio.
“Entrerà in vigore a tutti gli effetti nel maggio 2018 per tutti gli stati membri dell’Unione Europea il GDPR, General Data Protection Regulation, che sanzionerà le aziende che non comunicheranno tempestivamente un’avvenuta fuga di dati con una multa che potrà arrivare fino al 4% annuo del fatturato dell’azienda stessa o a 20 milioni di euro – ha commentato Lorenzo Mazzei, Partner Intelligence & Cybersecurity di BDO Italia. – Si tratta evidentemente di somme ingenti, che giustificheranno il pagamento di un premio annuale per la prevenzione del rischio. È auspicabile che sia il GDPR, sia la direttiva NIS (Network and information Security) vengano recepiti da aziende, organizzazione ed istituzioni come opportunità, oltre che incombenze, per instillare in Europa e in Italia una nuova cultura di prevenzione del rischio. Le nuove polizie, non ancora molto diffuse, svolgerebbero un ruolo strategico in tal senso.” Dall’altro lato dell’oceano, negli USA, dove la discussione sul cyber rischio è senz’altro più avanzata e all’avanguardia, il 28% dei leader aziendali intervistati dal BDO USA Board Survey 2016 (condotto su un campione di 160 direttori di CdA di aziende quotate) dichiara che nella propria azienda è stata acquistata una polizza assicurativa che protegga dai reati informatici. Tale percentuale rimane stabile rispetto all’anno precedente, ma è triplicata rispetto al 2014, in cui solo 1 intervistato su 10 rispondeva affermativamente. Tornando agli ultimi dati disponibili, il 13% sta attualmente considerando l’acquisto di una polizza ad hoc; l’11% ha concluso negativamente la valutazione in merito alla stipula della polizza, mentre l’1% avrebbe voluto stipularne una, ma si è vista rifiutare la necessaria copertura assicurativa. Gli investimenti in cyber sicurezza oltreoceano stanno aumentando di anno in anno: 8 rispondenti su 10 dichiarano di aver investito una somma più alta in cyber security rispetto all’anno precedente, con un trend in continua crescita. Secondo dati AON (AON: 2017 Global Cyber Risk Transfer Comparison Report), le aziende continuano a spendere fino a quattro volte di più per assicurare gli asset aziendali materiali che per il cyber rischio, nonostante la diffusa opinione che gli asset aziendali di carattere cyber abbiano un valore del 14% più alto. Le potenzialità delle polizze assicurative contro il cyber rischio rimangono comunque molto elevate: il mercato globale vale oggi 3 miliardi di dollari, ma entro il 2022 arriverà a 14 miliardi di dollari.
Le compagnie assicurative appaiono impreparate
Rispetto alle altre polizze assicurative per la protezione dal rischio, nel settore della cyber security non sono ancora stati elaborati standard definiti. Ciò significa che le compagnie di assicurazioni offrono al momento una certa flessibilità e margine di negoziazione sui termini delle polizze al momento della stipula. È molto importante comprendere, tuttavia, che proprio la mancanza di uno standard con cui confrontarsi può costituire un rischio per l’azienda.
Le polizze possono garantire copertura a costi di ripristino del sistema e connessi costi legati alla necessaria investigazione; danno reputazionale; mancati introiti; estorsione o furto economico legato al cyber attacco. Oltre alla copertura aziendale, si possono stipulare coperture assicurative anche in relazione alle cosiddette terze parti, ovvero tutte le aziende con cui l’impresa opera in quanto fornitori, clienti o partner. In questi casi, ci si può assicurare dal rischio di “contaminazione” dell’attacco cyber proveniente dalla parte terza, dal rischio di violazione di informazioni confidenziali o proprietà intellettuale, dalle multe e sanzioni potenzialmente derivanti da un attacco a terzi. Quello della copertura dal cyber rischio derivante dai rapporti con terze parti, tuttavia, è un segmento ancora trascurato anche negli stessi Stati Uniti e contemplato, secondo i dati di BDO, da solo 4 rispondenti su 10, nella mera forma della conduzione di un risk assessment nei loro confronti.
