L’IVASS – Istituto per la Vigilanza sulle Assicurazioni ha pubblicato un report sulle polizze assicurative a copertura del rischio cyber in commercio al 30 luglio 2023.
L’IVASS – Istituto per la Vigilanza sulle Assicurazioni ha pubblicato un report sulle polizze assicurative a copertura del rischio cyber in commercio al 30 luglio 2023.
Nella sezione dedicata alle PMI, l’IVASS ha esaminato 26 tipi di polizze che offrono copertura per le spese e i danni direttamente subiti o provocati a terzi a seguito di databreach ed attacchi cyber, inclusi gli interventi di ripristino dei dati e dei sistemi ed il supporto legal per la gestione degli incidenti.
Come emerge dal report, dal lato delle aziende, le polizze devono essere maggiormente calibrate sulle specifiche esigenze e grado di esposizione al rischio cyber, tenendo conto di fattori come il settore di appartenenza, il volume dei dati trattati, la dipendenza dalla tecnologia e le normative del settore.
Cosa dice l’indagine
Le coperture per le PMI sono piuttosto articolate, con garanzie che mirano a coprire le aziende sia dai danni dovuti ad attacchi informatici, sia dai danni causati a terzi per effetto degli attacchi, sia le spese legali. Diverse polizze offrono servizi accessori prima del verificarsi di un attacco informatico (identificazione di vulnerabilità, implementazione di presidi di protezione) e nella gestione post-evento (ristabilimento dell’operatività informatica, gestione danno reputazionale, ecc.).
Le coperture sono al momento per lo più standardizzate: a tendere potrebbero beneficiare di una maggiore flessibilità, in modo da calibrare e personalizzare maggiormente le garanzie in funzione della specifica operatività ed esigenza di copertura delle aziende.
Nell’ambito delle polizze destinate a individui e famiglie sono coperti i danni conseguenti a furto o clonazione di carte di credito/debito e carte prepagate, furto di identità digitale, acquisti fraudolenti online. Spesso viene fornita all’individuo e al suo nucleo familiare assistenza telefonica e digitale, attraverso un servizio di monitoraggio online che, in caso di sospetto attacco informatico sui device dell’assicurato, consente alla compagnia di contattare un tecnico specializzato per attivare tutte le procedure di analisi e ripristino. Sono presenti coperture anche nella forma della consulenza psicologica a seguito di eventi traumatici legati all’attacco cyber quali cyberbullismo e cyberstalking e dell’assistenza prestata in occasione di frodi nella prenotazione online di un viaggio all’estero.
Per entrambe le tipologie si tratta di un mercato destinato a crescere rapidamente, in parallelo al rafforzamento della cultura della sicurezza informatica presso aziende ed individui. L’assistenza di intermediari assicurativi professionisti, adeguatamente aggiornati sui rischi cyber e sugli aspetti molto tecnici di queste polizze, è cruciale per lo sviluppo ulteriore dell’offerta.
Dall’analisi è emerso inoltre che:
- alcune compagnie richiedono specifiche condizioni di operatività della persona o dell’azienda da assicurare, come prerequisiti o condizioni per rendere il rischio assicurabile e, di conseguenza, la copertura efficacemente operativa (cfr. par. 3.1.2 e par. 3.2.6);
- sono presenti a volte esclusioni e franchigie che ne riducono ampiezza e applicabilità, anche con margini di ambiguità. Ad esempio, la clausola di esclusione in caso di “guerra”, presente nella maggior parte dei contratti esaminati, non esplicita se il termine “guerra” include anche la “guerra informatica”, di particolare attualità, posto che gli attuali conflitti bellici si svolgono anche attraverso attacchi informatici (cfr., in particolare, par. 3.1.4 e par. 3.1.5); i glossari presentano margini di miglioramento per quanto concerne esaustività e ed univocità dei termini utilizzati (cfr. cap. 4).
Polizze Cyber: la domanda di copertura rimane elevata
La domanda di copertura del rischio informatico rimane elevata. Secondo le ultime stime della compagnia assicurativa Munich Re, il volume dei premi in Europa, il secondo mercato assicurativo cyber più grande dopo il Nord America, ammonta a 2,3 miliardi di dollari (alla fine del 2022).
Anche per quanto riguarda la sottoscrizione di rischi informatici, l’attenzione di Munich Re è rivolta a garantire la redditività, quindi a una comprensione accurata del potenziale di accumulo. Affinché il mercato cyber possa godere di una crescita sostenibile, è necessario chiarire alcune condizioni fondamentali. In primo luogo, è fondamentale arrivare a una migliore comprensione dei potenziali di accumulo, ovvero delle perdite che possono colpire non solo una parte assicurata, ma anche porzioni importanti dell’attività assicurata contemporaneamente. Mentre le perdite derivanti da virus o malware, violazione dei dati o interruzione dei servizi IT, ad esempio per i fornitori di servizi cloud, possono essere ampiamente assicurate con un buon controllo dell’accumulo, i guasti alle infrastrutture critiche e soprattutto le perdite derivanti da guerre informatiche sono rischi sistemici incontrollabili, che devono essere esclusi dalla copertura.