L’assicurazione informatica, nota anche come assicurazione contro i rischi informatici, assicurazione cyber o copertura assicurativa per la responsabilità informatica (CLIC), è una polizza che viene stipulata con una compagnia assicurativa per mitigare l’esposizione al rischio di cyber attacco, compensando i costi associati ai danni e al recupero dei dati dopo una violazione della sicurezza informatica o evento simile.

Cosa copre una polizza assicurativa informatica?

Con la maturazione del mercato, le polizze assicurative informatiche stanno diventando sempre più diversificate e dettagliate. Gli eventi e i casi coperti da una certa polizza assicurativa possono essere leggermente diversi da un’altra, a seconda di diversi fattori. Tuttavia, Lori Bailey, Chief Insurance Officer presso Corvus, elenca alcuni punti in comune nella maggior parte delle polizze assicurative informatiche:

  • Perdite derivanti dall’interruzione dell’attività (perdita di fatturato a causa di sistemi resi inattivi)
  • Interruzione accidentale dell’attività (perdita di entrate a causa di sistemi inattivi causa guasto di una terza parte, ad esempio un fornitore IT)
  • Distruzione delle risorse digitali
  • Recupero dati e costi di ripristino del sistema
  • Guasto del sistema
  • Cyber ​​estorsioni/ransomware
  • Spese di risposta alla violazione e riparazione (Incident response and remediation)
  • Ingegneria sociale e criminalità informatica, sicurezza della rete e responsabilità della privacy
Richard Hodson, direttore e broker assicurativo presso UKGlobal Broking Group, aggiunge che in genere le polizze coprono anche i costi in comunicazione e pubbliche relazioni a seguito di incidenti informatici. “Stiamo assistendo a un numero sempre maggiore di politiche che offrono anche fondi post-violazione che includono la formazione del personale per prevenire che si ripetano questi attacchi e la diagnostica completa del sistema”.

cybersecurity

Come dicevamo, non tutte le polizze sono uguali e alcune di queste coperture potrebbero far parte di un’assicurazione molto esaustiva, magari a seguito di una contrattazione, ma non fare parte del pacchetto generico che si sottoscrive giusto per conformità alla policy.

Inoltre, non tutte le forme di rischio informatico sono coperte dalle assicurazioni. “Per esempio, non sarebbero coperti i danni finanziari causati da guerra e/o dal terrorismo o dal guasto delle infrastrutture interne, e nemmeno i costi reputazionali che possono essere sostenuti a seguito di un attacco”. Allo stesso modo, anche un virus che non sia stato specificamente progettato o creato per colpire l’azienda interessata potrebbe essere escluso, afferma Hodson.

Come sono cambiate le assicurazioni informatiche in seguito al ransomware

Il mercato delle assicurazioni informatiche sta attraversando uno stato di continuo cambiamento, poiché le tendenze della cybersecurity generano continue evoluzioni dei rischi. Organizzazioni di ogni forma e dimensione hanno investito in polizze assicurative informatiche per proteggersi contro i rischi legati alla rete, ma nel frattempo, le minacce informatiche hanno continuato ad affliggere le organizzazioni e a testarne la resilienza. Di conseguenza, i fornitori di assicurazioni informatiche stanno diventando più esperti e reattivi relativamente ai rischi specifici legati alla sicurezza informatica.

Rispetto a un po’ di tempo fa, bisogna aspettarsi procedure di audit preliminare più approfondite ed esaustive, e premi più alti.

