Sicurezza: quando e perché conviene un’assicurazione cyber

Assicurazioni cyber: quasi un’azienda su tre ne possiede una negli USA e in Europa la spinta decisiva potrebbe venire dal GDPR.

La risposta al cyber crimine sempre più dilagante potrebbe arrivare da polizze assicurative ad hoc. Non a caso negli USA, il Paese più all’avanguardia nel mondo nella lotta ai reati informatici, quasi un’azienda su tre ne possiede una.

È quanto emerge da un nuovo report di BDO, secondo il quale prevenire totalmente un cyber attacco non è possibile e il ricorso a un’assicurazione cyber può servire proprio a tutelarsi nei confronti di accadimenti che non possono essere in alcun modo previsti con anticipo. È l’azienda stessa a dover stabilire quali siano questi eventi e a negoziare coperture assicurative personalizzate.

Secondo i dati del network BDO, il costo medio annuale delle violazioni dei dati aziendali negli USA ammonta a 4 milioni di dollari. Nel quantificare il danno cyber, occorre valutare diversi elementi come il costo di riparazione e messa in sicurezza del sistema e dei dati, il danno reputazionale, le eventuali somme pagate a riscatto dei dati, oppure somme di denaro rubate dagli autori dell’attacco.

A tutto ciò, inoltre, va sommato il fattore normativo, visto che sempre più giurisdizioni nazionali e internazionali stanno introducendo multe e sanzioni per le aziende che si dimostrano non adeguatamente preparate al cyber rischio, come nel caso del GDPR.

assicurazione cyber

Il 28% dei leader aziendali intervistati dal BDO USA Board Survey 2016 dichiara che nella propria azienda è stata acquistata una polizza assicurativa che protegga dai reati informatici. Tale percentuale rimane stabile rispetto all’anno precedente, ma è triplicata rispetto al 2014, in cui solo 1 intervistato su 10 rispondeva affermativamente.

Tornando agli ultimi dati disponibili, il 13% sta attualmente considerando l’acquisto di una polizza ad hoc, l’11% ha concluso negativamente la valutazione in merito alla stipula della polizza, mentre l’1% avrebbe voluto stipularne una, ma si è vista rifiutare la necessaria copertura assicurativa.

Rispetto alle altre polizze assicurative per la protezione dal rischio, nel settore della cyber security non sono ancora stati elaborati standard definiti. Ciò significa che le compagnie di assicurazioni offrono al momento una certa flessibilità e margine di negoziazione sui termini delle polizze al momento della stipula. È molto importante comprendere, tuttavia, che proprio la mancanza di uno standard con cui confrontarsi può costituire un rischio per l’azienda.

Le polizze possono garantire copertura a costi di ripristino del sistema e connessi costi legati alla necessaria investigazione, danno reputazionale, mancati introiti, estorsione o furto economico legato al cyber attacco. Oltre alla copertura aziendale, si possono stipulare coperture assicurative anche in relazione alle cosiddette terze parti, ovvero tutte le aziende con cui l’impresa opera in quanto fornitori, clienti o partner.

La difficoltà di stimare i costi totali di un potenziale attacco cyber rende limitata la possibilità delle compagnie assicurative di sviluppare dei solidi modelli di rischio per le polizze correlate. Le compagnie, perciò, tendono a mitigare il rischio stabilendo termini molto stringenti alle loro polizze. Ciò significa che per le aziende scegliere la corretta polizza assicurativa può diventare estremamente difficile.

Quali sono allora gli elementi da valutare attentamente al momento della stipula di una copertura assicurativa contro il rischio cibernetico? BDO ne individua quattro:

Identificare gli asset aziendali critici e il rischio cyber a loro associato. Si tratta, fondamentalmente, della messa in atto di un’attività di risk assessment, che deve includere una valutazione delle soluzioni messe in campo per prevenire e proteggere i dati sensibili.
• È importante quantificare la potenziale perdita economica causata da una violazione di dati e la percentuale di impatto sulle entrate dell’azienda stessa.
• A questo punto si potrà valutare l’opportunità di stipulare una copertura assicurativa ad hoc, che bilanci la probabilità di violazione dei sistemi e l’esborso economico previsto in caso di attacco. Solo in questo modo è possibile capire se valga la pena prevenire il rischio con il pagamento di un premio in denaro a una compagnia di assicurazioni.
• La copertura, quindi, deve essere definita in base alle reali esigenze della singola azienda, delegando all’assicurazione solo ed esclusivamente quel rischio che l’impresa non può evitare dotandosi di particolari attrezzature o approntando particolari accorgimenti.

“La stipula di una cyber assicurazione è un modo per trasferire una parte del rischio residuo finanziario e legale dell’azienda a una assicurazione. Il digital risk assessment deve divenire una prassi aziendale, costantemente aggiornata e mantenuta. Un ultimo consiglio: è fondamentale rinegoziare annualmente le clausole assicurative per ottemperare agli aggiornamenti in sicurezza della azienda, e quindi fronteggiare gli attacchi informatici, via via più sofisticati” ha commentato Lorenzo Mazzei, Partner Intelligence & Cybersecurity di BDO Italia.