Articolo originariamente pubblicato su Difesa Online.

È interessante che in un recente articolo su The Insurance Insider un broker assicurativo di livello internazionale (AON) abbia dichiarato che stando ai dati da lui raccolti per il 2019, gli incidenti informatici superino già i totali degli interi anni 2015 e 2016.
In effetti è quasi quotidiano per ciascuno di noi impattare costantemente con notizie di cronaca relative a data breach, incidenti informatici e attacchi portati contro reti e sistemi di aziende ed enti pubblici.

Potrebbe suonare strano, ma è noto come i soggetti più colpiti da questi rischi siano proprio quelli che rappresentano oltre l’88% del nostro tessuto imprenditoriale nazionale, ovvero gli imprenditori appartenenti alla categoria delle MPMI.

Spesso questa categoria ignora o non è sufficientemente a conoscenza dei potenziali impatti a cui la pervasività tecnologica li espone quasi a ciclo continuo. Basta citare come esempio (alquanto evocativo) la sfortunata vicenda dei cryptolocker – attualmente ancora in circolazione in veste sempre più evoluta – per richiamare alla mente quanto danno alla produttività possa fare il blocco delle basi di dati o il danneggiamento dei sistemi aziendali o istituzionali. Si tratta di una goccia distillata di criticità in un oceano di preoccupanti esempi possibili, eppure ancora poco noti a chi di dovere.

Date queste informazioni estremamente elementari e sotto gli occhi della collettività (crescita esponenziale degli incidenti informatici da un lato e assenza di awareness adeguata nei confronti delle potenziali vittime, rappresentanti il fulcro dell’industria di uno Stato) è alquanto semplice chiedersi: come fare per accrescere le tutele dai rischi informatici?

Una prima risposta, direi ovvia – il cui sviluppo non è oggetto di questo sintetico intervento – è quella di prestare la massima cura nella scelta e predisposizione di misure di sicurezza tecniche e organizzative adeguate, dal carattere progressivo e di facile adattabilità rispetto ai repentini cambiamenti che le tecnologie dirompenti comportano.

In secondo luogo, è sempre bene sottolineare l’assoluta importanza di una corretta formazione all’interno delle realtà di lavoro. È impossibile prevedere infatti il verificarsi del c.d. “errore umano”, ma la valorizzazione proprio di questo fattore costituisce un caposaldo imprescindibile nell’implementazione di una corretta gestione dei rischi, di qualsivoglia natura.

Il terzo punto da considerare per una corretta gestione dei rischi, qui oggetto di breve approfondimento, sono le cyber insurance.
Infatti, al netto delle prime due considerazioni (che non rappresentano un’alternativa a quest’ultima) una copertura assicurativa adeguata costituisce senza dubbio un valido sostegno per l’Ente pubblico o privato che ha preso coscienza al suo interno del potenziale rischio che realmente corre.

Di cosa parliamo quando parliamo di cyber insurance?

In poche parole, parliamo di pacchetti assicurativi – solitamente proposti dai grandi gruppi – che mirano a tutelare il sottoscrivente dalle conseguenze dei possibili danni subiti a causa dell’avverarsi di una minaccia informatica.

Si tratta di un mercato percepito come in forte crescita. Secondo una recente ricerca di Insurance Post, il 78% dei broker inglesi ritiene che il mercato delle polizze cyber rivesta un enorme potenziale di sviluppo, e sino ad oggi il 72% di loro ha già venduto una polizza sui rischi cyber.

Il mercato italiano, come di consueto, non ha ancora una sua definizione e non ha sviluppato un piano consolidato di massimali o premi; molti broker sembra abbiano scelto di esplorare questo mercato con molta, molta cautela.

Le uniche stime condivise, non certo incoraggianti, identificano un mercato da più o meno 100 milioni l’anno, cifra bassa ma proporzionata alla scarsa consapevolezza degli imprenditori e del settore pubblico, come poc’anzi ricordato.

Senza volersi impelagare in analisi di mercato, è comunque evidente che si tratta di una porzione di attività assicurativa destinata ad una rapida crescita. Proprio per questa ragione è piuttosto alta la possibilità che un affrettato sottoscrivente possa ricorrere – nella sua folle corsa verso un effetto palliativo del rischio informatico o per assenza di informazioni precise e nozioni sul tema – a prodotti assicurativi che non sempre rispecchiano le sue aspettative.

Da qui occorre allora farsi un’ultima domanda: quali rischi deve coprire (e garanzie legali deve fornire) una polizza sul rischio cibernetico, al fine di poter essere ritenuta valida?

Posto che i casi variano molto a seconda della specificità delle tecnologie utilizzate e dell’impatto che esse possiedono rispetto alla precisa attività che viene svolta dall’Ente o dall’azienda, ci sono alcuni punti che devono sicuramente essere presenti per poter valutare l’idoneità del prodotto assicurativo. In particolare la polizza deve ricomprendere tutele su:

  • Intrusione informatica da parte di terzi (basata sia su attacchi di rete che fisici);
  • Furto, divulgazione o cancellazione dei dati (sia colposa che dolosa)
  • Rischio reputazionale, familiare e d’immagine (dovuto a divulgazione di informazioni riservate vertenti sia su dipendenti che sull’azienda o l’ente stesso)
  • Furto d’identità e usurpazione di Social Media
  • Blocco dei sistemi produttivi automatizzati
  • Danni di sistema o al corretto funzionamento della rete
  • Furto di proprietà intellettuale digitalizzata

Una polizza ottimale potrebbe infine ricomprendere anche specifiche previsioni legate ai software aziendali utilizzati (o alla sottrazione delle licenze), valutandone le eventuali certificazioni, fornitori coinvolti, livello di rischio e impatto di eventuali system integrator agenti.
In assenza di uno o più di questi elementi, una valutazione legale del carnet di offerte proposte potrebbe essere un valido affiancamento per una corretta scelta, data la portata dell’investimento.

Anche se alcuni di questi elementi possono sembrare scontati ad un lettore formato su questi temi, in realtà per molti si tratta di argomenti a dir poco ostici, che avranno bisogno di essere masticati e digeriti non solo dal settore assicurativo ma anche da quello legale, amministrativo e istituzionale che troppo spesso rincorrono la tecnologia come in una folle gara il cui esito è quasi sempre ai danni del cittadino.

Avv. Andrea Puligheddu

Partner at Orlandi&Partners Studio Legale