Negli ultimi anni, a guidare le tendenze che influenzano la domanda e il costo della copertura, i termini e le condizioni delle polizze, i requisiti e i limiti è stato il ransomware. Gli attori stanno impiegando metodi sempre più astuti e tecniche più sofisticate per estorcere alle aziende somme di denaro potenzialmente enormi, anche con estorsioni che agiscono su più livelli (disponibilità dei dati, divulgazione della proprietà intellettuale, danno reputazionale…).

polizze-cyber-2

L’aumento del ransomware ha portato più organizzazioni a considerare investimenti nell’assicurazione informatica poiché molte hanno visto il ransomware causare gravi interruzioni di servizio e perdite finanziarie in numerose attività, afferma Bailey. “A parte i costi diretti di un riscatto, riprendersi da questi attacchi è costoso. Nel 2021, i costi di risposta alle violazioni sono aumentati dal 29% al 52% nei costi complessivi dei reclami”.

Con l’aumento della domanda, l’offerta ha faticato a recuperare il ritardo, aggiunge Bailey. “Gli assicuratori stanno aumentando le tariffe e gli standard per i rischi che sono disposti a coprire. In termini di copertura stessa, alcuni assicuratori hanno fatto marcia indietro sui massimali relativi a un attacco ransomware o ridotto il limite complessivo offerto ad aziende di una certa dimensione”.

Anche se gli assicuratori non hanno modificato in modo significativo la copertura, probabilmente avranno istituito nelle loro polizze alcuni criteri soggettivi che richiedano il rispetto di alcune misure di sicurezza chiave come condizione preliminare della polizza, afferma Bailey.

Le ricerche evidenziano che le aziende che hanno dato priorità alla prevenzione e alle procedure di ripristino hanno visto un calo degli attacchi ransomware e delle richieste di pagamento, e suggerisce in qualche modo che gli assicuratori informatici potrebbero essere inclini a guardare più favorevolmente a questo tipo di aziende se sono in cerca anche di una copertura assicurativa.

Tuttavia, l’assicuratore globale Beazley ha recentemente pubblicato alcuni dati che mostrano che i prezzi delle assicurazioni informatiche continuano ad aumentare nonostante una traiettoria al ribasso degli attacchi, mentre le tariffe dei premi per i rinnovi sono aumentate del 23% su base annua nel terzo trimestre del 2021.

“Inoltre, la pandemia di coronavirus ha aumentato la vulnerabilità di molte organizzazioni verso il rischio informatico, poiché migliaia di sistemi sono passati a piattaforme basate su cloud per abilitare una forza lavoro remota”, afferma Andrew Rose, Resident CISO di Proofpoint.

“Durante questo periodo, le compagnie assicurative hanno esortato le aziende a rivalutare le loro polizze , poiché i rischi derivanti dai nuovi strumenti e pratiche di lavoro potrebbero non essere rappresentati nella loro copertura attuale, lasciando lacune impreviste e carenze che potrebbero avere effetti catastrofici.

Per l’avvocato specializzato in tecnologia e compliance Jonathan Armstrong, il motore più significativo del cambiamento nell’assicurazione informatica è la richiesta di protezione finanziaria da contenziosi contro le organizzazioni a seguito di incidenti informatici. “Abbiamo visto che un attacco o una violazione possono essere seguiti nei giorni successivi da avvocati che affermano di star indagando sull’eventualità di richiedere risarcimenti alla società che è stata colpita dall’attacco”.

Quale assicurazione cyber scegliere

Una volta che un’azienda ha compreso lo stato dell’attuale mercato delle assicurazioni informatiche e gli ambiti della copertura, può quindi valutare se una polizza potrà portare benefici alla propria organizzazione.

“Le assicurazioni sono essenziali per molti aspetti della vita aziendale e la sicurezza informatica sta rapidamente diventando uno di questi”, afferma Rose. “Ogni impresa deve fare da sola i suoi conti, per bilanciare il costo dell’assicurazione, il costo dell’evento e il rapporto costo/opportunità del denaro speso per i premi annuali. Identificare ciò che deve essere maggiormente protetto. L’applicazione di limiti alla copertura può ridurre il rischio e aiutare a bilanciare il business case per questa copertura sempre più essenziale”.