“Non c’è dubbio che gli attacchi cyber e le violazioni di dati stiano crescendo in numero e in sofisticazione, causando grandi preoccupazioni sia alle grandi che alle piccole e medie aziende – ha proseguito Mazzei. – Considerato il serio danno reputazionale che un attacco cyber può portare a un’azienda, è chiaro ormai che tale questione non può più essere considerata ad appannaggio esclusivo del dipartimento IT, ma deve varcare le porte del consiglio di amministrazione di ogni impresa. Una politica di cyber sicurezza davvero efficace coinvolge tutti gli aspetti del business, non solo quello tecnologico. È qui che entra in gioco la possibilità di assicurarsi contro le violazioni di dati aziendali, un trend che trainerà la crescita nel settore assicurativo nel medio termine.”
Come negoziare una polizza su misura per la propria azienda
La difficoltà di stimare i costi totali di un potenziale attacco cyber rende limitata la possibilità delle compagnie assicurative di sviluppare dei solidi modelli di rischio per le polizze correlate. Le compagnie, perciò, tendono a mitigare il rischio stabilendo termini molto stringenti alle loro polizze. Ciò significa che per le aziende scegliere la corretta polizza assicurativa può diventare estremamente difficile. Occorre valutare attentamente il rischio cyber della propria azienda e disegnare le polizze su tutti quegli avvenimenti che non possono essere altrimenti prevenuti. Ciò significa anche controllare i termini e le clausole di esclusione, testandoli su scenari concreti basati sul proprio livello di rischio.
Quali sono gli elementi da valutare attentamente al momento della stipula di una copertura assicurativa contro il rischio cibernetico?
• Identificare gli asset aziendali critici e il rischio cyber a loro associato. Il primo elemento da cui partire è proprio il rischio cyber intrinseco alla propria azienda: quali e quanti sono i dati sensibili detenuti? Dove vengono custoditi? Chi sarebbe interessato a venirne in possesso? Si tratta, fondamentalmente, della messa in atto di un’attività di risk assessment, che deve includere una valutazione delle soluzioni messe in campo per prevenire e proteggere i dati sensibili.
• Valutare l’esposizione al rischio e quantificarlo. È importante, poi, quantificare la potenziale perdita economica causata da una violazione di dati e la percentuale di impatto sulle entrate dell’azienda stessa.
• Decidere se l’attuale livello di protezione è sufficiente. A questo punto si potrà valutare l’opportunità di stipulare una copertura assicurativa ad hoc, che bilanci la probabilità di violazione dei sistemi e l’esborso economico previsto in caso di attacco. Solo in questo modo è possibile capire se valga la pena prevenire il rischio con il pagamento di un premio in denaro a una compagnia di assicurazioni.
• Implementare un programma di emergenza per colmare le lacune identificate a livello di rischio cyber. La copertura, quindi, deve essere definita in base alle reali esigenze della singola azienda, delegando all’assicurazione solo ed esclusivamente quel rischio che l’impresa non può evitare dotandosi di particolari attrezzature o approntando particolari accorgimenti. Insomma: l’inevitabile.
“Infatti, la stipula di una cyber assicurazione è un modo per trasferire una parte del rischio residuo finanziario e legale dell’azienda a una assicurazione – ha concluso Lorenzo Mazzei. – Il digital risk assessment deve divenire una prassi aziendale, costantemente aggiornata e mantenuta. Un ultimo consiglio: è fondamentale rinegoziare annualmente le clausole assicurative per ottemperare agli aggiornamenti in sicurezza della azienda, e quindi fronteggiare gli attacchi informatici, via via più sofisticati. BDO Italia offre ai propri clienti un servizio di eccellenza, innovativo e altamente specializzato.”