Ma cosa si intende per cyber risk e qual è la situazione a livello globale? Come si sta muovendo, se si sta muovendo, la macchina delle tutele dei danni patrimoniali?
Il cyber risk è il rischio di incorrere in perdite economico/finanziarie a seguito del verificarsi di eventi accidentali o di azioni dolose inerenti i sistemi informatici, siano essi hardware, software, banche dati, eccetera. Com’è facile intuire si tratta di una classificazione molto ampia e generica che racchiude non solo le conseguenze di atti criminali o dolosi, ma anche le conseguenze dell’imprudenza o di eventi occasionali. In particolare, mentre le ripercussioni sulle tecnologie di eventi apparentemente scollegati dal contesto informatico (es: guasto elettrico, fulmine, ecc.) sono via via più numerose a seguito della sempre più capillare diffusione di strumenti informatici, è tuttavia il contesto del dolo e del crimine informatico a vivere una vera e propria esplosione.
Nonostante la crescente consapevolezza sul cyber risk, è presente ancora un vasto gap assicurativo. Se si confrontano i beni materiali ed i beni immateriali nei paesi EMEA, questi ultimi sono più esposti del 38% rispetto ai beni materiali in termini di protezione assicurativa. Circa la metà delle perdite potenziali (49%) sui beni materiali è coperta dall’assicurazione, mentre tale percentuale si attesta solo all’11% per quanto concerne i beni immateriali. Emerge, quindi, un’evidente discrasia tra la gravità del rischio informatico e le tutele poste in essere.
Secondo i dati emersi dal Global Risks Perception Survey, la percezione della gravità delle minacce cibernetiche è seconda solo alla devastazione dei cambiamenti climatici. A livello mondiale emerge una crescente preoccupazione nei confronti dei rischi informatici, accelerati dal progresso tecnologico e dai cambiamenti normativi (es: GDPR). Assistiamo globalmente a due tendenze: da un punto di vista quantitativo all’incremento del numero degli attacchi e, da quello qualitativo, all’innalzamento della loro severità.
Considerato quanto esposto fin qui, è facile comprendere che il mercato assicurativo del cyber risk potrebbe essere uno dei mercati più ricchi del prossimo futuro. Secondo un articolo apparso di recente sul Sole 24 ore dal titolo “Cyber risk la sfida delle assicurazioni“, il tema delle polizze legate ai rischi cyber è ben noto agli assicuratori da diverso tempo, ma la categoria si trova in grave difficoltà e lo si intuisce dall’approccio.
Molte assicurazioni tendono, infatti, a considerare il tema come separato da qualsiasi assicurazione tradizionale e lo interpretano come creazione di polizze “tecnologiche”.
Quest’approccio, tuttavia, non è corretto in quanto non considera la pervasività della tecnologia e, quindi, il fatto che non si tratta di un mercato verticale, ma orizzontale. Data la sempre maggiore diffusione di dispositivi connessi ad internet (nelle auto, nelle smart cities, nelle case, ecc.), il rischio cyber, infatti, sarà sempre più un elemento da inserire nelle abituali polizze danni.
Ed è proprio per la pervasività della tecnologica che basta un solo cambio di variabile per cambiare l’intero assetto strutturale del sistema a cui tutte le variabili appartengono. Stiamo parlando della cyberinsurance e della gestione del rischio assicurativo.
Di variabili in corso di cambiamento ce ne sono almeno due, determinanti e imprescindibili, più una che si aggiunge per completare un nuovo triage interdisciplinare necessario per affrontare al meglio la trasformazione digitale, e per offrire ad aziende e privati cittadini nuovi servizi e prodotti assicurativi che riguardano il mondo digitale.
La prima variabile riguarda la nuova legge sulla protezione dei dati personali (revLPD), mentre la seconda l’approccio adottato anche in Svizzera per la messa in sicurezza dei dati sensibili e delle infrastrutture critiche. Due elementi legati tra loro e non più divisibili.
A loro si aggiunge la capacità di preparare un adeguato e proporzionato piano di risposta agli incidenti, quale nuova competenza proveniente dall’informatica forense. In fondo, non a caso le maggiori assicurazioni stanno assumendo investigatori con comprovata esperienza maturata presso la Polizia Giudiziaria da impiegare per le investigazioni digitali.
Per esempio, quanti nel proprio pacchetto assicurativo cyber offrono ai propri clienti l’opportunità di acquistare un accompagnamento continuo che comprenda anche un piano di risposta ai data breach? Quanti considerano nel proprio pacchetto assicurativo cyber la competenza necessaria per stilare un rapporto completo e corretto secondo le norme in vigore per la validazione di una prova digitale in sede giudiziaria, affinchè possa essere ritenuta tale ai fini di stabilirne le responsabilità? Oppure, quanti considerano nel proprio pacchetto assicurativo cyber la possibilità di vendere ai propri clienti una nuova due diligence che tenga conto, in termine di responsabilità e organizzazione, della capacità di rilevazione e reazione a un Ransomware?
Questa è la strada intersdisciplinare per conoscere le nuove competenze necessarie per cogliere le nuove opportunità utili per formulare nuovi modelli di assicurazione cyber agili e conformi all’evoluzione delle tecnologie digitali e del fattore umano chiamato ad usarle e gestirle. Ovviamente tutto questo richiede un cambio di paradigma nella formazione, sempre più interdisciplinare.