In effetti, le organizzazioni devono considerare quanto perderebbero se i loro sistemi si spegnessero completamente a causa di un attacco, afferma Bailey. “Inoltre, il costo medio di un riscatto fino al terzo trimestre del 2021 è rimasto stabile intorno a 142.000 dollari e tale cifra cresce considerevolmente se si includono i costi dell’aiuto di terze parti per il recupero dei dati e il ripristino dei sistemi. Le organizzazioni dovrebbero sapere se potrebbero realisticamente pagare tale cifra e in che modo ciò possa influire sulla stabilità della loro attività”.

L’assicurazione informatica può aiutare a dare alle organizzazioni più tranquillità sapendo che esiste un livello di sicurezza aggiuntivo e che stanno monitorando regolarmente i rischi, cosa che sta diventando particolarmente importante per le piccole imprese, afferma. “Mentre alcuni anni fa non avremmo ritenuto necessario che una piccola impresa disponesse di una politica informatica completa e autonoma, gli aggressori adesso prendono sempre più di mira queste piccole imprese, che tendono ad avere difese più deboli”.

Tuttavia, i costi delle polizze in aumento e gli oneri organizzativi legati alla preparazione della documentazione da produrre e all’audit stanno convincendo molti CISO di aziende medio-piccole che quel denaro e quegli sforzi sarebbero meglio spesi in tecnologia e personale con lo scopo di migliorare le difese informatiche.

È anche importante che le organizzazioni considerino una polizza assicurativa informatica come un’opportunità di partnership per migliorare le strategie complessive di rischio per la sicurezza, concordano Rose e Bailey. “Può essere molto più di un semplice trasferimento di rischio – afferma Bailey. Potrebbe per esempio essere l’opportunità per apprendere nuove pratiche ed elevare i propri standard di sicurezza.

“Le compagnie assicurative potrebbero essere in prima linea nella definizione di nuovi standard di riferimento, molto più dinamici e reattivi al panorama delle minacce rispetto a qualsiasi standard internazionale o regolamentazione del settore”, aggiunge Rose.

Cosa si aspettano le società di assicurazione informatica dai clienti?

Quando un’organizzazione richiede una polizza assicurativa informatica entrano in gioco alcuni fattori chiave che possono influire in modo determinante sulla possibilità di stipulare il contratto. In estrema sintesi, l’azienda deve poter dimostrare che di soddisfare i requisiti minimi di controllo della sicurezza che gli assicuratori richiedono. Gli assicuratori in genere valutano i controlli di sicurezza chiedendo ai clienti di completare questionari dettagliati.

Praticare già una sana igiene informatica è fondamentale in questa fase, afferma Bailey. “Il piano deve includere una solida strategia di backup, l’autenticazione a più fattori in tutti i punti di accesso critici e una solida gestione delle patch. Continuiamo inoltre a vedere la rilevanza delle tecnologie di scansione e di ricercare in modo proattivo le vulnerabilità”.

Le organizzazioni più grandi e complesse richiederanno probabilmente un’analisi più approfondita a causa della complessità dei livelli di sicurezza della loro rete e del decentramento della loro infrastruttura, aggiunge.

Richard è d’accordo, affermando che è importante dimostrare che l’organizzazione abbia anche un programma di sensibilizzazione sulla formazione del personale. Per consulenza e supporto, consiglia alle aziende di parlare con un broker assicurativo esperto in cybersecurity e in grado di spiegare in termini semplici quali siano le esigenze dell’azienda e quali gli obiettivi.

Le assicurazioni contro il rischio cyber in Italia

Sentito il parere dei grandi esperti internazionali, ecco alcuni esempi di polizze assicurative contro il rischio cyber disponibili in Italia (se volete segnalarci altre polizze da includere, potete scrivere a redazione@cwi.it).

Aig Cyber Edge

CyberEdge tutela le imprese contro molti dei principali rischi associati alla violazione della sicurezza di una rete, grazie anche alla collaborazione con esperti di information assurance e studi legali. Garantisce gestione degli incidenti informatici e copertura dei costi di relazioni pubbliche, copertura dei danni e dei costi conseguenti alla perdita di dati di clienti, dipendenti o terzi e indennizzo dei costi sostenuti per il ripristino. Assistenza in caso di istruttorie amministrative.  

Allianz Cyber Risk

La polizza Cyber Risk di Allianz copre la responsabilità civile verso terzi, i danni propri (incluso il ripristino dei dati, l’estorsione o procedure inerenti la protezione dei dati), l’interruzione del servizio e la gestione della crisi (costi di comunicazione di crisi, servizi forensi e spese di emergenza).

Opzionalmente è possibile aggiungere coperture per la protezione giuridica e il social engineering.

Cattolica & Cyber Risk

Rivolta principalmente a piccole imprese e studi professionali, Cattolica & Cyber Risk risarcisce le spese per la gestione della crisi, le perdite economiche e finanziarie dovute ad attacchi informatici i danni a terzi.

È disponibile in due modalità:

Formula Assistenza: l’assicuratore mette direttamente a disposizione del cliente i servizi per il ripristino dei servizi, per le comunicazioni previste dalla normativa e la difesa legale.

Formula Indennitaria: risarcisce le spese sostenute dal cliente e i mancati guadagni, con massimali giornalieri.

Chubb Cyber Enterprise Risk Management

La polizza Cyber Enterprise Risk Management copre la perdita di profitto per interruzione delle attività aziendali a seguito di attacco informatico, falle nella sicurezza della rete, errore umano o errore di programmazione. Perdita e ripristino di dati. Spese per servizi di Incident Response e costi investigativi. Spese legali e spese sostenute per la comunicazione. Responsabilità derivante dalla mancata tutela dei dati riservati e dall’uso non autorizzato dei sistemi di telecomunicazione. Estorsione/riscatto legato alla rete o ai dati (ove assicurabile). Responsabilità relativa alla gestione di media online. 

DUAL Cyber

DUAL Cyber è una polizza studiata per le imprese di piccola dimensione e gli studi professionali. Offre una copertura completa: dalla violazione alla perdita di dati, dall’interruzione dell’attività alla sottrazione di somme dai conti bancari, compliant con i nuovi dettami europei in materia privacy. L’azienda si affida nella parte assicurativa aGreat Lakes Insurance SE, mentre nella parte tecnico specialistica a DXC Technology. 

Generali Cyber Lyon

La protezione offerta da Cyber Lyon di Generali include molte coperture, tra cui danni materiali e diretti ai sistemi, costi di ripristino e ricostruzione archivi, indagine (incident response), costi di notifica alle autorita. La combinazione TOP include i costi per la tutela reputazionale e i danni ad apprecchiature non informatiche ma collegate ai sistemi.

Prevede una diaria per l’interruzione delle attività, la responsabilità civile e la protezione legale giudiziale e stragiudiziale aggiuntiva rispetto alle pratiche di RC.

Intesa Sanpaolo Cyber Protection Business

Cyber Protection Business è la polizza di Intesa Sanpaolo Assicura che fornisce una copertura alle Aziende (non Ditte Individuali o Studi Professionali che non siano in forma associata) correntiste di Intesa Sanpaolo, con sede legale in Italia e con fatturato fino a 50 milioni di euro, che vogliano assicurarsi dal rischio informatico (emergenza cyber). 

La polizza Cyber Protection Business prevede garanzie sempre presenti, “Danni Propri” e “Danni a Terzi” e non sono previste garanzie opzionali. 

Cyber Risk Reale 2.0

La polizza Cyber Risk di Reale Mutua Assicurazioni garantisce contro perdite economiche, la responsabilità civile verso terzi e la tutela legale, civile e penale. Per le operazioni di ripristino dati, sistemi ed estorsioni, l’azienda si affida a DXC Technologies, unico provider autorizzato a intervenire. DXC svolge anche il ruolo di perito, ma non necessita di accessi preventivi ai sistemi informatici.